Partager via


Type de ressource tiIndicator (déconseillé)

Espace de noms: microsoft.graph

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Remarque

L’entité tiIndicator est déconseillée et sera supprimée d’ici avril 2026.

Représente les données utilisées pour identifier les activités malveillantes.

Si votre organization fonctionne avec des indicateurs de menace, soit en générant les vôtres, en les obtenant à partir de open source flux, en partageant avec des organisations ou des communautés partenaires, soit en achetant des flux de données, vous pouvez utiliser ces indicateurs dans différents outils de sécurité pour la correspondance avec les données de journal. L’entité tiIndicators vous permet de charger vos indicateurs de menace dans les outils de sécurité Microsoft pour les actions d’autorisation, de blocage ou d’alerte.

Les indicateurs de menace chargés via tiIndicator sont utilisés avec Microsoft Threat Intelligence pour fournir une solution de sécurité personnalisée pour votre organization. Lorsque vous utilisez l’entité tiIndicator , spécifiez la solution de sécurité Microsoft que vous souhaitez utiliser les indicateurs via la propriété targetProduct et spécifiez l’action (autoriser, bloquer ou alerte) à laquelle la solution de sécurité doit appliquer les indicateurs via la propriété action .

Actuellement, targetProduct prend en charge les produits suivants :

  • Microsoft Defender pour point de terminaison : prend en charge les méthodes tiIndicators suivantes :

    Remarque

    Les types d’indicateurs suivants sont pris en charge par Microsoft Defender pour point de terminaison targetProduct :

    • Fichiers
    • Adresses IP : Microsoft Defender pour point de terminaison prend en charge IPv4/IPv6 de destination uniquement : définissez la propriété dans les propriétés networkDestinationIPv4 ou networkDestinationIPv6 dans Microsoft Graph API de sécurité tiIndicator.
    • URL/domaines

    Il existe une limite de 15 000 indicateurs par locataire pour Microsoft Defender pour point de terminaison.

  • Microsoft Sentinel : seuls les clients existants peuvent utiliser l’API tiIndicator pour envoyer des indicateurs de renseignement sur les menaces à Microsoft Sentinel. Pour obtenir des instructions détaillées les plus récentes sur la façon d’envoyer des indicateurs intelligents contre les menaces à Microsoft Sentinel, consultez Connecter votre plateforme de renseignement sur les menaces à Microsoft Sentinel.

Pour plus d’informations sur les types d’indicateurs pris en charge et les limites du nombre d’indicateurs par client, voir Gérer les indicateurs.

Méthodes

Méthode Type renvoyé Description
Obtenir tiIndicator Lit les propriétés et relations de l’objet tiIndicator.
Create tiIndicator Create un nouveau tiIndicator en publiant dans la collection tiIndicators.
List collection tiIndicator Obtient une collection d’objets tiIndicator.
Mettre à jour tiIndicator Mettre à jour l’objet tiIndicator.
Supprimer Aucune Supprimez l’objet tiIndicator.
Supprimer plusieurs Aucune Supprimez plusieurs objets tiIndicator.
Supprimer plusieurs par ID externe Aucune Supprimez plusieurs objets tiIndicator par la externalId propriété .
Envoyer plusieurs collection tiIndicator Create de nouveaux tiIndicators en publiant une collection tiIndicators.
Mettre à jour plusieurs collection tiIndicator Mettez à jour plusieurs objets tiIndicator.

Méthodes prises en charge par chaque produit cible

Méthode Azure Sentinel Microsoft Defender pour point de terminaison
Créer tiIndicator Les champs obligatoires sont les suivants : action, azureTenantIddescription, expirationDateTime, targetProduct, threatType, tlpLevel, et au moins un e-mail, un réseau ou un fichier observable. Les champs obligatoires sont : action, et l’une des valeurs suivantes : domainName, url, networkDestinationIPv4, networkDestinationIPv6, fileHashValue (doit fournir fileHashType dans le cas de fileHashValue).
Envoyer tiIndicators Reportez-vous à la méthode Create tiIndicator pour connaître les champs requis pour chaque tiIndicator. Il existe une limite de 100 tiIndicators par demande. Reportez-vous à la méthode Create tiIndicator pour connaître les champs requis pour chaque tiIndicator. Il existe une limite de 100 tiIndicators par demande.
Mettre à jour tiIndicator Les champs obligatoires sont : id, expirationDateTime, targetProduct.
Les champs modifiables sont : action, activityGroupNames, additionalInformation, descriptionconfidence, diamondModelexpirationDateTime, externalId, isActive, lastReportedDateTimekillChainknownFalsePositivesmalwareFamilyNames, passiveOnly, , severity, . tlpLeveltags
Les champs obligatoires sont : id, expirationDateTime, targetProduct.
Les champs modifiables sont les suivants : expirationDateTime, severity, description.
Mettre à jour tiIndicators Reportez-vous à la méthode Update tiIndicator pour connaître les champs obligatoires et modifiables pour chaque tiIndicator.

Problème de fichier

Supprimer tiIndicator Le champ obligatoire est : id. Le champ obligatoire est : id.
Supprimer les tiIndicators Reportez-vous à la méthode Delete tiIndicator ci-dessus pour connaître le champ requis pour chaque tiIndicator.

Problème de fichier

Propriétés

Propriété Type Description
action chaîne Action à appliquer si l’indicateur est mis en correspondance à partir de l’outil de sécurité targetProduct. Les valeurs possibles sont les suivantes : unknown, allow, block, alert. Obligatoire.
activityGroupNames String collection Nom(s) de renseignement sur les cybermenaces pour les parties responsables de l’activité malveillante couverte par l’indicateur de menace.
additionalInformation Chaîne Zone fourre-tout pour les données supplémentaires de l’indicateur qui n’est pas spécifiquement couverte par d’autres propriétés tiIndicator. L’outil de sécurité spécifié par targetProduct n’utilise généralement pas ces données.
azureTenantId Chaîne Estampillé par le système lorsque l’indicateur est ingéré. ID de locataire Microsoft Entra de l’envoi du client. Obligatoire.
confiance Int32 Entier représentant la confiance que les données dans l’indicateur identifient avec précision un comportement malveillant. Les valeurs acceptables sont comprises entre 0 et 100, 100 étant la plus élevée.
description Chaîne Brève description (100 caractères ou moins) de la menace représentée par l’indicateur. Obligatoire.
diamondModel diamondModel Zone du modèle losange dans laquelle cet indicateur se trouve. Les valeurs possibles sont les suivantes : unknown, adversary, capability, infrastructure, victim.
expirationDateTime DateTimeOffset Chaîne DateTime indiquant quand l’indicateur expire. Tous les indicateurs doivent avoir une date d’expiration pour éviter que les indicateurs obsolètes ne persistent dans le système. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. Obligatoire.
externalId Chaîne Numéro d’identification qui lie l’indicateur au système du fournisseur d’indicateurs (par exemple, une clé étrangère).
id Chaîne Créé par le système lorsque l’indicateur est ingéré. GUID/identificateur unique généré. En lecture seule.
ingestedDateTime DateTimeOffset Estampillé par le système lorsque l’indicateur est ingéré. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z.
isActive Valeur booléenne Permet de désactiver les indicateurs dans le système. Par défaut, tout indicateur soumis est défini comme actif. Toutefois, les fournisseurs peuvent soumettre des indicateurs existants avec cette valeur définie sur « False » pour désactiver les indicateurs dans le système.
killChain collection killChain Tableau JSON de chaînes qui décrit le ou les points de la chaîne de destruction cible par cet indicateur. Pour connaître les valeurs exactes, consultez « valeurs killChain » ci-dessous.
knownFalsePositives Chaîne Scénarios dans lesquels l’indicateur peut provoquer des faux positifs. Il doit s’agir d’un texte lisible par l’homme.
lastReportedDateTime DateTimeOffset Dernière fois que l’indicateur a été vu. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z.
malwareFamilyNames Collection de chaînes Nom de la famille de logiciels malveillants associé à un indicateur s’il existe. Microsoft préfère le nom de la famille de logiciels malveillants Microsoft, si possible, qui peut être trouvé via l’encyclopédie sur les menaces du renseignement de sécurité Windows Defender.
passiveOnly Valeur booléenne Détermine si l’indicateur doit déclencher un événement visible par un utilisateur final. Lorsqu’ils sont définis sur « true », les outils de sécurité n’avertissent pas l’utilisateur final qu’un « accès » s’est produit. Cela est le plus souvent traité comme un mode audit ou silencieux par les produits de sécurité, où ils enregistrent simplement qu’une correspondance s’est produite, mais n’effectuent pas l’action. La valeur par défaut est false.
Sévérité Int32 Entier représentant la gravité du comportement malveillant identifié par les données de l’indicateur. Les valeurs acceptables sont comprises entre 0 et 5, où 5 est la plus grave et zéro n’est pas grave du tout. La valeur par défaut est 3.
étiquettes String collection Tableau JSON de chaînes qui stocke des balises/mots clés arbitraires.
targetProduct Chaîne Valeur de chaîne représentant un produit de sécurité unique auquel l’indicateur doit être appliqué. Les valeurs acceptables sont : Azure Sentinel, Microsoft Defender ATP. Obligatoire
threatType threatType Chaque indicateur doit avoir un type de menace d’indicateur valide. Valeurs possibles : Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList. Obligatoire.
tlpLevel tlpLevel Valeur du protocole Traffic Light Protocol pour l’indicateur. Les valeurs possibles sont les suivantes : unknown, white, green, amber, red. Obligatoire.

Observables d’indicateur - e-mail

Propriété Type Description
emailEncoding Chaîne Type d’encodage de texte utilisé dans l’e-mail.
emailLanguage Chaîne Langue de l’e-mail.
emailRecipient Chaîne Adresse de courrier du destinataire.
emailSenderAddress Chaîne Email adresse de l’attaquant|victime.
emailSenderName Chaîne Nom affiché de l’attaquant|victime.
emailSourceDomain Chaîne Domaine utilisé dans l’e-mail.
emailSourceIpAddress Chaîne Adresse IP source de l’e-mail.
emailSubject Chaîne Ligne d’objet de l’e-mail.
emailXMailer Chaîne Valeur X-Mailer utilisée dans l’e-mail.

Observables d’indicateur - fichier

Propriété Type Description
fileCompileDateTime DateTimeOffset DateTime à laquelle le fichier a été compilé. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z.
fileCreatedDateTime DateTimeOffset DateTime à laquelle le fichier a été créé. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z.
fileHashType chaîne Type de hachage stocké dans fileHashValue. Les valeurs possibles sont les suivantes : unknown, sha1, sha256, md5, authenticodeHash256, lsHash et ctph.
fileHashValue Chaîne Valeur de hachage du fichier.
fileMutexName Chaîne Nom mutex utilisé dans les détections basées sur des fichiers.
fileName Chaîne Nom du fichier si l’indicateur est basé sur un fichier. Plusieurs noms de fichiers peuvent être délimités par des virgules.
filePacker Chaîne Packer utilisé pour générer le fichier en question.
Filepath Chaîne Chemin du fichier indiquant la compromission. Il peut s’agir d’un chemin de style Windows ou *nix.
Taille Int64 Taille du fichier en octets.
Filetype Chaîne Description textuelle du type de fichier. Par exemple, « Word Document » ou « Binaire ».

Observables d’indicateurs - réseau

Propriété Type Description
domainName Chaîne Nom de domaine associé à cet indicateur. Doit être au format subdomain.domain.topleveldomain (par exemple, baddomain.domain.net)
networkCidrBlock Chaîne Représentation de notation de bloc CIDR du réseau référencé dans cet indicateur. Utilisez uniquement si la source et la destination ne peuvent pas être identifiées.
networkDestinationAsn Int32 Identificateur du système autonome de destination du réseau référencé dans l’indicateur.
networkDestinationCidrBlock Chaîne Représentation en notation de bloc CIDR du réseau de destination dans cet indicateur.
networkDestinationIPv4 Chaîne Destination de l’adresse IP IPv4.
networkDestinationIPv6 Chaîne Destination de l’adresse IP IPv6.
networkDestinationPort Int32 Destination du port TCP.
networkIPv4 Chaîne Adresse IP IPv4. Utilisez uniquement si la source et la destination ne peuvent pas être identifiées.
networkIPv6 Chaîne Adresse IP IPv6. Utilisez uniquement si la source et la destination ne peuvent pas être identifiées.
networkPort Int32 Port TCP. Utilisez uniquement si la source et la destination ne peuvent pas être identifiées.
networkProtocol Int32 Représentation décimale du champ de protocole dans l’en-tête IPv4.
networkSourceAsn Int32 Identificateur du système autonome source du réseau référencé dans l’indicateur.
networkSourceCidrBlock Chaîne Représentation de notation de bloc CIDR du réseau source dans cet indicateur
networkSourceIPv4 Chaîne Source de l’adresse IP IPv4.
networkSourceIPv6 Chaîne Source de l’adresse IP IPv6.
networkSourcePort Int32 Source du port TCP.
url Chaîne Uniform Resource Locator. Cette URL doit être conforme à la norme RFC 1738.
Useragent Chaîne User-Agent chaîne d’une requête web qui peut indiquer une compromission.

Valeurs diamondModel

Pour plus d’informations sur ce modèle, consultez The Diamond Model.

Membre Valeur Description
unknown 0
Adversaire 1 L’indicateur décrit l’adversaire.
Capacité 2 L’indicateur est une capacité de l’adversaire.
Infrastructure 3 L’indicateur décrit l’infrastructure de l’adversaire.
Victime 4 L’indicateur décrit la victime de l’adversaire.
unknownFutureValue 127

Valeurs killChain

Member Description
Actions Indique que l’attaquant utilise le système compromis pour prendre des mesures telles qu’une attaque par déni de service distribué.
C2 Représente le canal de contrôle par lequel un système compromis est manipulé.
Remise Processus de distribution du code d’exploitation aux victimes (par exemple, USB, e-mail, sites web).
Exploitation Code d’exploitation tirant parti des vulnérabilités (par exemple, l’exécution du code).
Installation Installation de programmes malveillants après l’exploitation d’une vulnérabilité.
Reconnaissance L’indicateur est la preuve qu’un groupe d’activités collecte des informations à utiliser dans une attaque future.
Armement Transformer une vulnérabilité en code d’exploitation (par exemple, un programme malveillant).

valeurs threatType

Member Description
Botnet L’indicateur détaille un nœud/membre de botnet.
C2 L’indicateur détaille un nœud Command & Control d’un botnet.
CryptoMining Le trafic impliquant cette adresse réseau/URL est une indication d’abus de cyrptomining/de ressources.
Darknet L’indicateur est celui d’un nœud/réseau Darknet.
Ddos Indicateurs relatifs à une campagne DDoS active ou à venir.
MaliciousUrl URL qui sert des programmes malveillants.
Programme malveillant Indicateur décrivant un ou plusieurs fichiers malveillants.
Hameçonnage Indicateurs relatifs à une campagne d’hameçonnage.
Proxy L’indicateur est celui d’un service proxy.
PUA Application potentiellement indésirable.
WatchList Il s’agit du compartiment générique pour les indicateurs pour lesquels la menace ne peut pas être déterminée ou qui nécessitent une interprétation manuelle. Les partenaires qui envoient des données dans le système ne doivent pas utiliser cette propriété.

Valeurs tlpLevel

Chaque indicateur doit également avoir une valeur Traffic Light Protocol lors de son envoi. Cette valeur représente la sensibilité et l’étendue de partage d’un indicateur donné.

Member Description
Blanc Étendue de partage : illimitée. Les indicateurs peuvent être partagés librement, sans restriction.
Vert Étendue de partage : Communauté. Les indicateurs peuvent être partagés avec la communauté de sécurité.
Ambre Étendue de partage : limitée. Il s’agit du paramètre par défaut pour les indicateurs et limite le partage aux seuls ceux dont le « besoin de savoir » est 1) les services et les opérateurs de service qui implémentent le renseignement sur les menaces 2) les clients dont le ou les systèmes présentent un comportement cohérent avec l’indicateur.
Rouge Étendue de partage : Personnel. Ces indicateurs doivent uniquement être partagés directement et, de préférence, en personne. En règle générale, les indicateurs rouge TLP ne sont pas ingérés en raison de leurs restrictions prédéfinies. Si des indicateurs rouge TLP sont envoyés, la propriété « PassiveOnly » doit également être définie sur True .

Relations

Aucun.

Représentation JSON

La représentation JSON suivante montre le type de ressource.

{
  "action": "string",
  "activityGroupNames": ["String"],
  "additionalInformation": "String",
  "azureTenantId": "String",
  "confidence": 1024,
  "description": "String",
  "diamondModel": "string",
  "domainName": "String",
  "emailEncoding": "String",
  "emailLanguage": "String",
  "emailRecipient": "String",
  "emailSenderAddress": "String",
  "emailSenderName": "String",
  "emailSourceDomain": "String",
  "emailSourceIpAddress": "String",
  "emailSubject": "String",
  "emailXMailer": "String",
  "expirationDateTime": "String (timestamp)",
  "externalId": "String",
  "fileCompileDateTime": "String (timestamp)",
  "fileCreatedDateTime": "String (timestamp)",
  "fileHashType": "string",
  "fileHashValue": "String",
  "fileMutexName": "String",
  "fileName": "String",
  "filePacker": "String",
  "filePath": "String",
  "fileSize": 1024,
  "fileType": "String",
  "id": "String (identifier)",
  "ingestedDateTime": "String (timestamp)",
  "isActive": true,
  "killChain": ["String"],
  "knownFalsePositives": "String",
  "lastReportedDateTime": "String (timestamp)",
  "malwareFamilyNames": ["String"],
  "networkCidrBlock": "String",
  "networkDestinationAsn": 1024,
  "networkDestinationCidrBlock": "String",
  "networkDestinationIPv4": "String",
  "networkDestinationIPv6": "String",
  "networkDestinationPort": 1024,
  "networkIPv4": "String",
  "networkIPv6": "String",
  "networkPort": 1024,
  "networkProtocol": 1024,
  "networkSourceAsn": 1024,
  "networkSourceCidrBlock": "String",
  "networkSourceIPv4": "String",
  "networkSourceIPv6": "String",
  "networkSourcePort": 1024,
  "passiveOnly": true,
  "severity": 1024,
  "tags": ["String"],
  "targetProduct": "String",
  "threatType": "String",
  "tlpLevel": "string",
  "url": "String",
  "userAgent": "String"
}