Enregistrement futur V2
Le connecteur Future enregistré permet d’accéder à l’intelligence future enregistrée. Le connecteur a des actions dédiées pour extraire des indicateurs d’avenir enregistrés (IP, Domaine, URL, Hachage) et le contexte associé (Score de risque, Règles de risque, Lien de carte d’intelligence et liens basés sur des preuves de confiance élevée), Vulnérabilités, Alertes futures enregistrées et permet d’accéder à l’API SOAR et aux fichiers fusion enregistrés
Ce connecteur est disponible dans les produits et régions suivants :
| Service | classe | Régions |
|---|---|---|
| Copilot Studio | Premium | Toutes les régions Power Automate |
| Applications logiques | Norme | Toutes les régions Logic Apps |
| Power Apps | Premium | Toutes les régions Power Apps |
| Power Automate | Premium | Toutes les régions Power Automate |
| Contact | |
|---|---|
| Nom | Prise en charge future enregistrée |
| URL | https://support.recordedfuture.com |
| Messagerie électronique | support@recordedfuture.com |
| Métadonnées du connecteur | |
|---|---|
| Éditeur | Avenir enregistré |
| Website | https://www.recordedfuture.com |
| Politique de confidentialité | https://www.recordedfuture.com/privacy-policy/ |
| Catégories | IA; Données |
Enregistrement futur V2
L’intégration de l’avenir enregistré permet l’intégration de l’intelligence de sécurité en temps réel à des services Microsoft populaires tels que Sentinel, Defender ATP et d’autres. Cela permet à nos clients d’optimiser leurs investissements de sécurité existants, de s’assurer qu’ils disposent d’une intelligence en temps réel pour sécuriser leurs environnements cloud et réduire les risques pour l’organisation. Le connecteur Record Future pour Microsoft Azure permet d’accéder à des actions dédiées pour extraire des indicateurs d’avenir enregistrés (IP, Domaine, URL, hachage, vulnérabilités), contexte associé (score de risque, règles de risque, liens à haut niveau de confiance et lien de carte d’information), alertes futures enregistrées, alertes de playbooks, mappage des menaces, indicateurs de menace et règles de détection.
Éditeur : Future enregistrée
Nouveautés ?
- Carte des menaces de l’acteur des menaces de future enregistrée
- Carte des menaces contre les programmes malveillants de Future enregistrée
- Indicateurs de menace de Future enregistrés pour les acteurs
- Indicateurs de menace de Future enregistrés pour les programmes malveillants
Prerequisites
Pour activer l’intégration De l’avenir enregistré pour Microsoft Azure, les utilisateurs doivent être approvisionnés un jeton d’API d’avenir enregistré. Contactez votre responsable de compte pour obtenir le jeton d’API nécessaire.
Comment obtenir des informations d’identification
L’enregistrement future nécessite que les clés API communiquent avec notre API. Pour obtenir des clés API : démarrez une version d’évaluation gratuite de 30 jours de l’avenir enregistré pour Microsoft Sentinel ou visitez les jetons d’API demandeurs enregistrés (Exiger une connexion future enregistrée) et demandez le jeton d’API pour Recorded Future for Microsoft Sentinel ou/et/ et Recorded Future Sandbox for Microsoft Sentinel.
Opérations prises en charge
Ce connecteur est utilisé pour extraire des indicateurs, alertes, alertes, playbook, mappage des menaces, indicateurs de menace et règles de détection :
- Téléchargement des listes de risques futures enregistrées et du téléchargement SCF - Télécharger les listes de risques futures enregistrées et les flux de contrôle de sécurité
- Enrichissement IP : enrichir une adresse IP avec des données futures enregistrées.
- Enrichissement du domaine - Enrichir un domaine avec des données d’avenir enregistrées.
- Enrichissement d’URL : enrichir une URL avec des données futures enregistrées.
- Enrichissement de hachage - Enrichir un hachage avec des données futures enregistrées.
- Enrichissement des vulnérabilités - Enrichir une vulnérabilité avec les données enregistrées futures.
- API SOAR - Enrichissement multi-entitiy - Enrichir plusieurs entités à la fois (Un accès spécifique est requis)
- Alertes déclenchées par la recherche - Répertorier les notifications d’alerte par un ensemble de paramètres de recherche.
- Obtenir les alertes déclenchées par ID - Obtenir les détails de l’alerte d’une alerte déclenchée
- Règles d’alerte de recherche - Répertorier les règles d’alerte par nom
- Notification d’alerte de recherche (déconseillée) - Déconseillée
- Obtenir une notification d’alerte par ID (déconseillé) - Déconseillé
- Alertes de playbook de recherche - Répertorier les alertes de playbook en fonction d’un ensemble de paramètres de recherche
- Obtenir l’alerte playbook par ID - Obtenir les détails de l’alerte d’une alerte de playbook
- Extraire des acteurs de la carte des menaces - Récupérer des données de mappage des menaces pour l’organisation principale de l’entreprise avec des filtres.
- Récupérer les programmes malveillants threat Map - Récupérer les données de mappage des menaces pour l’organisation principale de l’entreprise avec des filtres.
- Récupérer les indicateurs de menace pour Les acteurs au format STIX - Récupérer les indicateurs de menace pour les acteurs au format STIX.
- Récupérer les indicateurs de menace pour les programmes malveillants au format STIX - Récupérer les indicateurs de menace pour les programmes malveillants au format STIX.
- Règles de détection de recherche (préversion) - Obtenir des règles de détection correspondant à un filtre de recherche
Exemples de solutions pour Microsoft Sentinel
Guide d’installation des solutions à l’aide de ce connecteur : Solutions futures enregistrées pour Microsoft Sentinel
Problèmes connus et limitations
N/A
Création d’une connexion
Le connecteur prend en charge les types d’authentification suivants :
| Par défaut | Paramètres de création de connexion. | Toutes les régions | Non partageable |
Faire défaut
Applicable : Toutes les régions
Paramètres de création de connexion.
Cette connexion n’est pas partageable. Si l’application power est partagée avec un autre utilisateur, un autre utilisateur est invité à créer une connexion explicitement.
| Nom | Type | Descriptif | Obligatoire |
|---|---|---|---|
| Clé d’API | securestring | Clé API pour cette API | Vrai |
Limitations
| Nom | Appels | Période de renouvellement |
|---|---|---|
| Appels d’API par connexion | 100 | 60 secondes |
Actions
| API SOAR - Enrichissement multi-entitiy |
Enrichir plusieurs entités à la fois (Accès spécifique est requis) |
| Enrichissement de hachage |
Enrichir un hachage avec les données enregistrées futures |
| Enrichissement des vulnérabilités |
Enrichir une vulnérabilité avec les données enregistrées futures |
| Enrichissement du domaine |
Enrichir un domaine avec des données d’avenir enregistrées |
| Enrichissement d’URL |
Enrichir une URL avec des données futures enregistrées |
| Enrichissement IP |
Enrichir une adresse IP avec des données futures enregistrées |
| Extraire les acteurs de la carte des menaces |
Récupérez les données de mappage des menaces pour l’organisation principale de l’entreprise avec des filtres. |
| Notifications d’alerte de recherche (déconseillée) |
Déconseillé, utilisez plutôt /v2/alerts. Répertorier les notifications d’alerte par un ensemble de paramètres de recherche |
| Obtenir les alertes déclenchées par ID |
Obtenir les détails de l’alerte d’une alerte déclenchée |
| Obtenir une alerte de playbook par ID |
Obtenir les détails de l’alerte d’une alerte de playbook |
| Obtenir une notification d’alerte par ID (déconseillé) |
Déconseillé, utilisez à la place /v2/alerts/{id}. Obtenir les détails de l’alerte d’une alerte déclenchée |
| Rechercher des alertes de playbook |
Répertorier les alertes de playbook en fonction d’un ensemble de paramètres de recherche |
| Rechercher des alertes déclenchées |
Répertorier les notifications d’alerte par un ensemble de paramètres de recherche |
| Règles de détection de recherche |
Obtenir des règles de détection correspondant à un filtre de recherche |
| Règles d’alerte de recherche |
Répertorier les règles d’alerte par nom |
| Récupérer des indicateurs de menace pour les acteurs au format STIX |
Récupérer les indicateurs de menace pour les acteurs au format STIX. |
| Récupérer les indicateurs de menace pour les programmes malveillants au format STIX |
Récupérer les indicateurs de menace pour les programmes malveillants au format STIX. |
| Récupérer les programmes malveillants de la carte des menaces |
Récupérez les données de mappage des menaces pour l’organisation principale de l’entreprise avec des filtres. |
|
Téléchargement future risk |
Télécharger les listes de risques futures enregistrées et les flux de contrôle de sécurité |
API SOAR - Enrichissement multi-entitiy
Enrichir plusieurs entités à la fois (Accès spécifique est requis)
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Ip
|
ip | array of string |
Ip |
|
|
URL
|
url | array of string |
URL |
|
|
domain
|
domain | array of string |
Domain |
|
|
hash
|
hash | array of string |
Hash |
|
|
vulnérabilité
|
vulnerability | array of string |
Vulnérabilité |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Retourné
|
counts.returned | integer | |
|
total
|
counts.total | integer | |
|
results
|
data.results | array of object | |
|
pièce d'identité
|
data.results.entity.id | string | |
|
nom
|
data.results.entity.name | string | |
|
type
|
data.results.entity.type | string | |
|
context
|
data.results.risk.context | object | |
|
niveau
|
data.results.risk.level | number | |
|
rule
|
data.results.risk.rule | object | |
|
score
|
data.results.risk.score | number |
Enrichissement de hachage
Enrichir un hachage avec les données enregistrées futures
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Entrée HASH
|
hash | True | string |
HasH à rechercher. Doit être un hachage de hachage unique |
|
Fields
|
fields | True | string |
Liste de champs séparés par des virgules à retourner dans la réponse |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Partagez les corrélations et les données d’enrichissement avec le cloud d’intelligence future enregistrée. Valeur par défaut : true |
|
|
Réponse HTML
|
htmlresponse | boolean |
Inclure un modèle HTML dans la réponse |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
intelCard
|
data.intelCard | string |
Lien de la carte d’intelligence future enregistrée |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Niveau de criticité de l’indicateur futur enregistré |
|
score
|
data.risk.score | integer |
Score de risque de l’indicateur futur enregistré |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Détails des preuves |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Détails des preuves des règles de risque futures enregistrées |
|
rule
|
data.risk.evidenceDetails.rule | string |
Règles de risque de l’indicateur futur enregistrées |
|
riskSummary
|
data.risk.riskSummary | string |
Résumé des règles de risque futures enregistrées |
|
links
|
data.links | Links |
Liens basés sur des preuves de confiance élevée |
|
html_response
|
data.html_response | string |
Enrichissement des vulnérabilités
Enrichir une vulnérabilité avec les données enregistrées futures
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Entrée d’ID de vulnérabilité (CVE, nom)
|
id | True | string |
ID de vulnérabilité (CVE, nom) à rechercher. Doit être un ID de vulnérabilité unique (CVE, nom) |
|
Fields
|
fields | True | string |
Liste de champs séparés par des virgules à retourner dans la réponse |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Partagez les corrélations et les données d’enrichissement avec le cloud d’intelligence future enregistrée. Valeur par défaut : true |
|
|
Réponse HTML
|
htmlresponse | boolean |
Inclure un modèle HTML dans la réponse |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
intelCard
|
data.intelCard | string |
Lien de la carte d’intelligence future enregistrée |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Niveau de criticité des vulnérabilités future enregistré |
|
score
|
data.risk.score | integer |
Score de risque de vulnérabilité enregistré |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Détails des preuves |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Détails des preuves des règles de risque futures enregistrées |
|
rule
|
data.risk.evidenceDetails.rule | string |
Règles de risque de vulnérabilité enregistrées |
|
riskSummary
|
data.risk.riskSummary | string |
Résumé des règles de risque futures enregistrées |
|
links
|
data.links | Links |
Liens basés sur des preuves de confiance élevée |
|
html_response
|
data.html_response | string |
Enrichissement du domaine
Enrichir un domaine avec des données d’avenir enregistrées
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Entrée de domaine
|
domain | True | string |
Domaine à rechercher. Doit être un domaine unique |
|
Fields
|
fields | True | string |
Liste de champs séparés par des virgules à retourner dans la réponse |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Partagez les corrélations et les données d’enrichissement avec le cloud d’intelligence future enregistrée. Valeur par défaut : true |
|
|
Réponse HTML
|
htmlresponse | boolean |
Inclure un modèle HTML dans la réponse |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
intelCard
|
data.intelCard | string |
Lien de la carte d’intelligence future enregistrée |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Niveau de criticité de l’indicateur futur enregistré |
|
score
|
data.risk.score | integer |
Score de risque de l’indicateur futur enregistré |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Détails des preuves |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Détails des preuves des règles de risque futures enregistrées |
|
rule
|
data.risk.evidenceDetails.rule | string |
Règles de risque de l’indicateur futur enregistrées |
|
riskSummary
|
data.risk.riskSummary | string |
Résumé des règles de risque futures enregistrées |
|
links
|
data.links | Links |
Liens basés sur des preuves de confiance élevée |
|
html_response
|
data.html_response | string |
Enrichissement d’URL
Enrichir une URL avec des données futures enregistrées
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Entrée d’URL
|
url | True | string |
URL de recherche. Doit être une URL unique |
|
Fields
|
fields | True | string |
Liste de champs séparés par des virgules à retourner dans la réponse |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Partagez les corrélations et les données d’enrichissement avec le cloud d’intelligence future enregistrée. Valeur par défaut : true |
|
|
Réponse HTML
|
htmlresponse | boolean |
Inclure un modèle HTML dans la réponse |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Niveau de criticité de l’indicateur futur enregistré |
|
score
|
data.risk.score | integer |
Score de risque de l’indicateur futur enregistré |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Détails des preuves |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Détails des preuves des règles de risque futures enregistrées |
|
rule
|
data.risk.evidenceDetails.rule | string |
Règles de risque de l’indicateur futur enregistrées |
|
riskSummary
|
data.risk.riskSummary | string |
Résumé des règles de risque futures enregistrées |
|
links
|
data.links | Links |
Liens basés sur des preuves de confiance élevée |
|
html_response
|
data.html_response | string |
Enrichissement IP
Enrichir une adresse IP avec des données futures enregistrées
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Entrée IP
|
ip | True | string |
Adresse IP à rechercher. Doit être une seule adresse IP |
|
Fields
|
fields | True | string |
Liste de champs séparés par des virgules à retourner dans la réponse |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Partagez les corrélations et les données d’enrichissement avec le cloud d’intelligence future enregistrée. Valeur par défaut : true |
|
|
Réponse HTML
|
htmlresponse | boolean |
Inclure un modèle HTML dans la réponse |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
intelCard
|
data.intelCard | string |
Lien de la carte d’intelligence future enregistrée |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Niveau de criticité de l’indicateur futur enregistré |
|
score
|
data.risk.score | integer |
Score de risque de l’indicateur futur enregistré |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Détails des preuves |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Détails des preuves des règles de risque futures enregistrées |
|
rule
|
data.risk.evidenceDetails.rule | string |
Règles de risque de l’indicateur futur enregistrées |
|
riskSummary
|
data.risk.riskSummary | string |
Résumé des règles de risque futures enregistrées |
|
links
|
data.links | Links |
Liens basés sur des preuves de confiance élevée |
|
html_response
|
data.html_response | string |
Extraire les acteurs de la carte des menaces
Récupérez les données de mappage des menaces pour l’organisation principale de l’entreprise avec des filtres.
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Acteurs
|
actors | True | array of string |
Liste des acteurs |
|
categories
|
categories | True | array of string |
Liste des catégories |
|
watchlists
|
watchlists | True | array of string |
Liste des watchlists |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
données
|
data | ThreatMapActors |
Notifications d’alerte de recherche (déconseillée)
Déconseillé, utilisez plutôt /v2/alerts. Répertorier les notifications d’alerte par un ensemble de paramètres de recherche
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Déclenché
|
triggered | string |
Tous les formats de date compatibles Elasticsearch sont valides. |
|
|
ID de règle d’alerte
|
alertRule | True | string |
ID de règle d’alerte |
|
Nombre maximal d’enregistrements
|
limit | integer |
Nombre maximal d’enregistrements |
|
|
Enregistrements du décalage
|
from | integer |
Enregistrements du décalage |
Retours
- Corps
- AlertSearch
Obtenir les alertes déclenchées par ID
Obtenir les détails de l’alerte d’une alerte déclenchée
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de notification d’alerte
|
id | True | string |
ID de notification d’alerte |
|
Champs à inclure
|
fields | string |
Champs à inclure, par exemple « ID, hits ». Retourne tout s’il n’est pas spécifié. |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
données
|
data | AlertSearchV2 |
Obtenir une alerte de playbook par ID
Obtenir les détails de l’alerte d’une alerte de playbook
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID d’alerte de playbook
|
id | True | string |
ID d’alerte du Playbook |
Retours
- Corps
- PlaybookAlertLookup
Obtenir une notification d’alerte par ID (déconseillé)
Déconseillé, utilisez à la place /v2/alerts/{id}. Obtenir les détails de l’alerte d’une alerte déclenchée
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
ID de notification d’alerte
|
id | True | string |
ID de notification d’alerte |
Retours
- Corps
- AlertLookup
Rechercher des alertes de playbook
Répertorier les alertes de playbook en fonction d’un ensemble de paramètres de recherche
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Limit
|
limit | string |
Limiter le nombre d’alertes de playbook retournées |
|
|
Entités
|
entities | array of string |
Liste des entités |
|
|
statuses
|
statuses | array of string |
Liste des états d’alerte |
|
|
Priorités
|
priorities | array of string |
Liste des priorités d’alerte |
|
|
categories
|
categories | array of string |
Liste des catégories d’alertes |
|
|
Relative créée à partir de
|
created_from_relative | string |
Limitez la réponse aux alertes de playbook créées au plus ces nombreuses minutes, heures ou jours. La valeur par défaut est tout le temps. |
|
|
Relative créée jusqu’à ce que
|
created_until_relative | string |
Limitez la réponse aux alertes de playbook créées au plus tard il y a de nombreuses minutes, heures ou jours. La valeur par défaut est « -0 » (maintenant). |
|
|
Mise à jour relative à partir de
|
updated_from_relative | string |
Limitez la réponse aux alertes de playbook mises à jour au plus ces nombreuses minutes, heures ou jours au cours du passé. La valeur par défaut est « -1d » (un jour de retour). |
|
|
Mise à jour relative jusqu’à ce que
|
updated_until_relative | string |
Limitez la réponse aux alertes de playbook mises à jour au plus tard ces nombreuses minutes, heures ou jours dans le passé. La valeur par défaut est « -0 » (maintenant). |
Retours
Alertes de playbook correspondant aux critères de recherche
- Objets
- PlaybookAlertSearch
Rechercher des alertes déclenchées
Répertorier les notifications d’alerte par un ensemble de paramètres de recherche
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Déclenché
|
triggered | string |
Délai pour lequel inclure des alertes déclenchées. Par exemple, -24h ou -2d |
|
|
ID de règle d’alerte
|
alertRule | string |
Retourne uniquement les alertes déclenchées pour l’ID de règle d’alerte spécifié. |
|
|
Nombre maximal d’enregistrements
|
limit | integer |
Limite le nombre d’alertes retournées. |
|
|
Enregistrements du décalage
|
from | integer |
Enregistrements du décalage |
|
|
Champs à inclure
|
fields | string |
Champs à inclure, par exemple « ID, hits ». Retourne tout s’il n’est pas spécifié. |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
données
|
data | array of AlertSearchV2 | |
|
Retourné
|
counts.returned | integer | |
|
total
|
counts.total | integer |
Règles de détection de recherche
Obtenir des règles de détection correspondant à un filtre de recherche
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Types
|
types | array of string |
Liste des types de règles de détection à inclure dans la réponse |
|
|
Entités
|
entities | array of string |
Liste des entités auxquelles les règles de détection doivent être liées |
|
|
before
|
before | date-time |
Limitez la réponse aux règles de détection créées avant cette date. Exemple : 2023-06-01T18:00:00Z |
|
|
after
|
after | date-time |
Limiter la réponse aux règles de détection créées après cette date |
|
|
Limit
|
limit | integer |
Limiter le nombre de règles de détection retournées |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Nombre de règles de détection
|
count | integer |
Nombre |
|
Règles de détection
|
result | array of object |
Règles de détection |
|
pièce d'identité
|
result.id | string | |
|
type
|
result.type | string | |
|
title
|
result.title | string | |
|
descriptif
|
result.description | string | |
|
rules
|
result.rules | array of object | |
|
nom
|
result.rules.name | string | |
|
descriptif
|
result.rules.description | string | |
|
nom_de_fichier
|
result.rules.file_name | string | |
|
Entités
|
result.rules.entities | array of object | |
|
pièce d'identité
|
result.rules.entities.id | string | |
|
type
|
result.rules.entities.type | string | |
|
nom
|
result.rules.entities.name | string | |
|
display_name
|
result.rules.entities.display_name | string | |
|
contenu
|
result.rules.content | string | |
|
créé
|
result.created | string | |
|
Actualisé
|
result.updated | string |
Règles d’alerte de recherche
Répertorier les règles d’alerte par nom
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Recherche en texte libre
|
freetext | string |
Recherche de texte gratuit pour le nom de la règle d’alerte |
|
|
Nombre maximal d’enregistrements
|
limit | integer |
Nombre maximal d’enregistrements |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
results
|
data.results | array of object |
Results |
|
Titre de la règle d’alerte
|
data.results.title | string |
Titre |
|
ID de règle d’alerte
|
data.results.id | string |
Id |
|
Nombre retourné de règles d’alerte
|
counts.returned | integer |
Retourné |
|
Nombre total de règles d’alerte
|
counts.total | integer |
Total |
Récupérer des indicateurs de menace pour les acteurs au format STIX
Récupérer les indicateurs de menace pour les acteurs au format STIX.
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Acteurs
|
actors | array of string | ||
|
categories
|
categories | array of string | ||
|
watchlists
|
watchlists | array of string | ||
|
trigger_score_ip
|
trigger_score_ip | integer | ||
|
trigger_score_url
|
trigger_score_url | integer | ||
|
trigger_score_domain
|
trigger_score_domain | integer | ||
|
trigger_score_hash
|
trigger_score_hash | integer | ||
|
valid_until_delta_hours
|
valid_until_delta_hours | integer | ||
|
threat_hunt_description
|
threat_hunt_description | string |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
données
|
data | ThreatHuntActors |
Récupérer les indicateurs de menace pour les programmes malveillants au format STIX
Récupérer les indicateurs de menace pour les programmes malveillants au format STIX.
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
programme malveillant
|
malware | array of string | ||
|
categories
|
categories | array of string | ||
|
watchlists
|
watchlists | array of string | ||
|
trigger_score_ip
|
trigger_score_ip | integer | ||
|
trigger_score_url
|
trigger_score_url | integer | ||
|
trigger_score_domain
|
trigger_score_domain | integer | ||
|
trigger_score_hash
|
trigger_score_hash | integer | ||
|
valid_until_delta_hours
|
valid_until_delta_hours | integer | ||
|
threat_hunt_description
|
threat_hunt_description | string |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
données
|
data | ThreatHuntMalware |
Récupérer les programmes malveillants de la carte des menaces
Récupérez les données de mappage des menaces pour l’organisation principale de l’entreprise avec des filtres.
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
programme malveillant
|
malware | True | array of string |
Liste des programmes malveillants |
|
categories
|
categories | True | array of string |
Liste des catégories |
|
watchlists
|
watchlists | True | array of string |
Liste des watchlists |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
données
|
data | ThreatMapMalware |
Téléchargement future riskLists et SCF enregistrés
Télécharger les listes de risques futures enregistrées et les flux de contrôle de sécurité
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
Chemin d’accès au fichier
|
path | True | string |
Chemin d’accès au fichier |
Retours
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
|
array of object | ||
|
Nom
|
Name | string | |
|
Risque
|
Risk | integer | |
|
RiskString
|
RiskString | string | |
|
EvidenceDetails
|
EvidenceDetails.EvidenceDetails | array of object | |
|
Règle
|
EvidenceDetails.EvidenceDetails.Rule | string | |
|
EvidenceString
|
EvidenceDetails.EvidenceDetails.EvidenceString | string | |
|
CriticalityLabel
|
EvidenceDetails.EvidenceDetails.CriticalityLabel | string | |
|
Timestamp
|
EvidenceDetails.EvidenceDetails.Timestamp | integer | |
|
MitigationString
|
EvidenceDetails.EvidenceDetails.MitigationString | string | |
|
Caractère critique
|
EvidenceDetails.EvidenceDetails.Criticality | integer |
Définitions
Links
Liens basés sur des preuves de confiance élevée
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
date de début
|
technical.start_date | string |
Date de début du lien |
|
stopDate
|
technical.stop_date | string |
Date d’arrêt du lien |
|
Entités
|
technical.entities | array of LinkEntities |
Entités associées |
|
date de début
|
research.start_date | string |
Date de début du lien |
|
stopDate
|
research.stop_date | string |
Date d’arrêt du lien |
|
Entités
|
research.entities | array of LinkEntities |
Entités associées |
LinkEntities
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
type
|
type | string |
Type d’enitité |
|
nom
|
name | string |
Nom de l’entité |
|
score
|
score | integer |
Score de risque |
|
catégorie
|
category | string |
Catégorie d’entité |
AlertSearchV2
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
révision
|
review | AlertReviewV2 | |
|
owner_organisation_details
|
owner_organisation_details | AlertOwnerV2 | |
|
URL
|
url | AlertURLV2 | |
|
rule
|
rule | AlertRuleV2 | |
|
alert_id
|
id | AlertID | |
|
Hits
|
hits | AlertHitsV2 | |
|
log
|
log | AlertLogV2 | |
|
title
|
title | AlertTitle | |
|
type
|
type | AlertType | |
|
ai_insights
|
ai_insights | AlertAiV2 |
AlertAiV2
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
commentaire
|
comment | string | |
|
texte
|
text | string |
AlertHitsV2
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Entités
|
entities | array of object | |
|
pièce d'identité
|
entities.id | string | |
|
nom
|
entities.name | string | |
|
type
|
entities.type | string | |
|
source_id
|
document.source.id | string | |
|
nom
|
document.source.name | string | |
|
type
|
document.source.type | string | |
|
title
|
document.title | string | |
|
URL
|
document.url | string | |
|
authors
|
document.authors | array of object | |
|
pièce d'identité
|
document.authors.id | string | |
|
nom
|
document.authors.name | string | |
|
type
|
document.authors.type | string | |
|
fragment
|
fragment | string | |
|
pièce d'identité
|
id | string | |
|
language
|
language | string | |
|
pièce d'identité
|
primary_entity.id | string | |
|
nom
|
primary_entity.name | string | |
|
type
|
primary_entity.type | string | |
|
analyst_note
|
analyst_note | string |
AlertSearch
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
results
|
data.results | array of object | |
|
révision
|
data.results.review | AlertReview | |
|
URL
|
data.results.url | AlertURL | |
|
rule
|
data.results.rule | AlertRule | |
|
déclenché
|
data.results.triggered | AlertTriggered | |
|
alert_id
|
data.results.id | AlertID | |
|
title
|
data.results.title | AlertTitle | |
|
type
|
data.results.type | AlertType | |
|
Retourné
|
counts.returned | integer | |
|
total
|
counts.total | integer |
AlertLookup
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
révision
|
data.review | AlertReview | |
|
Entités
|
data.entities | AlertEntities | |
|
URL
|
data.url | AlertURL | |
|
rule
|
data.rule | AlertRule | |
|
déclenché
|
data.triggered | AlertTriggered | |
|
alert_id
|
data.id | AlertID | |
|
références
|
data.counts.references | integer | |
|
Entités
|
data.counts.entities | integer | |
|
documents
|
data.counts.documents | integer | |
|
title
|
data.title | AlertTitle | |
|
type
|
data.type | AlertType |
AlertLogV2
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
note_author
|
note_author | string | |
|
note_date
|
note_date | date-time | |
|
status_date
|
status_date | string | |
|
déclenché
|
triggered | string | |
|
status_change_by
|
status_change_by | string |
AlertOwnerV2
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
organisations
|
organisations | array of object | |
|
organisation_id
|
organisations.organisation_id | string | |
|
organisation_name
|
organisations.organisation_name | string | |
|
enterprise_id
|
enterprise_id | string | |
|
enterprise_name
|
enterprise_name | string |
AlertReviewV2
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
cessionnaire
|
assignee | string | |
|
status
|
status | string | |
|
status_in_portal
|
status_in_portal | string | |
|
note
|
note | string |
AlertReview
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
cessionnaire
|
assignee | string | |
|
status
|
status | string | |
|
noteDate
|
noteDate | string | |
|
noteAuthor
|
noteAuthor | string | |
|
note
|
note | string |
AlertEntities
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
tendance
|
trend | object | |
|
documents
|
documents | array of object | |
|
références
|
documents.references | array of object | |
|
fragment
|
documents.references.fragment | string | |
|
Entités
|
documents.references.entities | array of object | |
|
pièce d'identité
|
documents.references.entities.id | string | |
|
nom
|
documents.references.entities.name | string | |
|
type
|
documents.references.entities.type | string | |
|
language
|
documents.references.language | string | |
|
pièce d'identité
|
documents.source.id | string | |
|
nom
|
documents.source.name | string | |
|
type
|
documents.source.type | string | |
|
title
|
documents.title | string | |
|
URL
|
documents.url | string | |
|
risque
|
risk | object | |
|
pièce d'identité
|
entity.id | string | |
|
nom
|
entity.name | string | |
|
type
|
entity.type | string |
AlertURL
AlertRule
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
nom
|
name | string | |
|
pièce d'identité
|
id | string | |
|
URL
|
url | string |
AlertURLV2
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
api
|
api | string | |
|
portail
|
portal | string |
AlertRuleV2
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
nom
|
name | string | |
|
rule_id
|
id | string | |
|
portail
|
url.portal | string |
AlertTriggered
AlertID
- alert_id
- string
AlertTitle
AlertType
PlaybookAlertSearch
Alertes de playbook correspondant aux critères de recherche
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
playbook_alert_id
|
playbook_alert_id | string | |
|
créé
|
created | string | |
|
Actualisé
|
updated | string | |
|
status
|
status | string | |
|
catégorie
|
category | string | |
|
priority
|
priority | string | |
|
title
|
title | string | |
|
owner_id
|
owner_id | string | |
|
owner_name
|
owner_name | string | |
|
organisation_id
|
organisation_id | string | |
|
organistaion_name
|
organistaion_name | string | |
|
organisations
|
owner_organisation_details.organisations | array of object | |
|
organisation_id
|
owner_organisation_details.organisations.organisation_id | string | |
|
organisation_name
|
owner_organisation_details.organisations.organisation_name | string | |
|
enterprise_id
|
owner_organisation_details.enterprise_id | string | |
|
enterprise_name
|
owner_organisation_details.enterprise_name | string |
PlaybookAlertLookup
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
title
|
title | string | |
|
pièce d'identité
|
id | string | |
|
catégorie
|
category | string | |
|
rule_label
|
rule_label | string | |
|
status
|
status | string | |
|
priority
|
priority | string | |
|
targets
|
targets | string | |
|
created_date
|
created_date | string | |
|
updated_date
|
updated_date | string | |
|
evidence_summary
|
evidence_summary | string | |
|
link
|
link | string | |
|
json_alert
|
json_alert | string |
ThreatMapActors
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
threat_map
|
data.threat_map | array of object | |
|
pièce d'identité
|
data.threat_map.id | string | |
|
nom
|
data.threat_map.name | string | |
|
alias
|
data.threat_map.alias | array of string | |
|
categories
|
data.threat_map.categories | array of object | |
|
pièce d'identité
|
data.threat_map.categories.id | string | |
|
nom
|
data.threat_map.categories.name | string | |
|
objectif
|
data.threat_map.intent | integer | |
|
occasion
|
data.threat_map.opportunity | integer | |
|
log_entries
|
data.threat_map.log_entries | array of object | |
|
pièce d'identité
|
data.threat_map.log_entries.watchlist.id | string | |
|
nom
|
data.threat_map.log_entries.watchlist.name | string | |
|
pièce d'identité
|
data.threat_map.log_entries.entity.id | string | |
|
nom
|
data.threat_map.log_entries.entity.name | string | |
|
severity
|
data.threat_map.log_entries.severity | integer | |
|
axe
|
data.threat_map.log_entries.axis | string | |
|
date
|
data.threat_map.log_entries.date | date-time | |
|
date
|
data.date | date-time |
ThreatHuntActors
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
confiance
|
confidence | integer | |
|
descriptif
|
description | string | |
|
pièce d'identité
|
id | string | |
|
indicator_types
|
indicator_types | array of string | |
|
labels
|
labels | array of string | |
|
nom
|
name | string | |
|
pattern
|
pattern | string | |
|
pattern_type
|
pattern_type | string | |
|
spec_version
|
spec_version | string | |
|
type
|
type | string | |
|
créé
|
created | string | |
|
modified
|
modified | string | |
|
valid_from
|
valid_from | string | |
|
valid_until
|
valid_until | string | |
|
external_references
|
external_references | array of object | |
|
source_name
|
external_references.source_name | string | |
|
descriptif
|
external_references.description | string | |
|
external_id
|
external_references.external_id | string | |
|
URL
|
external_references.url | string |
ThreatMapMalware
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
threat_map
|
data.threat_map | array of object | |
|
pièce d'identité
|
data.threat_map.id | string | |
|
nom
|
data.threat_map.name | string | |
|
alias
|
data.threat_map.alias | array of string | |
|
categories
|
data.threat_map.categories | array of object | |
|
pièce d'identité
|
data.threat_map.categories.id | string | |
|
nom
|
data.threat_map.categories.name | string | |
|
objectif
|
data.threat_map.intent | integer | |
|
occasion
|
data.threat_map.opportunity | integer | |
|
log_entries
|
data.threat_map.log_entries | array of object | |
|
pièce d'identité
|
data.threat_map.log_entries.watchlist.id | string | |
|
nom
|
data.threat_map.log_entries.watchlist.name | string | |
|
pièce d'identité
|
data.threat_map.log_entries.entity.id | string | |
|
nom
|
data.threat_map.log_entries.entity.name | string | |
|
severity
|
data.threat_map.log_entries.severity | integer | |
|
axe
|
data.threat_map.log_entries.axis | string | |
|
date
|
data.threat_map.log_entries.date | date-time | |
|
date
|
data.date | date-time |
ThreatHuntMalware
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
confiance
|
confidence | integer | |
|
descriptif
|
description | string | |
|
pièce d'identité
|
id | string | |
|
indicator_types
|
indicator_types | array of string | |
|
labels
|
labels | array of string | |
|
nom
|
name | string | |
|
pattern
|
pattern | string | |
|
pattern_type
|
pattern_type | string | |
|
spec_version
|
spec_version | string | |
|
type
|
type | string | |
|
créé
|
created | string | |
|
modified
|
modified | string | |
|
valid_from
|
valid_from | string | |
|
valid_until
|
valid_until | string | |
|
external_references
|
external_references | array of object | |
|
source_name
|
external_references.source_name | string | |
|
descriptif
|
external_references.description | string | |
|
external_id
|
external_references.external_id | string | |
|
URL
|
external_references.url | string |