Type de ressource tiIndicator (déconseillé)
Espace de noms: microsoft.graph
Importante
Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .
Remarque
L’entité tiIndicator est déconseillée et sera supprimée d’ici avril 2026.
Représente les données utilisées pour identifier les activités malveillantes.
Si votre organization fonctionne avec des indicateurs de menace, soit en générant les vôtres, en les obtenant à partir de open source flux, en partageant avec des organisations ou des communautés partenaires, soit en achetant des flux de données, vous pouvez utiliser ces indicateurs dans différents outils de sécurité pour la correspondance avec les données de journal. L’entité tiIndicators vous permet de charger vos indicateurs de menace dans les outils de sécurité Microsoft pour les actions d’autorisation, de blocage ou d’alerte.
Les indicateurs de menace chargés via tiIndicator sont utilisés avec Microsoft Threat Intelligence pour fournir une solution de sécurité personnalisée pour votre organization. Lorsque vous utilisez l’entité tiIndicator , spécifiez la solution de sécurité Microsoft que vous souhaitez utiliser les indicateurs via la propriété targetProduct et spécifiez l’action (autoriser, bloquer ou alerte) à laquelle la solution de sécurité doit appliquer les indicateurs via la propriété action .
Actuellement, targetProduct prend en charge les produits suivants :
Microsoft Defender pour point de terminaison : prend en charge les méthodes tiIndicators suivantes :
Remarque
Les types d’indicateurs suivants sont pris en charge par Microsoft Defender pour point de terminaison targetProduct :
- Fichiers
- Adresses IP : Microsoft Defender pour point de terminaison prend en charge IPv4/IPv6 de destination uniquement : définissez la propriété dans les propriétés networkDestinationIPv4 ou networkDestinationIPv6 dans Microsoft Graph API de sécurité tiIndicator.
- URL/domaines
Il existe une limite de 15 000 indicateurs par locataire pour Microsoft Defender pour point de terminaison.
Microsoft Sentinel : seuls les clients existants peuvent utiliser l’API tiIndicator pour envoyer des indicateurs de renseignement sur les menaces à Microsoft Sentinel. Pour obtenir des instructions détaillées les plus récentes sur la façon d’envoyer des indicateurs intelligents contre les menaces à Microsoft Sentinel, consultez Connecter votre plateforme de renseignement sur les menaces à Microsoft Sentinel.
Pour plus d’informations sur les types d’indicateurs pris en charge et les limites du nombre d’indicateurs par client, voir Gérer les indicateurs.
Méthodes
| Méthode | Type renvoyé | Description |
|---|---|---|
| Obtenir | tiIndicator | Lit les propriétés et relations de l’objet tiIndicator. |
| Create | tiIndicator | Create un nouveau tiIndicator en publiant dans la collection tiIndicators. |
| List | collection tiIndicator | Obtient une collection d’objets tiIndicator. |
| Mettre à jour | tiIndicator | Mettre à jour l’objet tiIndicator. |
| Supprimer | Aucune | Supprimez l’objet tiIndicator. |
| Supprimer plusieurs | Aucune | Supprimez plusieurs objets tiIndicator. |
| Supprimer plusieurs par ID externe | Aucune | Supprimez plusieurs objets tiIndicator par la externalId propriété . |
| Envoyer plusieurs | collection tiIndicator | Create de nouveaux tiIndicators en publiant une collection tiIndicators. |
| Mettre à jour plusieurs | collection tiIndicator | Mettez à jour plusieurs objets tiIndicator. |
Méthodes prises en charge par chaque produit cible
| Méthode | Azure Sentinel | Microsoft Defender pour point de terminaison |
|---|---|---|
| Créer tiIndicator | Les champs obligatoires sont les suivants : action, azureTenantIddescription, expirationDateTime, targetProduct, threatType, tlpLevel, et au moins un e-mail, un réseau ou un fichier observable. |
Les champs obligatoires sont : action, et l’une des valeurs suivantes : domainName, url, networkDestinationIPv4, networkDestinationIPv6, fileHashValue (doit fournir fileHashType dans le cas de fileHashValue). |
| Envoyer tiIndicators | Reportez-vous à la méthode Create tiIndicator pour connaître les champs requis pour chaque tiIndicator. Il existe une limite de 100 tiIndicators par demande. | Reportez-vous à la méthode Create tiIndicator pour connaître les champs requis pour chaque tiIndicator. Il existe une limite de 100 tiIndicators par demande. |
| Mettre à jour tiIndicator | Les champs obligatoires sont : id, expirationDateTime, targetProduct. Les champs modifiables sont : action, activityGroupNames, additionalInformation, descriptionconfidence, diamondModelexpirationDateTime, externalId, isActive, lastReportedDateTimekillChainknownFalsePositivesmalwareFamilyNames, passiveOnly, , severity, . tlpLeveltags |
Les champs obligatoires sont : id, expirationDateTime, targetProduct. Les champs modifiables sont les suivants : expirationDateTime, severity, description. |
| Mettre à jour tiIndicators | Reportez-vous à la méthode Update tiIndicator pour connaître les champs obligatoires et modifiables pour chaque tiIndicator. | |
| Supprimer tiIndicator | Le champ obligatoire est : id. |
Le champ obligatoire est : id. |
| Supprimer les tiIndicators | Reportez-vous à la méthode Delete tiIndicator ci-dessus pour connaître le champ requis pour chaque tiIndicator. |
Propriétés
| Propriété | Type | Description |
|---|---|---|
| action | chaîne | Action à appliquer si l’indicateur est mis en correspondance à partir de l’outil de sécurité targetProduct. Les valeurs possibles sont les suivantes : unknown, allow, block, alert.
Obligatoire. |
| activityGroupNames | String collection | Nom(s) de renseignement sur les cybermenaces pour les parties responsables de l’activité malveillante couverte par l’indicateur de menace. |
| additionalInformation | Chaîne | Zone fourre-tout pour les données supplémentaires de l’indicateur qui n’est pas spécifiquement couverte par d’autres propriétés tiIndicator. L’outil de sécurité spécifié par targetProduct n’utilise généralement pas ces données. |
| azureTenantId | Chaîne | Estampillé par le système lorsque l’indicateur est ingéré. ID de locataire Microsoft Entra de l’envoi du client. Obligatoire. |
| confiance | Int32 | Entier représentant la confiance que les données dans l’indicateur identifient avec précision un comportement malveillant. Les valeurs acceptables sont comprises entre 0 et 100, 100 étant la plus élevée. |
| description | Chaîne | Brève description (100 caractères ou moins) de la menace représentée par l’indicateur. Obligatoire. |
| diamondModel | diamondModel | Zone du modèle losange dans laquelle cet indicateur se trouve. Les valeurs possibles sont les suivantes : unknown, adversary, capability, infrastructure, victim. |
| expirationDateTime | DateTimeOffset | Chaîne DateTime indiquant quand l’indicateur expire. Tous les indicateurs doivent avoir une date d’expiration pour éviter que les indicateurs obsolètes ne persistent dans le système. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z.
Obligatoire. |
| externalId | Chaîne | Numéro d’identification qui lie l’indicateur au système du fournisseur d’indicateurs (par exemple, une clé étrangère). |
| id | Chaîne | Créé par le système lorsque l’indicateur est ingéré. GUID/identificateur unique généré. En lecture seule. |
| ingestedDateTime | DateTimeOffset | Estampillé par le système lorsque l’indicateur est ingéré. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. |
| isActive | Valeur booléenne | Permet de désactiver les indicateurs dans le système. Par défaut, tout indicateur soumis est défini comme actif. Toutefois, les fournisseurs peuvent soumettre des indicateurs existants avec cette valeur définie sur « False » pour désactiver les indicateurs dans le système. |
| killChain | collection killChain | Tableau JSON de chaînes qui décrit le ou les points de la chaîne de destruction cible par cet indicateur. Pour connaître les valeurs exactes, consultez « valeurs killChain » ci-dessous. |
| knownFalsePositives | Chaîne | Scénarios dans lesquels l’indicateur peut provoquer des faux positifs. Il doit s’agir d’un texte lisible par l’homme. |
| lastReportedDateTime | DateTimeOffset | Dernière fois que l’indicateur a été vu. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. |
| malwareFamilyNames | Collection de chaînes | Nom de la famille de logiciels malveillants associé à un indicateur s’il existe. Microsoft préfère le nom de la famille de logiciels malveillants Microsoft, si possible, qui peut être trouvé via l’encyclopédie sur les menaces du renseignement de sécurité Windows Defender. |
| passiveOnly | Valeur booléenne | Détermine si l’indicateur doit déclencher un événement visible par un utilisateur final. Lorsqu’ils sont définis sur « true », les outils de sécurité n’avertissent pas l’utilisateur final qu’un « accès » s’est produit. Cela est le plus souvent traité comme un mode audit ou silencieux par les produits de sécurité, où ils enregistrent simplement qu’une correspondance s’est produite, mais n’effectuent pas l’action. La valeur par défaut est false. |
| Sévérité | Int32 | Entier représentant la gravité du comportement malveillant identifié par les données de l’indicateur. Les valeurs acceptables sont comprises entre 0 et 5, où 5 est la plus grave et zéro n’est pas grave du tout. La valeur par défaut est 3. |
| étiquettes | String collection | Tableau JSON de chaînes qui stocke des balises/mots clés arbitraires. |
| targetProduct | Chaîne | Valeur de chaîne représentant un produit de sécurité unique auquel l’indicateur doit être appliqué. Les valeurs acceptables sont : Azure Sentinel, Microsoft Defender ATP.
Obligatoire |
| threatType | threatType | Chaque indicateur doit avoir un type de menace d’indicateur valide. Valeurs possibles : Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList.
Obligatoire. |
| tlpLevel | tlpLevel | Valeur du protocole Traffic Light Protocol pour l’indicateur. Les valeurs possibles sont les suivantes : unknown, white, green, amber, red.
Obligatoire. |
Observables d’indicateur - e-mail
| Propriété | Type | Description |
|---|---|---|
| emailEncoding | Chaîne | Type d’encodage de texte utilisé dans l’e-mail. |
| emailLanguage | Chaîne | Langue de l’e-mail. |
| emailRecipient | Chaîne | Adresse de courrier du destinataire. |
| emailSenderAddress | Chaîne | Email adresse de l’attaquant|victime. |
| emailSenderName | Chaîne | Nom affiché de l’attaquant|victime. |
| emailSourceDomain | Chaîne | Domaine utilisé dans l’e-mail. |
| emailSourceIpAddress | Chaîne | Adresse IP source de l’e-mail. |
| emailSubject | Chaîne | Ligne d’objet de l’e-mail. |
| emailXMailer | Chaîne | Valeur X-Mailer utilisée dans l’e-mail. |
Observables d’indicateur - fichier
| Propriété | Type | Description |
|---|---|---|
| fileCompileDateTime | DateTimeOffset | DateTime à laquelle le fichier a été compilé. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. |
| fileCreatedDateTime | DateTimeOffset | DateTime à laquelle le fichier a été créé. Le type d’horodatage représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. |
| fileHashType | chaîne | Type de hachage stocké dans fileHashValue. Les valeurs possibles sont les suivantes : unknown, sha1, sha256, md5, authenticodeHash256, lsHash et ctph. |
| fileHashValue | Chaîne | Valeur de hachage du fichier. |
| fileMutexName | Chaîne | Nom mutex utilisé dans les détections basées sur des fichiers. |
| fileName | Chaîne | Nom du fichier si l’indicateur est basé sur un fichier. Plusieurs noms de fichiers peuvent être délimités par des virgules. |
| filePacker | Chaîne | Packer utilisé pour générer le fichier en question. |
| Filepath | Chaîne | Chemin du fichier indiquant la compromission. Il peut s’agir d’un chemin de style Windows ou *nix. |
| Taille | Int64 | Taille du fichier en octets. |
| Filetype | Chaîne | Description textuelle du type de fichier. Par exemple, « Word Document » ou « Binaire ». |
Observables d’indicateurs - réseau
| Propriété | Type | Description |
|---|---|---|
| domainName | Chaîne | Nom de domaine associé à cet indicateur. Doit être au format subdomain.domain.topleveldomain (par exemple, baddomain.domain.net) |
| networkCidrBlock | Chaîne | Représentation de notation de bloc CIDR du réseau référencé dans cet indicateur. Utilisez uniquement si la source et la destination ne peuvent pas être identifiées. |
| networkDestinationAsn | Int32 | Identificateur du système autonome de destination du réseau référencé dans l’indicateur. |
| networkDestinationCidrBlock | Chaîne | Représentation en notation de bloc CIDR du réseau de destination dans cet indicateur. |
| networkDestinationIPv4 | Chaîne | Destination de l’adresse IP IPv4. |
| networkDestinationIPv6 | Chaîne | Destination de l’adresse IP IPv6. |
| networkDestinationPort | Int32 | Destination du port TCP. |
| networkIPv4 | Chaîne | Adresse IP IPv4. Utilisez uniquement si la source et la destination ne peuvent pas être identifiées. |
| networkIPv6 | Chaîne | Adresse IP IPv6. Utilisez uniquement si la source et la destination ne peuvent pas être identifiées. |
| networkPort | Int32 | Port TCP. Utilisez uniquement si la source et la destination ne peuvent pas être identifiées. |
| networkProtocol | Int32 | Représentation décimale du champ de protocole dans l’en-tête IPv4. |
| networkSourceAsn | Int32 | Identificateur du système autonome source du réseau référencé dans l’indicateur. |
| networkSourceCidrBlock | Chaîne | Représentation de notation de bloc CIDR du réseau source dans cet indicateur |
| networkSourceIPv4 | Chaîne | Source de l’adresse IP IPv4. |
| networkSourceIPv6 | Chaîne | Source de l’adresse IP IPv6. |
| networkSourcePort | Int32 | Source du port TCP. |
| url | Chaîne | Uniform Resource Locator. Cette URL doit être conforme à la norme RFC 1738. |
| Useragent | Chaîne | User-Agent chaîne d’une requête web qui peut indiquer une compromission. |
Valeurs diamondModel
Pour plus d’informations sur ce modèle, consultez The Diamond Model.
| Membre | Valeur | Description |
|---|---|---|
| unknown | 0 | |
| Adversaire | 1 | L’indicateur décrit l’adversaire. |
| Capacité | 2 | L’indicateur est une capacité de l’adversaire. |
| Infrastructure | 3 | L’indicateur décrit l’infrastructure de l’adversaire. |
| Victime | 4 | L’indicateur décrit la victime de l’adversaire. |
| unknownFutureValue | 127 |
Valeurs killChain
| Member | Description |
|---|---|
| Actions | Indique que l’attaquant utilise le système compromis pour prendre des mesures telles qu’une attaque par déni de service distribué. |
| C2 | Représente le canal de contrôle par lequel un système compromis est manipulé. |
| Remise | Processus de distribution du code d’exploitation aux victimes (par exemple, USB, e-mail, sites web). |
| Exploitation | Code d’exploitation tirant parti des vulnérabilités (par exemple, l’exécution du code). |
| Installation | Installation de programmes malveillants après l’exploitation d’une vulnérabilité. |
| Reconnaissance | L’indicateur est la preuve qu’un groupe d’activités collecte des informations à utiliser dans une attaque future. |
| Armement | Transformer une vulnérabilité en code d’exploitation (par exemple, un programme malveillant). |
valeurs threatType
| Member | Description |
|---|---|
| Botnet | L’indicateur détaille un nœud/membre de botnet. |
| C2 | L’indicateur détaille un nœud Command & Control d’un botnet. |
| CryptoMining | Le trafic impliquant cette adresse réseau/URL est une indication d’abus de cyrptomining/de ressources. |
| Darknet | L’indicateur est celui d’un nœud/réseau Darknet. |
| Ddos | Indicateurs relatifs à une campagne DDoS active ou à venir. |
| MaliciousUrl | URL qui sert des programmes malveillants. |
| Programme malveillant | Indicateur décrivant un ou plusieurs fichiers malveillants. |
| Hameçonnage | Indicateurs relatifs à une campagne d’hameçonnage. |
| Proxy | L’indicateur est celui d’un service proxy. |
| PUA | Application potentiellement indésirable. |
| WatchList | Il s’agit du compartiment générique pour les indicateurs pour lesquels la menace ne peut pas être déterminée ou qui nécessitent une interprétation manuelle. Les partenaires qui envoient des données dans le système ne doivent pas utiliser cette propriété. |
Valeurs tlpLevel
Chaque indicateur doit également avoir une valeur Traffic Light Protocol lors de son envoi. Cette valeur représente la sensibilité et l’étendue de partage d’un indicateur donné.
| Member | Description |
|---|---|
| Blanc | Étendue de partage : illimitée. Les indicateurs peuvent être partagés librement, sans restriction. |
| Vert | Étendue de partage : Communauté. Les indicateurs peuvent être partagés avec la communauté de sécurité. |
| Ambre | Étendue de partage : limitée. Il s’agit du paramètre par défaut pour les indicateurs et limite le partage aux seuls ceux dont le « besoin de savoir » est 1) les services et les opérateurs de service qui implémentent le renseignement sur les menaces 2) les clients dont le ou les systèmes présentent un comportement cohérent avec l’indicateur. |
| Rouge | Étendue de partage : Personnel. Ces indicateurs doivent uniquement être partagés directement et, de préférence, en personne. En règle générale, les indicateurs rouge TLP ne sont pas ingérés en raison de leurs restrictions prédéfinies. Si des indicateurs rouge TLP sont envoyés, la propriété « PassiveOnly » doit également être définie sur True . |
Relations
Aucun.
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"action": "string",
"activityGroupNames": ["String"],
"additionalInformation": "String",
"azureTenantId": "String",
"confidence": 1024,
"description": "String",
"diamondModel": "string",
"domainName": "String",
"emailEncoding": "String",
"emailLanguage": "String",
"emailRecipient": "String",
"emailSenderAddress": "String",
"emailSenderName": "String",
"emailSourceDomain": "String",
"emailSourceIpAddress": "String",
"emailSubject": "String",
"emailXMailer": "String",
"expirationDateTime": "String (timestamp)",
"externalId": "String",
"fileCompileDateTime": "String (timestamp)",
"fileCreatedDateTime": "String (timestamp)",
"fileHashType": "string",
"fileHashValue": "String",
"fileMutexName": "String",
"fileName": "String",
"filePacker": "String",
"filePath": "String",
"fileSize": 1024,
"fileType": "String",
"id": "String (identifier)",
"ingestedDateTime": "String (timestamp)",
"isActive": true,
"killChain": ["String"],
"knownFalsePositives": "String",
"lastReportedDateTime": "String (timestamp)",
"malwareFamilyNames": ["String"],
"networkCidrBlock": "String",
"networkDestinationAsn": 1024,
"networkDestinationCidrBlock": "String",
"networkDestinationIPv4": "String",
"networkDestinationIPv6": "String",
"networkDestinationPort": 1024,
"networkIPv4": "String",
"networkIPv6": "String",
"networkPort": 1024,
"networkProtocol": 1024,
"networkSourceAsn": 1024,
"networkSourceCidrBlock": "String",
"networkSourceIPv4": "String",
"networkSourceIPv6": "String",
"networkSourcePort": 1024,
"passiveOnly": true,
"severity": 1024,
"tags": ["String"],
"targetProduct": "String",
"threatType": "String",
"tlpLevel": "string",
"url": "String",
"userAgent": "String"
}