Microsoft Graph Security (elavult) [ELAVULT]
A Microsoft Graph Security-összekötő segít összekapcsolni a Különböző Microsoft- és partnerbiztonsági termékeket és szolgáltatásokat egy egységes séma használatával a biztonsági műveletek egyszerűsítése, valamint a fenyegetések elleni védelem, az észlelés és a válaszképesség javítása érdekében. További információ a Microsoft Graph Security API-val való integrációról a következő helyen https://aka.ms/graphsecuritydocs : (elavult)
Ez az összekötő a következő termékekben és régiókban érhető el:
| Service | Class | Régiók |
|---|---|---|
| Copilot Studio | prémium | Az összes Power Automate-régió, kivéve a következőket: - USA kormánya (GCC) - Amerikai kormány (GCC High) - A 21Vianet által üzemeltetett China Cloud - Amerikai Védelmi Minisztérium (DoD) |
| Logikai alkalmazások | Standard | Az összes Logic Apps-régió , kivéve a következőket: - Azure Government-régiók - Azure China-régiók - Amerikai Védelmi Minisztérium (DoD) |
| Power Alkalmazások | prémium | Az összes Power Apps-régió , kivéve a következőket: - USA kormánya (GCC) - Amerikai kormány (GCC High) - A 21Vianet által üzemeltetett China Cloud - Amerikai Védelmi Minisztérium (DoD) |
| Power Automate | prémium | Az összes Power Automate-régió, kivéve a következőket: - USA kormánya (GCC) - Amerikai kormány (GCC High) - A 21Vianet által üzemeltetett China Cloud - Amerikai Védelmi Minisztérium (DoD) |
| Érintkezés | |
|---|---|
| Név | Microsoft |
| URL |
Microsoft LogicApps-támogatás Microsoft Power Automate-támogatás Microsoft Power Apps-támogatás |
| sipsisgdev@microsoft.com |
| Összekötő metaadatai | |
|---|---|
| Kiadó | Microsoft |
| Webhely | https://www.microsoft.com/security/business/graph-security-api |
A Microsoft Graph Security-összekötőhöz való csatlakozás előfeltételei
További információ a Microsoft Graph Security API-ról.
A Microsoft Graph Security-összekötő műveletének használatához kezdje egy eseményindítóval, például az Ismétlődési eseményindítóval.
A Microsoft Graph Security-összekötő használatához a Microsoft Entra ID bérlői rendszergazdai hozzájárulását a Microsoft Graph biztonsági hitelesítési követelményei részeként kell megadni.
A Microsoft Graph Security-összekötő alkalmazásazonosítója és neve (a Microsoft Entra-azonosító https://portal.azure.comesetében) a Microsoft Entra-azonosító rendszergazdai hozzájárulásához a következő:
- Alkalmazás neve – MicrosoftGraphSecurityConnector
- Alkalmazásazonosító – c4829704-0edc-4c3d-a347-7c4a67586f3c
- A bérlői rendszergazda követheti a Microsoft Entra ID-alkalmazásokhoz a fent említett alkalmazáshoz való bérlői rendszergazdai hozzájárulás megadásának lépéseit, vagy engedélyeket adhat egy munkafolyamat kezdeti futtatásakor a Microsoft Graph Security-összekötő használatával az alkalmazás-hozzájárulási felület alapján.
Most már készen áll a Microsoft Graph Security-összekötő használatára!
Az összekötő részletes ismertetése
Az összekötőről további információt a részletes szakaszban talál.
Kapcsolat létrehozása
Az összekötő a következő hitelesítési típusokat támogatja:
| Alapértelmezett | A kapcsolat létrehozásának paraméterei. | Minden régió | Nem osztható meg |
Alapértelmezett
Alkalmazható: Minden régió
A kapcsolat létrehozásának paraméterei.
Ez nem megosztható kapcsolat. Ha a power app meg van osztva egy másik felhasználóval, a rendszer kérni fogja, hogy hozzon létre új kapcsolatot.
Szabályozási korlátok
| Name | Hívások | Megújítási időszak |
|---|---|---|
| API-hívások kapcsolatonként | 100 | 60 másodperc |
Műveletek
| Aktív előfizetések lekérése (elavult) [ELAVULT] |
Szerezze be a Microsoft Entra ID-bérlőhöz tartozó (elavult) nem használt előfizetések listáját. |
| Előfizetés frissítése (elavult) [ELAVULT] |
A Microsoft Graph webhook-előfizetés megújítása a lejárati idő frissítésével (elavult). |
| Előfizetések létrehozása (elavult) [ELAVULT] |
Microsoft Graph webhook-előfizetések létrehozása (elavult). |
| Előfizetések törlése (elavult) [ELAVULT] |
Törölje az adott Microsoft Graph Webhook-előfizetést (elavult). |
| Frissítési riasztás (elavult) [ELAVULT] |
Biztonsági riasztás adott tulajdonságainak frissítése (elavult). |
| Riasztás kérése azonosító szerint (elavult) [ELAVULT] |
A megadott azonosítónak megfelelő biztonsági riasztás lekérése (elavult). |
| Riasztások lekérése (elavult) [ELAVULT] |
A Microsoft Entra ID-bérlőhöz tartozó biztonsági riasztások listájának lekérése. Különböző lekérdezési paraméterekkel használható (elavult). |
|
Ti |
A fenyegetésintelligencia-jelző adott tulajdonságainak frissítése. A tiIndicator kötelező mezői a következők: Id, expirationDateTime és targetProduct (elavult). |
|
Ti |
Szerezze be a megadott azonosítónak megfelelő (elavult) fenyegetésintelligencia-jelzőt. |
|
Ti |
Hozzon létre egy új fenyegetésintelligencia-mutatót a tiIndicators gyűjteménybe való közzétételsel (elavult). |
|
Ti |
Törölje a megadott azonosítónak megfelelő (elavult) fenyegetésintelligencia-jelzőt. |
|
Ti |
Szerezze be a Microsoft Entra ID-bérlő fenyegetésintelligencia-mutatóinak listáját. Különböző lekérdezési paraméterekkel használható (elavult). |
|
Több ti |
Hozzon létre új fenyegetésintelligencia-mutatókat egy tiIndicators-gyűjtemény közzétételével. Az egyes tiIndicatorok kötelező mezői a következők: művelet, azureTenantId, leírás, expirationDateTime, targetProduct, threatType, tlpLevel (elavult). |
|
Több ti |
Törölje a megadott azonosítóknak megfelelő (elavult) fenyegetésintelligencia-jelzőket. |
|
Több ti |
Törölje a megadott külső azonosítóknak megfelelő (elavult) fenyegetésintelligencia-jelzőket. |
|
Több ti |
Több fenyegetésintelligencia-mutató adott tulajdonságainak frissítése. Az egyes tiIndicatorok kötelező mezői a következők: Id, expirationDateTime és targetProduct (elavult). |
Aktív előfizetések lekérése (elavult) [ELAVULT]
Szerezze be a Microsoft Entra ID-bérlőhöz tartozó (elavult) nem használt előfizetések listáját.
Válaszok
| Name | Elérési út | Típus | Description |
|---|---|---|---|
|
Meglévő részszámítások száma
|
@odata.count | integer |
A visszaadott részszámítások száma |
|
Subscription
|
value | array of Subscription |
A visszaadott előfizetési entitások |
|
Következő hivatkozás
|
@odata.nextLink | string |
Hivatkozás a következő eredmények lekéréséhez, ha a kértnél több találat van |
Előfizetés frissítése (elavult) [ELAVULT]
A Microsoft Graph webhook-előfizetés megújítása a lejárati idő frissítésével (elavult).
Paraméterek
| Name | Kulcs | Kötelező | Típus | Description |
|---|---|---|---|---|
|
Előfizetés azonosító
|
Subscription Id | True | string |
Adja meg a Microsoft Graph Webhook-előfizetés azonosítóját. |
|
Lejárati dátum időpontja
|
expirationDateTime | string |
Adja meg a Microsoft Graph webhook-előfizetés lejáratának dátumát és időpontját UTC formátumban. A biztonsági riasztások lejárati ideje legfeljebb 43200 perc (30 nap alatt). |
Válaszok
Egyetlen előfizetési entitást adott vissza
- Subscription
- Subscription
Előfizetések létrehozása (elavult) [ELAVULT]
Microsoft Graph webhook-előfizetések létrehozása (elavult).
Paraméterek
| Name | Kulcs | Kötelező | Típus | Description |
|---|---|---|---|---|
|
Erőforrás URL-címe
|
resource | True | string |
Adja meg azt az erőforrást, amelyet a változások figyelnek. Ne tartalmazza az alap URL-címet ( |
|
Típus módosítása
|
changeType | True | string |
Adja meg azt a tulajdonságtípust, amely értesítést küld az előfizetett erőforrás módosításakor. |
|
Ügyfél állapota
|
clientState | string |
Adja meg az ügyfél állapotát az értesítés forrásának megerősítéséhez. |
|
|
Értesítés URL-címe
|
notificationUrl | True | string |
Adja meg annak a végpontnak a jól formázott URL-címét, amely értesítéseket fog kapni. |
|
Lejárati dátum időpontja
|
expirationDateTime | True | date-time |
Adja meg a webhook-előfizetés lejáratának dátumát; a jelenleginél nagyobb dátumnak kell lennie, és 30 napon belül kell lennie. |
Válaszok
Egyetlen előfizetési entitást adott vissza
- Subscription
- Subscription
Előfizetések törlése (elavult) [ELAVULT]
Törölje az adott Microsoft Graph Webhook-előfizetést (elavult).
Paraméterek
| Name | Kulcs | Kötelező | Típus | Description |
|---|---|---|---|---|
|
Előfizetés azonosító
|
Subscription Id | True | string |
Adja meg a Microsoft Graph Webhook-előfizetés azonosítóját. |
Frissítési riasztás (elavult) [ELAVULT]
Biztonsági riasztás adott tulajdonságainak frissítése (elavult).
Paraméterek
| Name | Kulcs | Kötelező | Típus | Description |
|---|---|---|---|---|
|
Riasztás azonosítója
|
alert-id | True | string |
Adja meg a riasztás azonosítóját. |
|
Hozzárendelve:
|
assignedTo | string |
Adja meg annak az elemzőnek a nevét, akihez a riasztás hozzárendelésre, vizsgálatra vagy szervizelésre van rendelve. |
|
|
Bezárt dateTime
|
closedDateTime | string |
Adja meg a riasztás bezárásának időpontját. Az időbélyeg típusa az ISO 8601 formátumot használó dátum- és időadatokat jelöli, és mindig UTC idő szerint van megadva. |
|
|
megjegyzések
|
comments | array of string |
Comments |
|
|
Címkék
|
tags | array of string |
Adja meg azokat a felhasználó által definiálható címkéket, amelyek alkalmazhatók egy riasztásra, és szűrőfeltételként szolgálhatnak (például "HVA", "SAW", stb.). |
|
|
Visszajelzés
|
feedback | string |
Adjon meg elemzői visszajelzést a riasztásról. |
|
|
Státusz
|
status | string |
Adja meg az állapotot a riasztási életciklus állapotának nyomon követéséhez (szakasz). |
|
|
Szolgáltató neve
|
provider | True | string |
Adott szolgáltató (termék/szolgáltatás – nem szállító vállalat); például WindowsDefenderATP. |
|
Szolgáltató verziója
|
providerVersion | string |
Adja meg a riasztást létrehozó szolgáltató vagy alszolgáltató verzióját, ha létezik. |
|
|
Alszolgáltató neve
|
subProvider | string |
Adott alszolgáltató (aggregátumszolgáltató alatt); például WindowsDefenderATP.SmartScreen. |
|
|
Szállító neve
|
vendor | True | string |
Adja meg a riasztás szállítójának nevét (például Microsoft, Dell, FireEye). |
Riasztás kérése azonosító szerint (elavult) [ELAVULT]
A megadott azonosítónak megfelelő biztonsági riasztás lekérése (elavult).
Paraméterek
| Name | Kulcs | Kötelező | Típus | Description |
|---|---|---|---|---|
|
Riasztás azonosítója
|
alert-id | True | string |
Adja meg a riasztás azonosítóját. |
Válaszok
Egyetlen riasztási entitást adott vissza
- Figyelmeztetés
- Alert
Riasztások lekérése (elavult) [ELAVULT]
A Microsoft Entra ID-bérlőhöz tartozó biztonsági riasztások listájának lekérése. Különböző lekérdezési paraméterekkel használható (elavult).
Paraméterek
| Name | Kulcs | Kötelező | Típus | Description |
|---|---|---|---|---|
|
Riasztások szűrése
|
$filter | string |
Adja meg az olyan riasztások szűrési feltételét, mint a Súlyosság eq "Magas". |
|
|
Leggyakoribb riasztások
|
$top | integer |
Adja meg az egyes szolgáltatóktól lekérendő riasztások legutóbbi legmagasabb számát. |
|
|
Riasztás tulajdonságainak kiválasztása
|
$select | string |
Adja meg az eredményekbe belefoglalandó riasztási tulajdonságokat. |
|
|
Rendezési sorrend
|
$orderby | string |
Adja meg az eredmények rendezési sorrendjét. |
|
|
Kihagyja az "n" találatokat
|
$skip | integer |
Adja meg a kihagyandó eredmények számát. Lapozáshoz hasznos. |
|
|
A visszaadott riasztások számának belefoglalása
|
$count | string |
Adja meg, hogy a válaszban visszaadott riasztások száma szerepeljen |
Válaszok
| Name | Elérési út | Típus | Description |
|---|---|---|---|
|
Riasztások száma
|
@odata.count | integer |
A visszaadott riasztások száma |
|
Riasztások
|
value | array of Alert |
A visszaadott riasztások |
|
Következő hivatkozás
|
@odata.nextLink | string |
Hivatkozás a következő eredmények lekéréséhez, ha a kértnél több találat van |
TiIndicator frissítése (elavult) [ELAVULT]
A fenyegetésintelligencia-jelző adott tulajdonságainak frissítése. A tiIndicator kötelező mezői a következők: Id, expirationDateTime és targetProduct (elavult).
Paraméterek
| Name | Kulcs | Kötelező | Típus | Description |
|---|---|---|---|---|
|
TiIndicator-azonosító
|
indicator-id | True | string |
Adja meg a fenyegetésintelligencia-jelző azonosítóját. |
|
Tevékenység
|
action | string |
Az alkalmazandó művelet, ha a mutató a targetProduct biztonsági eszközből van megfeleltetve. Értékek: (ismeretlen, engedélyezés, blokk, riasztás). |
|
|
Tevékenységcsoportnevek
|
activityGroupNames | array of string |
A fenyegetésjelző által érintett rosszindulatú tevékenységért felelős felek kiberfenyegetési intelligenciájának neve(i). |
|
|
További információk
|
additionalInformation | string |
A többi tiIndicator tulajdonság által nem érintett mutatóból további adatok helyezhetők el |
|
|
Megbízhatóság
|
confidence | integer |
Az észlelési logika megbízhatósága (0 és 100 közötti százalék). |
|
|
Description
|
description | string |
TiIndicator leírás (100 charactes vagy kevesebb). |
|
|
Gyémántmodell
|
diamondModel | string |
A gyémántmodell azon területe, amelyben ez a mutató létezik. Értékek: (ismeretlen, támadó, képesség, infrastruktúra, áldozat). |
|
|
Lejárati dátum időpontja
|
expirationDateTime | True | date-time |
A mutató lejáratának időpontja (UTC formátum). Például: 2020-03-01T00:00:00Z). |
|
Külső ID
|
externalId | string |
Azonosító szám, amely a mutatót visszakonteti a jelzőszolgáltató rendszeréhez (pl. idegen kulcs). |
|
|
Aktív
|
isActive | boolean |
Alapértelmezés szerint minden elküldött mutató aktívként van beállítva. A szolgáltatók azonban a meglévő mutatókat "False" értékre állíthatják be, hogy inaktiválják a jelzőket a rendszerben. |
|
|
Öld meg a láncot
|
killChain | array of string |
sztringek, amelyek azt írják le, hogy a mutató melyik pontjára vagy pontjára irányul a mutató a Kill Chainben. Értékek: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization). |
|
|
Ismert hamis pozitív értékek
|
knownFalsePositives | string |
Olyan forgatókönyvek, amelyekben a mutató hamis pozitívumokat okozhat. |
|
|
Utolsó jelentett dátum időpontja
|
lastReportedDateTime | date-time |
Az utolsó alkalom, amikor a mutatót látták (UTC). |
|
|
Kártevőcsaládok nevei
|
malwareFamilyNames | array of string |
A jelzőhöz társított kártevőcsalád neve, ha létezik. |
|
|
Csak passzív
|
passiveOnly | boolean |
Meghatározza, hogy a mutatónak egy végfelhasználó számára látható eseményt kell-e aktiválnia. |
|
|
Súlyosság
|
severity | integer |
A mutatóban lévő adatok által azonosított rosszindulatú viselkedés súlyossága. Az értékek 0 és 5 között vannak, és az 5 a legsúlyosabb. Az alapértelmezett érték 3. |
|
|
Címkék
|
tags | array of string | ||
|
Tlp szint
|
tlpLevel | string |
A jelző Traffic Light Protocol-értéke. Lehetséges értékek: ismeretlen, fehér, zöld, borostyán, piros. |
|
|
Céltermék
|
targetProduct | True | string |
Egyetlen biztonsági termék, amelyre a mutatót alkalmazni kell. Elfogadható értékek: Azure Sentinel, Microsoft Defender ATP. |
TiIndicator lekérése azonosító alapján (elavult) [ELAVULT]
Szerezze be a megadott azonosítónak megfelelő (elavult) fenyegetésintelligencia-jelzőt.
Paraméterek
| Name | Kulcs | Kötelező | Típus | Description |
|---|---|---|---|---|
|
TiIndicator-azonosító
|
indicator-id | True | string |
Fenyegetésintelligencia-jelző azonosító megadása |
Válaszok
Egyetlen TiIndicator-entitást adott vissza
- TiIndicator
- TiIndicator
TiIndicator létrehozása (elavult) [ELAVULT]
Hozzon létre egy új fenyegetésintelligencia-mutatót a tiIndicators gyűjteménybe való közzétételsel (elavult).
Paraméterek
| Name | Kulcs | Kötelező | Típus | Description |
|---|---|---|---|---|
|
Tevékenység
|
action | True | string |
Az alkalmazandó művelet, ha a mutató a targetProduct biztonsági eszközből van megfeleltetve. Értékek: (ismeretlen, engedélyezés, blokk, riasztás). |
|
Tevékenységcsoportnevek
|
activityGroupNames | array of string |
A fenyegetésjelző által érintett rosszindulatú tevékenységért felelős felek kiberfenyegetési intelligenciájának neve(i). |
|
|
További információk
|
additionalInformation | string |
A többi tiIndicator tulajdonság által nem érintett mutatóból további adatok helyezhetők el |
|
|
Azure-bérlő azonosítója
|
azureTenantId | string |
A beküldő ügyfél Microsoft Entra-azonosító bérlőazonosítója. |
|
|
Megbízhatóság
|
confidence | integer |
Az észlelési logika megbízhatósága (0 és 100 közötti százalék). |
|
|
Description
|
description | True | string |
TiIndicator leírás (100 charactes vagy kevesebb). |
|
Gyémántmodell
|
diamondModel | string |
A gyémántmodell azon területe, amelyben ez a mutató létezik. Értékek: (ismeretlen, támadó, képesség, infrastruktúra, áldozat). |
|
|
Lejárati dátum időpontja
|
expirationDateTime | True | date-time |
A mutató lejáratának időpontja (UTC). |
|
Külső ID
|
externalId | string |
Azonosító szám, amely a mutatót visszakonteti a jelzőszolgáltató rendszeréhez (pl. idegen kulcs). |
|
|
Betöltési dátum időpontja
|
ingestedDateTime | date-time |
A mutató betöltésének időpontja (UTC). |
|
|
Aktív
|
isActive | boolean |
Alapértelmezés szerint minden elküldött mutató aktívként van beállítva. A szolgáltatók azonban a meglévő mutatókat "False" értékre állíthatják be, hogy inaktiválják a jelzőket a rendszerben. |
|
|
Öld meg a láncot
|
killChain | array of string |
sztringek, amelyek azt írják le, hogy a mutató melyik pontjára vagy pontjára irányul a mutató a Kill Chainben. Értékek: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization). |
|
|
Ismert hamis pozitív értékek
|
knownFalsePositives | string |
Olyan forgatókönyvek, amelyekben a mutató hamis pozitívumokat okozhat. |
|
|
Utolsó jelentett dátum időpontja
|
lastReportedDateTime | date-time |
Az utolsó alkalom, amikor a mutatót látták (UTC). |
|
|
Kártevőcsaládok nevei
|
malwareFamilyNames | array of string |
A jelzőhöz társított kártevőcsalád neve, ha létezik. |
|
|
Csak passzív
|
passiveOnly | boolean |
Meghatározza, hogy a mutatónak egy végfelhasználó számára látható eseményt kell-e aktiválnia. |
|
|
Súlyosság
|
severity | integer |
A mutatóban lévő adatok által azonosított rosszindulatú viselkedés súlyossága. Az értékek 0 és 5 között vannak, és az 5 a legsúlyosabb. Az alapértelmezett érték 3. |
|
|
Címkék
|
tags | array of string | ||
|
Céltermék
|
targetProduct | True | string |
Egyetlen biztonsági termék, amelyre a mutatót alkalmazni kell. Elfogadható értékek: Azure Sentinel, Microsoft Defender ATP. |
|
Fenyegetés típusa
|
threatType | string |
Minden mutatónak érvényes jelzőfenyegetés-típussal kell rendelkeznie. Lehetséges értékek: Botnet, C2, CryptoMining, Darknet, DDoS, MalwareUrl, Malware, Phishing, Proxy, PUA, WatchList. |
|
|
Tlp szint
|
tlpLevel | string |
A jelző Traffic Light Protocol-értéke. Lehetséges értékek: ismeretlen, fehér, zöld, borostyán, piros. |
|
|
E-mail kódolás
|
emailEncoding | string |
Az e-mailben használt szövegkódolás típusa. |
|
|
E-mail nyelv
|
emailLanguage | string |
Az e-mail nyelve. |
|
|
E-mail címzettje
|
emailRecipient | string |
Címzett e-mail címe. |
|
|
E-mail feladó címe
|
emailSenderAddress | string |
A támadó|áldozat e-mail-címe. |
|
|
E-mail feladó neve
|
emailSenderName | string |
A támadó|áldozat megjelenített neve. |
|
|
E-mail forrástartomány
|
emailSourceDomain | string |
Az e-mailben használt tartomány. |
|
|
E-mail-forrás IP-címe
|
emailSourceIpAddress | string |
Az e-mail forrás IP-címe. |
|
|
E-mail tárgya
|
emailSubject | string |
Tárgy e-mail-cím. |
|
|
E-mail XMailer
|
emailXMailer | string |
Az e-mailben használt X-Mailer érték. |
|
|
A fájl fordítási dátumának időpontja
|
fileCompileDateTime | date-time |
DateTime a fájl lefordításakor. |
|
|
A fájl létrehozási dátuma
|
fileCreatedDateTime | date-time |
DateTime a fájl létrehozásakor. |
|
|
Fájlkivonat típusa
|
fileHashType | string |
A fileHashValue fájlban tárolt kivonat típusa. Lehetséges értékek: ismeretlen, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
|
|
Fájlkivonat értéke
|
fileHashValue | string |
A fájlkivonat értéke. |
|
|
Fájl mutexneve
|
fileMutexName | string |
Fájlalapú észlelésekben használt Mutex-név. |
|
|
Fájlnév
|
fileName | string |
A fájl neve, ha a mutató fájlalapú. |
|
|
Fájlcsomagoló
|
filePacker | string |
A szóban forgó fájl létrehozásához használt packer. |
|
|
Fájl elérési útja
|
filePath | string |
A biztonsági rést jelző fájl elérési útja. Lehet windowsos vagy *nix stílusú elérési út. |
|
|
Fájlméret
|
fileSize | integer |
A fájl mérete bájtban. |
|
|
Fájltípus
|
fileType | string |
A fájl típusának szöveges leírása. Például: "Word Document" vagy "Binary". |
|
|
Domain név
|
domainName | string |
A mutatóhoz társított tartománynév. |
|
|
Hálózati cidr blokk
|
networkCidrBlock | string |
Az ebben a mutatóban hivatkozott hálózat CIDR-blokkjelölője. |
|
|
Hálózati cél asn
|
networkDestinationAsn | integer |
A mutatóban hivatkozott hálózat cél autonóm rendszerazonosítója. |
|
|
Hálózati cél cidr blokkja
|
networkDestinationCidrBlock | string |
A ciDR blokkjelek ábrázolása a célhálózatról ebben a mutatóban. |
|
|
Hálózati cél IPv4
|
networkDestinationIPv4 | string |
IPv4 IP-cím célhelye. |
|
|
Hálózati cél IPv6
|
networkDestinationIPv6 | string |
IPv6 IP-cím célhelye. |
|
|
Hálózati célport
|
networkDestinationPort | integer |
TCP-port célhelye. |
|
|
Hálózati IPv4
|
networkIPv4 | string |
IPv4 IP-cím. |
|
|
Hálózati IPv6
|
networkIPv6 | string |
IPv6 IP-cím. |
|
|
Hálózati port
|
networkPort | integer |
TCP-port. |
|
|
Hálózati protokoll
|
networkProtocol | integer |
A protokollmező decimális ábrázolása az IPv4 fejlécben. |
|
|
Hálózati forrás asn
|
networkSourceAsn | integer |
A mutatóban hivatkozott hálózat forrás autonóm rendszerazonosítója. |
|
|
Hálózati forráskódblokk
|
networkSourceCidrBlock | string |
A forráshálózat CIDR-blokkjelzésének ábrázolása ebben a mutatóban. |
|
|
Hálózati forrás IPv4
|
networkSourceIPv4 | string |
IPv4 IP-címforrás. |
|
|
Hálózati cél IPv6
|
networkSourceIPv6 | string |
IPv6 IP-címforrás. |
|
|
Hálózati forrásport
|
networkSourcePort | integer |
TCP-portforrás. |
|
|
URL vagy webcím
|
url | string |
Egységes erőforrás-kereső. |
|
|
Felhasználói ügynök
|
userAgent | string |
User-Agent olyan webes kérés sztringje, amely sérülést jelezhet. |
Válaszok
Egyetlen TiIndicator-entitást adott vissza
- TiIndicator
- TiIndicator
TiIndicator törlése azonosító szerint (elavult) [ELAVULT]
Törölje a megadott azonosítónak megfelelő (elavult) fenyegetésintelligencia-jelzőt.
Paraméterek
| Name | Kulcs | Kötelező | Típus | Description |
|---|---|---|---|---|
|
TiIndicator-azonosító
|
indicator-id | True | string |
Fenyegetésintelligencia-jelző azonosító megadása |
TiIndikátorok lekérése (elavult) [ELAVULT]
Szerezze be a Microsoft Entra ID-bérlő fenyegetésintelligencia-mutatóinak listáját. Különböző lekérdezési paraméterekkel használható (elavult).
Paraméterek
| Name | Kulcs | Kötelező | Típus | Description |
|---|---|---|---|---|
|
TiIndicatorok szűrése
|
$filter | string |
A fenyegetésintelligencia-mutatók szűrési feltételének megadása, például threatType eq "WatchList" |
|
|
Top tiIndicators
|
$top | integer |
A lekérendő fenyegetésintelligencia-mutatók legutóbbi számának megadása |
|
|
A tiIndicator tulajdonságainak kiválasztása
|
$select | string |
Adja meg az eredményekbe belefoglalandó fenyegetésintelligencia-jelző tulajdonságait. |
|
|
A visszaadott tiIndicatorok számának belefoglalása
|
$count | string |
Adja meg a válaszban visszaadott fenyegetésintelligencia-mutatók számát |
|
|
Kihagyja az "n" találatokat
|
$skip | integer |
Adja meg a kihagyandó eredmények számát. Lapozáshoz hasznos. |
|
|
Rendezési sorrend
|
$orderby | string |
Adja meg az eredmények rendezési sorrendjét. |
Válaszok
| Name | Elérési út | Típus | Description |
|---|---|---|---|
|
TiIndicatorok száma
|
@odata.count | integer |
A visszaadott TiIndicator száma |
|
TiIndicators
|
value | array of TiIndicator |
A TiIndicator visszaadott |
|
Következő hivatkozás
|
@odata.nextLink | string |
Hivatkozás a következő eredmények lekéréséhez, ha a kértnél több találat van |
Több tiIndicator elküldése (elavult) [ELAVULT]
Hozzon létre új fenyegetésintelligencia-mutatókat egy tiIndicators-gyűjtemény közzétételével. Az egyes tiIndicatorok kötelező mezői a következők: művelet, azureTenantId, leírás, expirationDateTime, targetProduct, threatType, tlpLevel (elavult).
Paraméterek
| Name | Kulcs | Kötelező | Típus | Description |
|---|---|---|---|---|
|
Tevékenység
|
action | True | string |
Az alkalmazandó művelet, ha a mutató a targetProduct biztonsági eszközből van megfeleltetve. Értékek: (ismeretlen, engedélyezés, blokk, riasztás). |
|
Tevékenységcsoportnevek
|
activityGroupNames | array of string |
A fenyegetésjelző által érintett rosszindulatú tevékenységért felelős felek kiberfenyegetési intelligenciájának neve(i). |
|
|
További információk
|
additionalInformation | string |
A többi tiIndicator tulajdonság által nem érintett mutatóból további adatok helyezhetők el |
|
|
Azure-bérlő azonosítója
|
azureTenantId | string |
A beküldő ügyfél Microsoft Entra-azonosító bérlőazonosítója. |
|
|
Megbízhatóság
|
confidence | integer |
Az észlelési logika megbízhatósága (0 és 100 közötti százalék). |
|
|
Description
|
description | True | string |
TiIndicator leírás (100 charactes vagy kevesebb). |
|
Gyémántmodell
|
diamondModel | string |
A gyémántmodell azon területe, amelyben ez a mutató létezik. Értékek: (ismeretlen, támadó, képesség, infrastruktúra, áldozat). |
|
|
Lejárati dátum időpontja
|
expirationDateTime | True | date-time |
A mutató lejáratának időpontja (UTC). |
|
Külső ID
|
externalId | string |
Azonosító szám, amely a mutatót visszakonteti a jelzőszolgáltató rendszeréhez (pl. idegen kulcs). |
|
|
Betöltési dátum időpontja
|
ingestedDateTime | date-time |
A mutató betöltésének időpontja (UTC). |
|
|
Aktív
|
isActive | boolean |
Alapértelmezés szerint minden elküldött mutató aktívként van beállítva. A szolgáltatók azonban a meglévő mutatókat "False" értékre állíthatják be, hogy inaktiválják a jelzőket a rendszerben. |
|
|
Öld meg a láncot
|
killChain | array of string |
sztringek, amelyek azt írják le, hogy a mutató melyik pontjára vagy pontjára irányul a mutató a Kill Chainben. Értékek: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization). |
|
|
Ismert hamis pozitív értékek
|
knownFalsePositives | string |
Olyan forgatókönyvek, amelyekben a mutató hamis pozitívumokat okozhat. |
|
|
Utolsó jelentett dátum időpontja
|
lastReportedDateTime | date-time |
Az utolsó alkalom, amikor a mutatót látták (UTC). |
|
|
Kártevőcsaládok nevei
|
malwareFamilyNames | array of string |
A jelzőhöz társított kártevőcsalád neve, ha létezik. |
|
|
Csak passzív
|
passiveOnly | boolean |
Meghatározza, hogy a mutatónak egy végfelhasználó számára látható eseményt kell-e aktiválnia. |
|
|
Súlyosság
|
severity | integer |
A mutatóban lévő adatok által azonosított rosszindulatú viselkedés súlyossága. Az értékek 0 és 5 között vannak, és az 5 a legsúlyosabb. Az alapértelmezett érték 3. |
|
|
Címkék
|
tags | array of string | ||
|
Céltermék
|
targetProduct | True | string |
Egyetlen biztonsági termék, amelyre a mutatót alkalmazni kell. Elfogadható értékek: Azure Sentinel, Microsoft Defender ATP. |
|
Fenyegetés típusa
|
threatType | string |
Minden mutatónak érvényes jelzőfenyegetés-típussal kell rendelkeznie. Lehetséges értékek: Botnet, C2, CryptoMining, Darknet, DDoS, MalwareUrl, Malware, Phishing, Proxy, PUA, WatchList. |
|
|
Tlp szint
|
tlpLevel | string |
A jelző Traffic Light Protocol-értéke. Lehetséges értékek: ismeretlen, fehér, zöld, borostyán, piros. |
|
|
E-mail kódolás
|
emailEncoding | string |
Az e-mailben használt szövegkódolás típusa. |
|
|
E-mail nyelv
|
emailLanguage | string |
Az e-mail nyelve. |
|
|
E-mail címzettje
|
emailRecipient | string |
Címzett e-mail címe. |
|
|
E-mail feladó címe
|
emailSenderAddress | string |
A támadó|áldozat e-mail-címe. |
|
|
E-mail feladó neve
|
emailSenderName | string |
A támadó|áldozat megjelenített neve. |
|
|
E-mail forrástartomány
|
emailSourceDomain | string |
Az e-mailben használt tartomány. |
|
|
E-mail-forrás IP-címe
|
emailSourceIpAddress | string |
Az e-mail forrás IP-címe. |
|
|
E-mail tárgya
|
emailSubject | string |
Tárgy e-mail-cím. |
|
|
E-mail XMailer
|
emailXMailer | string |
Az e-mailben használt X-Mailer érték. |
|
|
A fájl fordítási dátumának időpontja
|
fileCompileDateTime | date-time |
DateTime a fájl lefordításakor. |
|
|
A fájl létrehozási dátuma
|
fileCreatedDateTime | date-time |
DateTime a fájl létrehozásakor. |
|
|
Fájlkivonat típusa
|
fileHashType | string |
A fileHashValue fájlban tárolt kivonat típusa. Lehetséges értékek: ismeretlen, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
|
|
Fájlkivonat értéke
|
fileHashValue | string |
A fájlkivonat értéke. |
|
|
Fájl mutexneve
|
fileMutexName | string |
Fájlalapú észlelésekben használt Mutex-név. |
|
|
Fájlnév
|
fileName | string |
A fájl neve, ha a mutató fájlalapú. |
|
|
Fájlcsomagoló
|
filePacker | string |
A szóban forgó fájl létrehozásához használt packer. |
|
|
Fájl elérési útja
|
filePath | string |
A biztonsági rést jelző fájl elérési útja. Lehet windowsos vagy *nix stílusú elérési út. |
|
|
Fájlméret
|
fileSize | integer |
A fájl mérete bájtban. |
|
|
Fájltípus
|
fileType | string |
A fájl típusának szöveges leírása. Például: "Word Document" vagy "Binary". |
|
|
Domain név
|
domainName | string |
A mutatóhoz társított tartománynév. |
|
|
Hálózati cidr blokk
|
networkCidrBlock | string |
Az ebben a mutatóban hivatkozott hálózat CIDR-blokkjelölője. |
|
|
Hálózati cél asn
|
networkDestinationAsn | integer |
A mutatóban hivatkozott hálózat cél autonóm rendszerazonosítója. |
|
|
Hálózati cél cidr blokkja
|
networkDestinationCidrBlock | string |
A ciDR blokkjelek ábrázolása a célhálózatról ebben a mutatóban. |
|
|
Hálózati cél IPv4
|
networkDestinationIPv4 | string |
IPv4 IP-cím célhelye. |
|
|
Hálózati cél IPv6
|
networkDestinationIPv6 | string |
IPv6 IP-cím célhelye. |
|
|
Hálózati célport
|
networkDestinationPort | integer |
TCP-port célhelye. |
|
|
Hálózati IPv4
|
networkIPv4 | string |
IPv4 IP-cím. |
|
|
Hálózati IPv6
|
networkIPv6 | string |
IPv6 IP-cím. |
|
|
Hálózati port
|
networkPort | integer |
TCP-port. |
|
|
Hálózati protokoll
|
networkProtocol | integer |
A protokollmező decimális ábrázolása az IPv4 fejlécben. |
|
|
Hálózati forrás asn
|
networkSourceAsn | integer |
A mutatóban hivatkozott hálózat forrás autonóm rendszerazonosítója. |
|
|
Hálózati forráskódblokk
|
networkSourceCidrBlock | string |
A forráshálózat CIDR-blokkjelzésének ábrázolása ebben a mutatóban. |
|
|
Hálózati forrás IPv4
|
networkSourceIPv4 | string |
IPv4 IP-címforrás. |
|
|
Hálózati cél IPv6
|
networkSourceIPv6 | string |
IPv6 IP-címforrás. |
|
|
Hálózati forrásport
|
networkSourcePort | integer |
TCP-portforrás. |
|
|
URL vagy webcím
|
url | string |
Egységes erőforrás-kereső. |
|
|
Felhasználói ügynök
|
userAgent | string |
User-Agent olyan webes kérés sztringje, amely sérülést jelezhet. |
Válaszok
| Name | Elérési út | Típus | Description |
|---|---|---|---|
|
TiIndicators
|
value | array of TiIndicator |
A TiIndicators beküldve |
Több tiIndicator törlése azonosítók szerint (elavult) [ELAVULT]
Törölje a megadott azonosítóknak megfelelő (elavult) fenyegetésintelligencia-jelzőket.
Paraméterek
| Name | Kulcs | Kötelező | Típus | Description |
|---|---|---|---|---|
|
value
|
value | array of string |
Válaszok
| Name | Elérési út | Típus | Description |
|---|---|---|---|
|
value
|
value | array of object | |
|
kód
|
value.code | integer |
Az eredménykód |
|
üzenet
|
value.message | string |
Az üzenet |
|
Alkód
|
value.subcode | integer |
Az eredmény alkódja |
Több tiIndicator törlése külső azonosítók szerint (elavult) [ELAVULT]
Törölje a megadott külső azonosítóknak megfelelő (elavult) fenyegetésintelligencia-jelzőket.
Paraméterek
| Name | Kulcs | Kötelező | Típus | Description |
|---|---|---|---|---|
|
value
|
value | array of string |
Válaszok
| Name | Elérési út | Típus | Description |
|---|---|---|---|
|
value
|
value | array of object | |
|
kód
|
value.code | integer |
Az eredménykód |
|
üzenet
|
value.message | string |
Az üzenet |
|
Alkód
|
value.subcode | integer |
Az eredmény alkódja |
Több tiIndikátor frissítése (elavult) [ELAVULT]
Több fenyegetésintelligencia-mutató adott tulajdonságainak frissítése. Az egyes tiIndicatorok kötelező mezői a következők: Id, expirationDateTime és targetProduct (elavult).
Paraméterek
| Name | Kulcs | Kötelező | Típus | Description |
|---|---|---|---|---|
|
azonosító
|
id | True | string |
TiIndicator-id |
|
Tevékenység
|
action | string |
Az alkalmazandó művelet, ha a mutató a targetProduct biztonsági eszközből van megfeleltetve. Értékek: (ismeretlen, engedélyezés, blokk, riasztás). |
|
|
Tevékenységcsoportnevek
|
activityGroupNames | array of string |
A fenyegetésjelző által érintett rosszindulatú tevékenységért felelős felek kiberfenyegetési intelligenciájának neve(i). |
|
|
További információk
|
additionalInformation | string |
A többi tiIndicator tulajdonság által nem érintett mutatóból további adatok helyezhetők el |
|
|
Megbízhatóság
|
confidence | integer |
Az észlelési logika megbízhatósága (0 és 100 közötti százalék). |
|
|
Description
|
description | string |
TiIndicator leírás (100 charactes vagy kevesebb). |
|
|
Gyémántmodell
|
diamondModel | string |
A gyémántmodell azon területe, amelyben ez a mutató létezik. Értékek: (ismeretlen, támadó, képesség, infrastruktúra, áldozat). |
|
|
Lejárati dátum időpontja
|
expirationDateTime | True | date-time |
A mutató lejáratának időpontja (UTC). |
|
Céltermék
|
targetProduct | True | string |
Egyetlen biztonsági termék, amelyre a mutatót alkalmazni kell. Elfogadható értékek: Azure Sentinel, Microsoft Defender ATP. |
|
Külső ID
|
externalId | string |
Azonosító szám, amely a mutatót visszakonteti a jelzőszolgáltató rendszeréhez (pl. idegen kulcs). |
|
|
Aktív
|
isActive | boolean |
Alapértelmezés szerint minden elküldött mutató aktívként van beállítva. A szolgáltatók azonban a meglévő mutatókat "False" értékre állíthatják be, hogy inaktiválják a jelzőket a rendszerben. |
|
|
Öld meg a láncot
|
killChain | array of string |
sztringek, amelyek azt írják le, hogy a mutató melyik pontjára vagy pontjára irányul a mutató a Kill Chainben. Értékek: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization). |
|
|
Ismert hamis pozitív értékek
|
knownFalsePositives | string |
Olyan forgatókönyvek, amelyekben a mutató hamis pozitívumokat okozhat. |
|
|
Utolsó jelentett dátum időpontja
|
lastReportedDateTime | date-time |
Az utolsó alkalom, amikor a mutatót látták (UTC). |
|
|
Kártevőcsaládok nevei
|
malwareFamilyNames | array of string |
A jelzőhöz társított kártevőcsalád neve, ha létezik. |
|
|
Csak passzív
|
passiveOnly | boolean |
Meghatározza, hogy a mutatónak egy végfelhasználó számára látható eseményt kell-e aktiválnia. |
|
|
Súlyosság
|
severity | integer |
A mutatóban lévő adatok által azonosított rosszindulatú viselkedés súlyossága. Az értékek 0 és 5 között vannak, és az 5 a legsúlyosabb. Az alapértelmezett érték 3. |
|
|
Címkék
|
tags | array of string | ||
|
Tlp szint
|
tlpLevel | string |
A jelző Traffic Light Protocol-értéke. Lehetséges értékek: ismeretlen, fehér, zöld, borostyán, piros. |
Válaszok
| Name | Elérési út | Típus | Description |
|---|---|---|---|
|
TiIndicators
|
value | array of TiIndicator |
A TiIndicators frissült |
Triggerek
| Az összes új riasztáson (elavult) [ELAVULT] |
Eseményindítók az összes új riasztáson (elavult) |
| Új, nagy súlyosságú riasztások esetén (elavult) [ELAVULT] |
Új, nagy súlyosságú riasztások eseményindítói (elavult) |
Az összes új riasztáson (elavult) [ELAVULT]
Eseményindítók az összes új riasztáson (elavult)
Válaszok
| Name | Elérési út | Típus | Description |
|---|---|---|---|
|
Riasztások száma
|
@odata.count | integer |
A visszaadott riasztások száma |
|
Riasztások
|
value | array of Alert |
A visszaadott riasztások |
|
Következő hivatkozás
|
@odata.nextLink | string |
Hivatkozás a következő eredmények lekéréséhez, ha a kértnél több találat van |
Új, nagy súlyosságú riasztások esetén (elavult) [ELAVULT]
Új, nagy súlyosságú riasztások eseményindítói (elavult)
Válaszok
| Name | Elérési út | Típus | Description |
|---|---|---|---|
|
Riasztások száma
|
@odata.count | integer |
A visszaadott riasztások száma |
|
Riasztások
|
value | array of Alert |
A visszaadott riasztások |
|
Következő hivatkozás
|
@odata.nextLink | string |
Hivatkozás a következő eredmények lekéréséhez, ha a kértnél több találat van |
Definíciók
Figyelmeztetés
Egyetlen riasztási entitást adott vissza
| Name | Elérési út | Típus | Description |
|---|---|---|---|
|
Azure-előfizetés azonosítója
|
azureSubscriptionId | string |
Azure-előfizetés azonosítója, amely akkor jelenik meg, ha ez a riasztás egy Azure-erőforráshoz kapcsolódik. |
|
Címkék
|
tags | array of string |
Felhasználó által definiálható címkék, amelyek alkalmazhatók egy riasztásra, és szűrőfeltételekként szolgálhatnak (pl. "HVA", "SAW" stb.). |
|
azonosító
|
id | string |
Szolgáltató által létrehozott GUID/egyedi azonosító. |
|
Azure-bérlő azonosítója
|
azureTenantId | string |
Microsoft Entra ID bérlőazonosító. |
|
Tevékenységcsoport neve
|
activityGroupName | string |
A riasztás a tevékenységcsoport (támadó) neve vagy aliasa. |
|
Hozzárendelve:
|
assignedTo | string |
Annak az elemzőnek a neve, akihez a riasztás hozzárendelésre, vizsgálatra vagy szervizelésre van rendelve. |
|
Kategória
|
category | string |
A riasztás kategóriája (pl. credentialTheft, ransomware stb.). |
|
Záró dátum időpontja
|
closedDateTime | date-time |
A riasztás lezárásának időpontja (UTC). |
|
Comments
|
comments | array of string |
Ügyfél által megadott megjegyzések a riasztáshoz (az ügyfél riasztáskezeléséhez). |
|
Megbízhatóság
|
confidence | integer |
Az észlelési logika megbízhatósága (1 és 100 közötti százalék). |
|
Létrehozás dátuma
|
createdDateTime | date-time |
A riasztás létrehozásának időpontja (UTC). |
|
Description
|
description | string |
Riasztás leírása. |
|
Észlelési azonosítók
|
detectionIds | array of string |
A riasztási entitáshoz kapcsolódó riasztások készlete. |
|
Eseménydátum időpontja
|
eventDateTime | date-time |
A riasztás létrehozásához a trigger(ek)ként szolgáló esemény(ek) bekövetkezésének időpontja (UTC). |
|
Visszajelzés
|
feedback | string |
Elemzői visszajelzés a riasztásról. Lehetséges értékek: ismeretlen, truePositive, falsePositive, benignPositive. |
|
Utolsó módosítás dátuma
|
lastModifiedDateTime | date-time |
A riasztási entitás utolsó módosításának időpontja (UTC). |
|
Javasolt műveletek
|
recommendedActions | array of string |
A szállító/szolgáltató a riasztás eredményeként javasolt műveletet/műveleteket (pl. gép elkülönítése, enforce2FA, reimage host stb.). |
|
Súlyosság
|
severity | string |
Riasztás súlyossága – szállító/szolgáltató szerint megadva. Értékek: (magas, közepes, alacsony, Információs), ahol az "információs" azt jelzi, hogy a riasztás nem használható. |
|
Forrásanyagok
|
sourceMaterials | array of string |
A riasztáshoz kapcsolódó forrásanyagra mutató hivatkozások (URI-k), például szolgáltatói vizsgálat felhasználói felülete stb. |
|
Státusz
|
status | string |
Riasztás életciklusának állapota (szakasz). Értékek: (ismeretlen, newAlert, inProgress, feloldva). |
|
Cím
|
title | string |
Riasztás címe. |
|
Szolgáltató neve
|
vendorInformation.provider | string |
Adott szolgáltató (termék/szolgáltatás – nem szállító vállalat); például WindowsDefenderATP. |
|
Szolgáltató verziója
|
vendorInformation.providerVersion | string |
A szolgáltató vagy az alszolgáltató verziója. |
|
Alszolgáltató neve
|
vendorInformation.subProvider | string |
Adott alszolgáltató (aggregátumszolgáltató alatt); például WindowsDefenderATP.SmartScreen. |
|
Szállító neve
|
vendorInformation.vendor | string |
A riasztás szállítójának neve (például Microsoft, Dell, FireEye). |
|
A felhőalkalmazás állapotai
|
cloudAppStates | array of object |
A szolgáltató által a riasztáshoz kapcsolódó felhőalkalmazásról/alkalmazásokról létrehozott, biztonsággal kapcsolatos állapotalapú információk. |
|
Célszolgáltatás IP-címe
|
cloudAppStates.destinationServiceIp | string |
A felhőalkalmazáshoz/szolgáltatáshoz való kapcsolat cél IP-címe. |
|
Célszolgáltatás neve
|
cloudAppStates.destinationServiceName | string |
Célfelhő-alkalmazás/szolgáltatás neve. |
|
Kockázati pontszám
|
cloudAppStates.riskScore | string |
A felhőalkalmazás/szolgáltatás szolgáltató által generált/számított kockázati pontszáma. |
|
Fájlállapotok
|
fileStates | array of object |
A szolgáltató által a riasztáshoz kapcsolódó fájl(ok)ról létrehozott, biztonsággal kapcsolatos állapotinformációk. |
|
Név
|
fileStates.name | string |
Fájlnév (elérési út nélkül). |
|
Útvonal
|
fileStates.path | string |
A fájl/imageFile teljes elérési útja. |
|
Kockázati pontszám
|
fileStates.riskScore | string |
A szolgáltató létrehozta/kiszámította a riasztásfájl kockázati pontszámát. |
|
Típus
|
fileStates.fileHash.type | string |
Fájlkivonat típusa. Lehetséges értékek: ismeretlen, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256. |
|
Érték
|
fileStates.fileHash.value | string |
A fájlkivonat értéke. |
|
Gazdagépállapotok
|
hostStates | array of object |
A szolgáltató által a riasztáshoz kapcsolódó gazdagép(ek)ről létrehozott, biztonsággal kapcsolatos állapotalapú információk. |
|
Teljes tartománynév
|
hostStates.fqdn | string |
Gazdagép teljes tartományneve (teljes tartománynév). |
|
Csatlakozik az AzureAd
|
hostStates.isAzureAdJoined | boolean |
Igaz, ha a gazdagép tartományhoz csatlakozik a Microsoft Entra ID Domain Services szolgáltatáshoz. |
|
Regisztrálva van az AzureAd
|
hostStates.isAzureAdRegistered | boolean |
Igaz, ha a gazdagép regisztrálva van a Microsoft Entra ID eszközregisztrációban (pl. BYOD) – nem teljes körűen nagyvállalati felügyelet alatt. |
|
Hibrid Azure-tartomány csatlakozik
|
hostStates.isHybridAzureDomainJoined | boolean |
Igaz, ha a gazdagép tartományhoz csatlakozik egy helyszíni Microsoft Entra ID-tartományhoz. |
|
Nettó bios neve
|
hostStates.netBiosName | string |
Helyi gazdagépnév DNS-tartománynév nélkül. |
|
Operációs rendszer neve
|
hostStates.os | string |
Gazdagép operációs rendszere. |
|
Magánhálózati IP-cím
|
hostStates.privateIpAddress | string |
Privát (nem módosítható) IPv4- vagy IPv6-cím a riasztás idején. |
|
Nyilvános IP-cím
|
hostStates.publicIpAddress | string |
Nyilvánosan elérhető IPv4- vagy IPv6-cím a riasztás idején. |
|
Kockázati pontszám
|
hostStates.riskScore | string |
A gazdagép szolgáltató által generált/számított kockázati pontszáma. |
|
Kártevő-állapotok
|
malwareStates | array of object |
A szolgáltató által a riasztáshoz kapcsolódó kártevőkről létrehozott, biztonsággal kapcsolatos állapotalapú információk. |
|
Kategória
|
malwareStates.category | string |
A szolgáltató által létrehozott kártevők kategóriája (pl. trójai, ransomware stb.). |
|
Család
|
malwareStates.family | string |
Szolgáltató által létrehozott kártevőcsalád (pl. "wannacry", "notpetya" stb.). |
|
Név
|
malwareStates.name | string |
A szolgáltató által létrehozott kártevővariáns neve (pl. Trojan:Win32/Powessere.H). |
|
Súlyosság
|
malwareStates.severity | string |
A kártevő szolgáltató által meghatározott súlyossága. |
|
Futott
|
malwareStates.wasRunning | boolean |
Azt jelzi, hogy az észlelt fájl (kártevő/biztonsági rés) az észleléskor futott-e, vagy a lemezen inaktív állapotban volt-e észlelve. |
|
Hálózati kapcsolatok
|
networkConnections | array of object |
A szolgáltató által a riasztáshoz kapcsolódó fájl(ok)ról létrehozott, biztonsággal kapcsolatos állapotinformációk. |
|
Alkalmazás neve
|
networkConnections.applicationName | string |
A hálózati kapcsolatot kezelő alkalmazás neve (pl. Facebook, SMTP stb.). |
|
Célcím
|
networkConnections.destinationAddress | string |
A hálózati kapcsolat cél IP-címe. |
|
Céltartomány
|
networkConnections.destinationDomain | string |
Céltartomány része a cél URL-címnek. (például "www.contoso.com"). |
|
Célport
|
networkConnections.destinationPort | string |
A hálózati kapcsolat célportja. |
|
Cél URL-címe
|
networkConnections.destinationUrl | string |
Hálózati kapcsolat URL-címe/URI-sztring – a paraméterek kivételével. |
|
Irány
|
networkConnections.direction | string |
Hálózati kapcsolat iránya. Lehetséges értékek: ismeretlen, bejövő, kimenő. |
|
Tartomány által regisztrált dateTime
|
networkConnections.domainRegisteredDateTime | date-time |
A céltartomány regisztrálásának dátuma (UTC). |
|
Helyi DNS-név
|
networkConnections.localDnsName | string |
A helyi DNS-névfeloldás a gazdagép helyi DNS-gyorsítótárában jelenik meg (például abban az esetben, ha a "gazdagépek" fájlt illetéktelenül módosították). |
|
Nat-célcím
|
networkConnections.natDestinationAddress | string |
Hálózati cím fordítási cél IP-címe. |
|
Nat-célport
|
networkConnections.natDestinationPort | string |
Hálózati címfordítás célportja. |
|
Nat-forráscím
|
networkConnections.natSourceAddress | string |
Hálózati cím fordítási forrás IP-címe. |
|
Nat-forrásport
|
networkConnections.natSourcePort | string |
Hálózati címfordítás forrásportja. |
|
Protokoll
|
networkConnections.protocol | string |
Hálózati protokoll. Lehetséges értékek: ismeretlen, ip, icmp, igmp, ggp, ipv4, tcp, pup, udp, idp, ipv6, ipv6RoutingHeader, ipv6FragmentHeader, ipSecEncapsulatingSecurityPayload, ipSecAuthenticationHeader, icmpV6, ipv6NoNextHeader, ipv6DestinationOptions, nd, raw, ipx, spx, spxII. |
|
Kockázati pontszám
|
networkConnections.riskScore | string |
A szolgáltató által generált/számított kockázati pontszám a hálózati kapcsolatról. |
|
Forráscím
|
networkConnections.sourceAddress | string |
A hálózati kapcsolat forrás (azaz forrás) IP-címe. |
|
Forrásport
|
networkConnections.sourcePort | string |
A hálózati kapcsolat forrás (vagyis forrás) IP-portja. |
|
Státusz
|
networkConnections.status | string |
Hálózati kapcsolat állapota. Lehetséges értékek: ismeretlen, megkísérelt, sikeres, blokkolt, sikertelen. |
|
URL-paraméterek
|
networkConnections.urlParameters | string |
A cél URL-cím paraméterei (utótagja) sztringként. |
|
Processes
|
processes | array of object |
A szolgáltató által a riasztáshoz kapcsolódó folyamatokkal vagy folyamatokkal kapcsolatos, biztonsággal kapcsolatos állapotalapú információk. |
|
Fióknév
|
processes.accountName | string |
Felhasználói fiók azonosítója (a folyamat alatt futtatott felhasználói fiók környezete) pl. AccountName, SID stb. |
|
Parancssor
|
processes.commandLine | string |
A teljes folyamathívási parancsvonal, beleértve az összes paramétert. |
|
Létrehozás dátuma
|
processes.createdDateTime | date-time |
DateTime, amikor a szülőfolyamat elindult (UTC). |
|
Integritási szint
|
processes.integrityLevel | string |
A folyamat integritási szintje. Lehetséges értékek: ismeretlen, nem megbízható, alacsony, közepes, magas, rendszer. |
|
Emelt szintű
|
processes.isElevated | boolean |
Igaz, ha a folyamat emelt szintű. |
|
Név
|
processes.name | string |
A folyamat képfájljának neve. |
|
Szülőfolyamat létrehozási dátuma
|
processes.parentProcessCreatedDateTime | date-time |
A folyamat elindításának időpontja (UTC). |
|
Szülőfolyamat azonosítója
|
processes.parentProcessId | integer |
A szülőfolyamat folyamatazonosítója (PID). |
|
Szülőfolyamat neve
|
processes.parentProcessName | string |
A szülőfolyamat képfájljának neve. |
|
Útvonal
|
processes.path | string |
Teljes elérési út, beleértve a fájlnevet is. |
|
Folyamatazonosító
|
processes.processId | integer |
A folyamat folyamatazonosítója (PID). |
|
Típus
|
processes.fileHash.type | string |
Fájlkivonat típusa. Lehetséges értékek: ismeretlen, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256. |
|
Érték
|
processes.fileHash.value | string |
A fájlkivonat értéke. |
|
Beállításkulcs állapotai
|
registryKeyStates | array of object |
A szolgáltató által a riasztáshoz kapcsolódó beállításkulcsokról létrehozott, biztonsággal kapcsolatos állapotinformációk. |
|
Folyamat
|
registryKeyStates.process | string |
A beállításkulcsot módosító folyamat folyamatazonosítója (a folyamat részletei megjelennek a riasztás "folyamatok" gyűjteményében). |
|
Operation
|
registryKeyStates.operation | string |
A beállításkulcs nevét és/vagy értékét (hozzáadás, módosítás, törlés) módosító művelet. |
|
Érték típusa
|
registryKeyStates.valueType | string |
Beállításkulcs értéktípusa. Lehetséges értékek: ismeretlen, bináris, dword, dwordLittleEndian, dwordBigEndian, expandSz, link, multiSz, none, qword, qwordlittleEndian, sz. |
|
Beállításjegyzék-hive
|
registryKeyStates.hive | string |
Windows beállításjegyzék-hive. Lehetséges értékek: ismeretlen, currentConfig, currentUser, localMachineSam, localMachineSamSoftware, localMachineSystem, usersDefault. |
|
Key
|
registryKeyStates.key | string |
Jelenlegi (azaz módosított) beállításkulcs (a HIVE-t nem foglalja magában). |
|
Érték neve
|
registryKeyStates.valueName | string |
A beállításkulcs aktuális (azaz módosított) értékének neve. |
|
Értékadatok
|
registryKeyStates.valueData | string |
A beállításkulcs aktuális (azaz módosított) értékadatai (tartalma). |
|
Régi kulcs
|
registryKeyStates.oldKey | string |
Előző (azaz módosítás előtti) beállításkulcs (a HIVE-t nem foglalja magában). |
|
Régi érték neve
|
registryKeyStates.oldValueName | string |
Korábbi (azaz a módosítás előtt) beállításkulcs-érték neve. |
|
Régi értékadatok
|
registryKeyStates.oldValueData | string |
Korábbi (azaz módosítás előtti) beállításkulcs-értékadatok (tartalom). |
|
Kiváltó okok
|
triggers | array of object |
A riasztást aktiváló konkrét tulajdonságokra vonatkozó biztonsági információk (a riasztásban megjelenő tulajdonságok). A riasztások több felhasználóról, gazdagépről, fájlról, IP-címről tartalmazhatnak információkat. Ez a mező azt jelzi, hogy mely tulajdonságok aktiválták a riasztásgenerálást. |
|
Név
|
triggers.name | string |
Az észlelési eseményindítóként szolgáló tulajdonság neve. |
|
Típus
|
triggers.type | string |
Az attribútum típusa a kulcs:érték párban értelmezésre, például sztring, logikai stb. |
|
Érték
|
triggers.value | string |
Az észlelési eseményindítóként szolgáló attribútum értéke. |
|
Felhasználói állapotok
|
userStates | array of object |
A szolgáltató által a riasztáshoz kapcsolódó bejelentkezett felhasználóval vagy felhasználókkal kapcsolatos biztonsági állapotinformációk. |
|
Microsoft Entra ID felhasználói azonosító
|
userStates.aadUserId | string |
Microsoft Entra ID User Object Identifier (GUID) – a fizikai/többfiókos felhasználói entitást jelöli. |
|
Fióknév
|
userStates.accountName | string |
A felhasználói fiók fiókneve (Microsoft Entra-azonosító tartomány vagy DNS-tartomány nélkül) – (más néven "mailNickName"). |
|
Domain név
|
userStates.domainName | string |
NetBIOS/Microsoft Entra ID Felhasználói fiók tartománya (pl. tartomány\fiókformátum). |
|
E-mail szerepkör
|
userStates.emailRole | string |
E-mailekkel kapcsolatos riasztások esetén – felhasználói fiók e-mail szerepköre. |
|
Is Vpn
|
userStates.isVpn | boolean |
Azt jelzi, hogy a felhasználó VPN-en keresztül jelentkezett-e be. |
|
Bejelentkezési dátum időpontja
|
userStates.logonDateTime | date-time |
A bejelentkezés időpontja (UTC). |
|
Bejelentkezési azonosító
|
userStates.logonId | string |
Felhasználói bejelentkezési azonosító. |
|
Bejelentkezési IP-cím
|
userStates.logonIp | string |
IP-cím, amelyről a bejelentkezési kérést rendszerezett. |
|
Bejelentkezési hely
|
userStates.logonLocation | string |
A felhasználó által a felhasználói bejelentkezési eseményhez társított hely (IP-címleképezés szerint). |
|
Bejelentkezési típus
|
userStates.logonType | string |
A felhasználói bejelentkezés módja. Lehetséges értékek: ismeretlen, interaktív, remoteInteractive, hálózat, köteg, szolgáltatás. |
|
Helyszíni biztonsági azonosító
|
userStates.onPremisesSecurityIdentifier | string |
A felhasználó Microsoft Entra-azonosítója (helyszíni) biztonsági azonosítója (SID). |
|
Kockázati pontszám
|
userStates.riskScore | string |
A felhasználói fiók szolgáltató által generált/számított kockázati pontszáma. |
|
Felhasználói fiók típusa
|
userStates.userAccountType | string |
Felhasználói fiók típusa (csoporttagság) Windows-definíció szerint. Lehetséges értékek: ismeretlen, standard, power, rendszergazda. |
|
Felhasználói fő név
|
userStates.userPrincipalName | string |
Felhasználói bejelentkezési név – internetes formátum: <felhasználónév>@<felhasználói fiók DNS-tartományneve>. |
|
Biztonságirés-állapotok
|
vulnerabilityStates | array of object |
A riasztáshoz kapcsolódó egy vagy több biztonsági résre vonatkozó fenyegetésfelderítés. |
|
Cve
|
vulnerabilityStates.cve | string |
A biztonsági rés gyakori biztonsági rései és kitettségei (CVE). |
|
Futott
|
vulnerabilityStates.wasRunning | boolean |
Azt jelzi, hogy az észlelt biztonsági rés (fájl) az észlelés időpontjában futott-e, vagy a lemezen inaktív állapotban észlelte a fájlt. |
|
Súlyosság
|
vulnerabilityStates.severity | string |
Alapszintű gyakori biztonságirés-pontozási rendszer (CVSS) súlyossági pontszáma ehhez a biztonsági réshez. |
Subscription
Egyetlen előfizetési entitást adott vissza
| Name | Elérési út | Típus | Description |
|---|---|---|---|
|
azonosító
|
id | string |
Az előfizetés egyedi azonosítója. |
|
Resource
|
resource | string |
Megadja azt az erőforrást, amelyet a változások figyelnek. |
|
Alkalmazásazonosító
|
applicationId | string |
Az előfizetés létrehozásához használt alkalmazás azonosítója. |
|
Típus módosítása
|
changeType | string |
Azt jelzi, hogy az előfizetett erőforrás milyen típusú változással fog értesítést generálni. |
|
Ügyfél állapota
|
clientState | string |
Az egyes értesítésekben a szolgáltatás által küldött clientState tulajdonság értékét adja meg. A maximális hossz 128 karakter. Az ügyfél ellenőrizheti, hogy az értesítés a szolgáltatásból érkezett-e, ha összehasonlítja az előfizetéssel küldött clientState tulajdonság értékét az egyes értesítésekkel kapott clientState tulajdonság értékével. |
|
Értesítés URL-címe
|
notificationUrl | string |
Az értesítéseket fogadó végpont URL-címe. Ennek az URL-címnek a HTTPS protokollt kell használnia. |
|
Lejárati dátum időpontja
|
expirationDateTime | string |
Megadja a webhook-előfizetés lejáratának dátumát és időpontját (UTC). |
|
Létrehozó azonosítója
|
creatorId | string |
Az előfizetést létrehozó felhasználó vagy szolgáltatásnév azonosítója. Ha az alkalmazás delegált engedélyeket használt az előfizetés létrehozásához, ez a mező tartalmazza annak a bejelentkezett felhasználónak az azonosítóját, akinek nevében az alkalmazás hívott. Ha az alkalmazás alkalmazásengedélyeket használt, ez a mező az alkalmazásnak megfelelő szolgáltatásnév azonosítóját tartalmazza. |
TiIndicator
Egyetlen TiIndicator-entitást adott vissza
| Name | Elérési út | Típus | Description |
|---|---|---|---|
|
Tevékenység
|
action | string |
Az alkalmazandó művelet, ha a mutató a targetProduct biztonsági eszközből van megfeleltetve. Értékek: (ismeretlen, engedélyezés, blokk, riasztás). |
|
Tevékenységcsoportnevek
|
activityGroupNames | array of string |
A fenyegetésjelző által érintett rosszindulatú tevékenységért felelős felek kiberfenyegetési intelligenciájának neve(i). |
|
További információk
|
additionalInformation | string |
A többi tiIndicator tulajdonság által nem érintett mutatóból további adatok helyezhetők el |
|
Azure-bérlő azonosítója
|
azureTenantId | string |
A beküldő ügyfél Microsoft Entra-azonosító bérlőazonosítója. |
|
Megbízhatóság
|
confidence | integer |
Az észlelési logika megbízhatósága (0 és 100 közötti százalék). |
|
Description
|
description | string |
TiIndicator leírás (100 charactes vagy kevesebb). |
|
Gyémántmodell
|
diamondModel | string |
A gyémántmodell azon területe, amelyben ez a mutató létezik. Értékek: (ismeretlen, támadó, képesség, infrastruktúra, áldozat). |
|
Lejárati dátum időpontja
|
expirationDateTime | date-time |
A mutató lejáratának időpontja (UTC). |
|
Külső ID
|
externalId | string |
Azonosító szám, amely a mutatót visszakonteti a jelzőszolgáltató rendszeréhez (pl. idegen kulcs). |
|
azonosító
|
id | string |
A rendszer a mutató betöltésekor hozza létre. Létrehozott GUID/egyedi azonosító. |
|
Betöltési dátum időpontja
|
ingestedDateTime | date-time |
A mutató betöltésének időpontja (UTC). |
|
Aktív
|
isActive | boolean |
Alapértelmezés szerint minden elküldött mutató aktívként van beállítva. A szolgáltatók azonban a meglévő mutatókat "False" értékre állíthatják be, hogy inaktiválják a jelzőket a rendszerben. |
|
Öld meg a láncot
|
killChain | array of string |
sztringek, amelyek azt írják le, hogy a mutató melyik pontjára vagy pontjára irányul a mutató a Kill Chainben. Értékek: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization). |
|
Ismert hamis pozitív értékek
|
knownFalsePositives | string |
Olyan forgatókönyvek, amelyekben a mutató hamis pozitívumokat okozhat. |
|
Utolsó jelentett dátum időpontja
|
lastReportedDateTime | date-time |
Az utolsó alkalom, amikor a mutatót látták (UTC). |
|
Kártevőcsaládok nevei
|
malwareFamilyNames | array of string |
A jelzőhöz társított kártevőcsalád neve, ha létezik. |
|
Csak passzív
|
passiveOnly | boolean |
Meghatározza, hogy a mutatónak egy végfelhasználó számára látható eseményt kell-e aktiválnia. |
|
Súlyosság
|
severity | integer |
A mutatóban lévő adatok által azonosított rosszindulatú viselkedés súlyossága. Az értékek 0 és 5 között vannak, és az 5 a legsúlyosabb. Az alapértelmezett érték 3. |
|
Címkék
|
tags | array of string | |
|
Céltermék
|
targetProduct | string |
Egyetlen biztonsági termék, amelyre a mutatót alkalmazni kell. Elfogadható értékek: Azure Sentinel, Microsoft Defender ATP. |
|
Fenyegetés típusa
|
threatType | string |
Minden mutatónak érvényes jelzőfenyegetés-típussal kell rendelkeznie. Lehetséges értékek: Botnet, C2, CryptoMining, Darknet, DDoS, MalwareUrl, Malware, Phishing, Proxy, PUA, WatchList. |
|
Tlp szint
|
tlpLevel | string |
A jelző Traffic Light Protocol-értéke. Lehetséges értékek: ismeretlen, fehér, zöld, borostyán, piros. |
|
E-mail kódolás
|
emailEncoding | string |
Az e-mailben használt szövegkódolás típusa. |
|
E-mail nyelv
|
emailLanguage | string |
Az e-mail nyelve. |
|
E-mail címzettje
|
emailRecipient | string |
Címzett e-mail címe. |
|
E-mail feladó címe
|
emailSenderAddress | string |
A támadó|áldozat e-mail-címe. |
|
E-mail feladó neve
|
emailSenderName | string |
A támadó|áldozat megjelenített neve. |
|
E-mail forrástartomány
|
emailSourceDomain | string |
Az e-mailben használt tartomány. |
|
E-mail-forrás IP-címe
|
emailSourceIpAddress | string |
Az e-mail forrás IP-címe. |
|
E-mail tárgya
|
emailSubject | string |
Tárgy e-mail-cím. |
|
E-mail XMailer
|
emailXMailer | string |
Az e-mailben használt X-Mailer érték. |
|
A fájl fordítási dátumának időpontja
|
fileCompileDateTime | date-time |
DateTime a fájl lefordításakor. |
|
A fájl létrehozási dátuma
|
fileCreatedDateTime | date-time |
DateTime a fájl létrehozásakor. |
|
Fájlkivonat típusa
|
fileHashType | string |
A fileHashValue fájlban tárolt kivonat típusa. Lehetséges értékek: ismeretlen, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
|
Fájlkivonat értéke
|
fileHashValue | string |
A fájlkivonat értéke. |
|
Fájl mutexneve
|
fileMutexName | string |
Fájlalapú észlelésekben használt Mutex-név. |
|
Fájlnév
|
fileName | string |
A fájl neve, ha a mutató fájlalapú. |
|
Fájlcsomagoló
|
filePacker | string |
A szóban forgó fájl létrehozásához használt packer. |
|
Fájl elérési útja
|
filePath | string |
A biztonsági rést jelző fájl elérési útja. Lehet windowsos vagy *nix stílusú elérési út. |
|
Fájlméret
|
fileSize | integer |
A fájl mérete bájtban. |
|
Fájltípus
|
fileType | string |
A fájl típusának szöveges leírása. Például: "Word Document" vagy "Binary". |
|
Domain név
|
domainName | string |
A mutatóhoz társított tartománynév. |
|
Hálózati cidr blokk
|
networkCidrBlock | string |
Az ebben a mutatóban hivatkozott hálózat CIDR-blokkjelölője. |
|
Hálózati cél asn
|
networkDestinationAsn | integer |
A mutatóban hivatkozott hálózat cél autonóm rendszerazonosítója. |
|
Hálózati cél cidr blokkja
|
networkDestinationCidrBlock | string |
A ciDR blokkjelek ábrázolása a célhálózatról ebben a mutatóban. |
|
Hálózati cél IPv4
|
networkDestinationIPv4 | string |
IPv4 IP-cím célhelye. |
|
Hálózati cél IPv6
|
networkDestinationIPv6 | string |
IPv6 IP-cím célhelye. |
|
Hálózati célport
|
networkDestinationPort | integer |
TCP-port célhelye. |
|
Hálózati IPv4
|
networkIPv4 | string |
IPv4 IP-cím. |
|
Hálózati IPv6
|
networkIPv6 | string |
IPv6 IP-cím. |
|
Hálózati port
|
networkPort | integer |
TCP-port. |
|
Hálózati protokoll
|
networkProtocol | integer |
A protokollmező decimális ábrázolása az IPv4 fejlécben. |
|
Hálózati forrás asn
|
networkSourceAsn | integer |
A mutatóban hivatkozott hálózat forrás autonóm rendszerazonosítója. |
|
Hálózati forráskódblokk
|
networkSourceCidrBlock | string |
A forráshálózat CIDR-blokkjelzésének ábrázolása ebben a mutatóban. |
|
Hálózati forrás IPv4
|
networkSourceIPv4 | string |
IPv4 IP-címforrás. |
|
Hálózati cél IPv6
|
networkSourceIPv6 | string |
IPv6 IP-címforrás. |
|
Hálózati forrásport
|
networkSourcePort | integer |
TCP-portforrás. |
|
URL vagy webcím
|
url | string |
Egységes erőforrás-kereső. |
|
Felhasználói ügynök
|
userAgent | string |
User-Agent olyan webes kérés sztringje, amely sérülést jelezhet. |