Microsoft Graph Security (deprecato) [DEPRECATO]
Il connettore Microsoft Graph Security consente di connettere diversi prodotti e servizi di sicurezza Microsoft e partner, usando uno schema unificato, per semplificare le operazioni di sicurezza e migliorare la protezione dalle minacce, il rilevamento e le funzionalità di risposta. Per altre informazioni sull'integrazione con l'API Microsoft Graph Security, vedere https://aka.ms/graphsecuritydocs (deprecato)
Questo connettore è disponibile nei prodotti e nelle aree seguenti:
| Servizio | Class | Regions |
|---|---|---|
| Copilot Studio | Di alta qualità | Tutte le aree di Power Automate , ad eccezione delle seguenti: - Governo degli Stati Uniti (GCC) - Us Government (GCC High) - China Cloud gestito da 21Vianet - Dipartimento della Difesa degli Stati Uniti (DoD) |
| App per la logica | Normale | Tutte le aree di App per la logica , ad eccezione delle seguenti: - Aree di Azure per enti pubblici - Aree di Azure Cina - Dipartimento della Difesa degli Stati Uniti (DoD) |
| Power Apps | Di alta qualità | Tutte le aree di Power Apps , ad eccezione dei seguenti: - Governo degli Stati Uniti (GCC) - Us Government (GCC High) - China Cloud gestito da 21Vianet - Dipartimento della Difesa degli Stati Uniti (DoD) |
| Power Automate | Di alta qualità | Tutte le aree di Power Automate , ad eccezione delle seguenti: - Governo degli Stati Uniti (GCC) - Us Government (GCC High) - China Cloud gestito da 21Vianet - Dipartimento della Difesa degli Stati Uniti (DoD) |
| Contatto | |
|---|---|
| Nome | Microsoft |
| URL |
Supporto di Microsoft LogicApps Supporto di Microsoft Power Automate Supporto di Microsoft Power Apps |
| sipsisgdev@microsoft.com |
| Metadati del connettore | |
|---|---|
| Editore | Microsoft |
| Sito web | https://www.microsoft.com/security/business/graph-security-api |
Prerequisiti per la connessione con il connettore Microsoft Graph Security
Altre informazioni sull'API Microsoft Graph Security.
Per usare l'azione connettore Microsoft Graph Security , iniziare con un trigger, ad esempio il trigger Ricorrenza.
Per usare il connettore Microsoft Graph Security, è necessario fornire il consenso dell'amministratore tenant di Microsoft Entra ID come parte dei requisiti di autenticazione di Microsoft Graph Security.
L'ID e il nome dell'applicazione del connettore Microsoft Graph Security (per l'ID Entra Microsoft in https://portal.azure.com) sono i seguenti per il consenso dell'amministratore dell'ID Microsoft Entra:
- Nome applicazione - MicrosoftGraphSecurityConnector
- ID applicazione - c4829704-0edc-4c3d-a347-7c4a67586f3c
- L'amministratore tenant può seguire la procedura descritta in concessione del consenso dell'amministratore tenant per le applicazioni Microsoft Entra ID all'applicazione indicata in precedenza oppure può concedere le autorizzazioni all'esecuzione iniziale di un flusso di lavoro usando il connettore Microsoft Graph Security per ogni esperienza di consenso dell'applicazione.
È ora possibile usare il connettore Microsoft Graph Security.
Approfondimento del connettore
Per altre informazioni sul connettore, vedere la sezione dettagliata.
Creazione di una connessione
Il connettore supporta i tipi di autenticazione seguenti:
| Predefinita | Parametri per la creazione della connessione. | Tutte le aree geografiche | Non condivisibile |
Predefinito
Applicabile: tutte le aree
Parametri per la creazione della connessione.
Questa non è una connessione condivisibile. Se l'app power viene condivisa con un altro utente, verrà richiesto a un altro utente di creare una nuova connessione in modo esplicito.
Limiti per la limitazione delle richieste
| Nome | Chiamate | Periodo di rinnovo |
|---|---|---|
| Chiamate API per connessione | 100 | 60 secondi |
Azioni
| Aggiornare la sottoscrizione (deprecata) [DEPRECATO] |
Rinnovare una sottoscrizione webhook di Microsoft Graph aggiornandone la scadenza (deprecata). |
|
Aggiornare più ti |
Aggiornare proprietà specifiche di più indicatori di intelligence sulle minacce. I campi obbligatori per ogni tiIndicator sono: Id, expirationDateTime e targetProduct (deprecato). |
|
Aggiornare ti |
Aggiornare proprietà specifiche di un indicatore di intelligence per le minacce. I campi obbligatori per tiIndicator sono: Id, expirationDateTime e targetProduct (deprecato). |
| Avviso di aggiornamento (deprecato) [DEPRECATO] |
Aggiornare proprietà specifiche di un avviso di sicurezza (deprecato). |
| Creare sottoscrizioni (deprecate) [DEPRECATO] |
Creare sottoscrizioni webhook di Microsoft Graph (deprecate). |
|
Creare ti |
Creare un nuovo indicatore di intelligence per le minacce pubblicando la raccolta tiIndicators (deprecata). |
| Eliminare le sottoscrizioni (deprecate) [DEPRECATO] |
Eliminare la sottoscrizione webhook di Microsoft Graph specifica (deprecata). |
|
Eliminare più ti |
Eliminare più indicatori di intelligence per le minacce corrispondenti agli ID esterni specificati (deprecati). |
|
Eliminare più ti |
Eliminare più indicatori di intelligence per le minacce corrispondenti agli ID specificati (deprecati). |
|
Eliminare ti |
Eliminare un indicatore di intelligence per le minacce corrispondente all'ID specificato (deprecato). |
|
Inviare più ti |
Creare nuovi indicatori di intelligence per le minacce pubblicando una raccolta tiIndicators. I campi obbligatori per ogni tiIndicator sono: action, azureTenantId, description, expirationDateTime, targetProduct, threatType, tlpLevel (deprecato). |
| Ottenere avvisi (deprecati) [DEPRECATO] |
Ottenere un elenco di avvisi di sicurezza per questo tenant di Microsoft Entra ID. Usare con parametri di query diversi (deprecato). |
| Ottenere sottoscrizioni attive (deprecate) [DEPRECATO] |
Ottenere l'elenco di sottoscrizioni non scadute per questo tenant di Microsoft Entra ID (deprecato). |
|
Ottenere ti |
Ottenere un indicatore di intelligence per le minacce corrispondente all'ID specificato (deprecato). |
|
Ottenere ti |
Ottenere un elenco di indicatori di intelligence per le minacce per questo tenant di Microsoft Entra ID. Usare con parametri di query diversi (deprecato). |
| Ottenere un avviso in base all'ID (deprecato) [DEPRECATO] |
Ottenere un avviso di sicurezza corrispondente all'ID specificato (deprecato). |
Aggiornare la sottoscrizione (deprecata) [DEPRECATO]
Rinnovare una sottoscrizione webhook di Microsoft Graph aggiornandone la scadenza (deprecata).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
ID sottoscrizione
|
Subscription Id | True | string |
Specificare l'ID sottoscrizione webhook di Microsoft Graph. |
|
Data di scadenza
|
expirationDateTime | string |
Specificare la data e l'ora, in formato UTC, di quando scade la sottoscrizione webhook di Microsoft Graph. La scadenza massima per gli avvisi di sicurezza è di 43200 minuti (inferiore a 30 giorni). |
Restituisce
Una singola entità di sottoscrizione restituita
- Subscription
- Subscription
Aggiornare più tiIndicator (deprecato) [DEPRECATO]
Aggiornare proprietà specifiche di più indicatori di intelligence sulle minacce. I campi obbligatori per ogni tiIndicator sono: Id, expirationDateTime e targetProduct (deprecato).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
id
|
id | True | string |
TiIndicator-id |
|
Action
|
action | string |
Azione da applicare se l'indicatore viene confrontato dall'interno dello strumento di sicurezza targetProduct. Valori: (sconosciuto, consenti, blocco, avviso). |
|
|
Nomi dei gruppi di attività
|
activityGroupNames | array of string |
I nomi dell'intelligence sulle minacce informatiche per le parti responsabili dell'attività dannosa coperta dall'indicatore di minaccia. |
|
|
Informazioni aggiuntive
|
additionalInformation | string |
È possibile inserire dati aggiuntivi dall'indicatore non coperti dalle altre proprietà tiIndicator |
|
|
Fiducia
|
confidence | integer |
Attendibilità della logica di rilevamento (percentuale compresa tra 0 e 100). |
|
|
Description
|
description | string |
TiIndicator description (100 caratteri o meno). |
|
|
Modello a rombo
|
diamondModel | string |
Area del modello a rombo in cui è presente questo indicatore. Valori: (sconosciuto, antagonista, capacità, infrastruttura, vittima). |
|
|
Data di scadenza
|
expirationDateTime | True | date-time |
Ora in cui scade l'indicatore (UTC). |
|
Prodotto di destinazione
|
targetProduct | True | string |
Singolo prodotto di sicurezza a cui applicare l'indicatore. I valori accettabili sono: Azure Sentinel, Microsoft Defender ATP. |
|
ID esterno
|
externalId | string |
Numero di identificazione che collega l'indicatore al sistema del provider di indicatori ,ad esempio una chiave esterna. |
|
|
È attivo
|
isActive | boolean |
Per impostazione predefinita, qualsiasi indicatore inviato viene impostato come attivo. Tuttavia, i provider possono inviare indicatori esistenti con questo valore impostato su "False" per disattivare gli indicatori nel sistema. |
|
|
Kill chain
|
killChain | array of string |
stringhe che descrivono il punto o i punti della Kill Chain a cui punta questo indicatore. Valori: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization). |
|
|
Falsi positivi noti
|
knownFalsePositives | string |
Scenari in cui l'indicatore può causare falsi positivi. |
|
|
Data ultima segnalazione
|
lastReportedDateTime | date-time |
Ora dell'ultima visualizzazione dell'indicatore (UTC). |
|
|
Nomi di famiglia malware
|
malwareFamilyNames | array of string |
Nome della famiglia di malware associato a un indicatore, se presente. |
|
|
Solo passivo
|
passiveOnly | boolean |
Determina se l'indicatore deve attivare un evento visibile a un utente finale. |
|
|
Severity
|
severity | integer |
Gravità del comportamento dannoso identificato dai dati all'interno dell'indicatore. I valori sono compresi tra 0 e 5 con 5 più gravi. Il valore predefinito è 3. |
|
|
Etichette
|
tags | array of string | ||
|
Livello Tlp
|
tlpLevel | string |
Valore di Traffic Light Protocol per l'indicatore. I valori possibili sono: sconosciuto, bianco, verde, ambra, rosso. |
Restituisce
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
TiIndicators
|
value | array of TiIndicator |
TiIndicators aggiornato |
Aggiornare tiIndicator (deprecato) [DEPRECATO]
Aggiornare proprietà specifiche di un indicatore di intelligence per le minacce. I campi obbligatori per tiIndicator sono: Id, expirationDateTime e targetProduct (deprecato).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
Specificare l'ID indicatore di intelligence per le minacce. |
|
Action
|
action | string |
Azione da applicare se l'indicatore viene confrontato dall'interno dello strumento di sicurezza targetProduct. Valori: (sconosciuto, consenti, blocco, avviso). |
|
|
Nomi dei gruppi di attività
|
activityGroupNames | array of string |
I nomi dell'intelligence sulle minacce informatiche per le parti responsabili dell'attività dannosa coperta dall'indicatore di minaccia. |
|
|
Informazioni aggiuntive
|
additionalInformation | string |
È possibile inserire dati aggiuntivi dall'indicatore non coperti dalle altre proprietà tiIndicator |
|
|
Fiducia
|
confidence | integer |
Attendibilità della logica di rilevamento (percentuale compresa tra 0 e 100). |
|
|
Description
|
description | string |
TiIndicator description (100 caratteri o meno). |
|
|
Modello a rombo
|
diamondModel | string |
Area del modello a rombo in cui è presente questo indicatore. Valori: (sconosciuto, antagonista, capacità, infrastruttura, vittima). |
|
|
Data di scadenza
|
expirationDateTime | True | date-time |
Ora in cui scade l'indicatore (formato UTC). Ad esempio, 2020-03-01T00:00:00Z). |
|
ID esterno
|
externalId | string |
Numero di identificazione che collega l'indicatore al sistema del provider di indicatori ,ad esempio una chiave esterna. |
|
|
È attivo
|
isActive | boolean |
Per impostazione predefinita, qualsiasi indicatore inviato viene impostato come attivo. Tuttavia, i provider possono inviare indicatori esistenti con questo valore impostato su "False" per disattivare gli indicatori nel sistema. |
|
|
Kill chain
|
killChain | array of string |
stringhe che descrivono il punto o i punti della Kill Chain a cui punta questo indicatore. Valori: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization). |
|
|
Falsi positivi noti
|
knownFalsePositives | string |
Scenari in cui l'indicatore può causare falsi positivi. |
|
|
Data ultima segnalazione
|
lastReportedDateTime | date-time |
Ora dell'ultima visualizzazione dell'indicatore (UTC). |
|
|
Nomi di famiglia malware
|
malwareFamilyNames | array of string |
Nome della famiglia di malware associato a un indicatore, se presente. |
|
|
Solo passivo
|
passiveOnly | boolean |
Determina se l'indicatore deve attivare un evento visibile a un utente finale. |
|
|
Severity
|
severity | integer |
Gravità del comportamento dannoso identificato dai dati all'interno dell'indicatore. I valori sono compresi tra 0 e 5 con 5 più gravi. Il valore predefinito è 3. |
|
|
Etichette
|
tags | array of string | ||
|
Livello Tlp
|
tlpLevel | string |
Valore di Traffic Light Protocol per l'indicatore. I valori possibili sono: sconosciuto, bianco, verde, ambra, rosso. |
|
|
Prodotto di destinazione
|
targetProduct | True | string |
Singolo prodotto di sicurezza a cui applicare l'indicatore. I valori accettabili sono: Azure Sentinel, Microsoft Defender ATP. |
Avviso di aggiornamento (deprecato) [DEPRECATO]
Aggiornare proprietà specifiche di un avviso di sicurezza (deprecato).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
ID di avviso
|
alert-id | True | string |
Specificare l'ID avviso. |
|
Assegnata a
|
assignedTo | string |
Specificare il nome dell'analista a cui viene assegnato l'avviso per la valutazione, l'indagine o la correzione. |
|
|
DateTime chiuso
|
closedDateTime | string |
Specificare l'ora di chiusura dell'avviso. Il tipo Timestamp rappresenta le informazioni di data e ora usando il formato ISO 8601 ed è sempre in formato UTC. |
|
|
comments
|
comments | array of string |
Comments |
|
|
Etichette
|
tags | array of string |
Specificare eventuali etichette definibili dall'utente che possono essere applicate a un avviso e che possono fungere da condizioni di filtro ,ad esempio "HVA", "SAW" e così via. |
|
|
Riscontro
|
feedback | string |
Specificare il feedback dell'analista sull'avviso. |
|
|
stato
|
status | string |
Specificare lo stato per tenere traccia dello stato del ciclo di vita degli avvisi (fase). |
|
|
Nome del fornitore
|
provider | True | string |
Provider specifico (prodotto/servizio - non società fornitore); Ad esempio, WindowsDefenderATP. |
|
Versione del provider
|
providerVersion | string |
Specificare la versione del provider o del sottoprovider, se esistente, che ha generato l'avviso. |
|
|
Nome provider secondario
|
subProvider | string |
Sottoinsieme specifico (in provider di aggregazione); Ad esempio, WindowsDefenderATP.SmartScreen. |
|
|
Nome fornitore
|
vendor | True | string |
Specificare il nome del fornitore di avvisi, ad esempio Microsoft, Dell, FireEye. |
Creare sottoscrizioni (deprecate) [DEPRECATO]
Creare sottoscrizioni webhook di Microsoft Graph (deprecate).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
URL della risorsa
|
resource | True | string |
Specificare la risorsa che verrà monitorata per le modifiche. Non includere l'URL di base ( |
|
Tipo di modifica
|
changeType | True | string |
Specificare il tipo di proprietà che deve generare una notifica quando viene modificata nella risorsa sottoscritta. |
|
Stato client
|
clientState | string |
Specificare lo stato client per confermare l'origine dell'origine delle notifiche. |
|
|
URL di notifica
|
notificationUrl | True | string |
Specificare un URL ben formato dell'endpoint che riceverà le notifiche. |
|
Data di scadenza
|
expirationDateTime | True | date-time |
Specificare la data di scadenza della sottoscrizione webhook; deve essere un'ora di data maggiore dell'ora corrente e entro 30 giorni. |
Restituisce
Una singola entità di sottoscrizione restituita
- Subscription
- Subscription
Creare tiIndicator (deprecato) [DEPRECATO]
Creare un nuovo indicatore di intelligence per le minacce pubblicando la raccolta tiIndicators (deprecata).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Action
|
action | True | string |
Azione da applicare se l'indicatore viene confrontato dall'interno dello strumento di sicurezza targetProduct. Valori: (sconosciuto, consenti, blocco, avviso). |
|
Nomi dei gruppi di attività
|
activityGroupNames | array of string |
I nomi dell'intelligence sulle minacce informatiche per le parti responsabili dell'attività dannosa coperta dall'indicatore di minaccia. |
|
|
Informazioni aggiuntive
|
additionalInformation | string |
È possibile inserire dati aggiuntivi dall'indicatore non coperti dalle altre proprietà tiIndicator |
|
|
ID tenant di Azure
|
azureTenantId | string |
ID tenant di Microsoft Entra ID per l'invio del client. |
|
|
Fiducia
|
confidence | integer |
Attendibilità della logica di rilevamento (percentuale compresa tra 0 e 100). |
|
|
Description
|
description | True | string |
TiIndicator description (100 caratteri o meno). |
|
Modello a rombo
|
diamondModel | string |
Area del modello a rombo in cui è presente questo indicatore. Valori: (sconosciuto, antagonista, capacità, infrastruttura, vittima). |
|
|
Data di scadenza
|
expirationDateTime | True | date-time |
Ora in cui scade l'indicatore (UTC). |
|
ID esterno
|
externalId | string |
Numero di identificazione che collega l'indicatore al sistema del provider di indicatori ,ad esempio una chiave esterna. |
|
|
Data inserita
|
ingestedDateTime | date-time |
Ora in cui viene inserito l'indicatore (UTC). |
|
|
È attivo
|
isActive | boolean |
Per impostazione predefinita, qualsiasi indicatore inviato viene impostato come attivo. Tuttavia, i provider possono inviare indicatori esistenti con questo valore impostato su "False" per disattivare gli indicatori nel sistema. |
|
|
Kill chain
|
killChain | array of string |
stringhe che descrivono il punto o i punti della Kill Chain a cui punta questo indicatore. Valori: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization). |
|
|
Falsi positivi noti
|
knownFalsePositives | string |
Scenari in cui l'indicatore può causare falsi positivi. |
|
|
Data ultima segnalazione
|
lastReportedDateTime | date-time |
Ora dell'ultima visualizzazione dell'indicatore (UTC). |
|
|
Nomi di famiglia malware
|
malwareFamilyNames | array of string |
Nome della famiglia di malware associato a un indicatore, se presente. |
|
|
Solo passivo
|
passiveOnly | boolean |
Determina se l'indicatore deve attivare un evento visibile a un utente finale. |
|
|
Severity
|
severity | integer |
Gravità del comportamento dannoso identificato dai dati all'interno dell'indicatore. I valori sono compresi tra 0 e 5 con 5 più gravi. Il valore predefinito è 3. |
|
|
Etichette
|
tags | array of string | ||
|
Prodotto di destinazione
|
targetProduct | True | string |
Singolo prodotto di sicurezza a cui applicare l'indicatore. I valori accettabili sono: Azure Sentinel, Microsoft Defender ATP. |
|
Tipo di minaccia
|
threatType | string |
Ogni indicatore deve avere un tipo di minaccia indicatore valido. I valori possibili sono: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList. |
|
|
Livello Tlp
|
tlpLevel | string |
Valore di Traffic Light Protocol per l'indicatore. I valori possibili sono: sconosciuto, bianco, verde, ambra, rosso. |
|
|
Codifica della posta elettronica
|
emailEncoding | string |
Tipo di codifica del testo utilizzata nel messaggio di posta elettronica. |
|
|
Lingua di posta elettronica
|
emailLanguage | string |
Lingua del messaggio di posta elettronica. |
|
|
Destinatario del messaggio di posta elettronica
|
emailRecipient | string |
Indirizzo di posta elettronica del destinatario. |
|
|
Indirizzo mittente di posta elettronica
|
emailSenderAddress | string |
Indirizzo di posta elettronica dell'utente malintenzionato|vittima. |
|
|
Nome del mittente di posta elettronica
|
emailSenderName | string |
Nome visualizzato dell'utente malintenzionato|vittima. |
|
|
Dominio di origine della posta elettronica
|
emailSourceDomain | string |
Dominio usato nel messaggio di posta elettronica. |
|
|
Indirizzo IP dell'origine di posta elettronica
|
emailSourceIpAddress | string |
Indirizzo IP di origine della posta elettronica. |
|
|
Oggetto del messaggio e-mail
|
emailSubject | string |
Riga dell'oggetto del messaggio di posta elettronica. |
|
|
Posta elettronica XMailer
|
emailXMailer | string |
Valore X-Mailer usato nel messaggio di posta elettronica. |
|
|
Data di compilazione file
|
fileCompileDateTime | date-time |
DateTime quando il file è stato compilato. |
|
|
Data creazione file
|
fileCreatedDateTime | date-time |
DateTime al momento della creazione del file. |
|
|
Tipo hash di file
|
fileHashType | string |
Tipo di hash archiviato in fileHashValue. I valori possibili sono: sconosciuto, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
|
|
Valore hash del file
|
fileHashValue | string |
Valore hash del file. |
|
|
Nome mutex file
|
fileMutexName | string |
Nome mutex usato nei rilevamenti basati su file. |
|
|
Nome del file
|
fileName | string |
Nome del file se l'indicatore è basato su file. |
|
|
File packer
|
filePacker | string |
Packer usato per compilare il file in questione. |
|
|
Percorso del file
|
filePath | string |
Percorso del file che indica la compromissione. Può essere un percorso di stile Windows o *nix. |
|
|
Dimensione del file
|
fileSize | integer |
Dimensioni del file in byte. |
|
|
Tipo di file
|
fileType | string |
Descrizione del tipo di file. Ad esempio, "Documento word" o "Binario". |
|
|
Nome di dominio
|
domainName | string |
Nome di dominio associato a questo indicatore. |
|
|
Blocco cidr di rete
|
networkCidrBlock | string |
Rappresentazione della notazione del blocco CIDR della rete a cui si fa riferimento in questo indicatore. |
|
|
Asn di destinazione di rete
|
networkDestinationAsn | integer |
Identificatore del sistema autonomo di destinazione della rete a cui si fa riferimento nell'indicatore. |
|
|
Blocco cidr di destinazione di rete
|
networkDestinationCidrBlock | string |
Rappresentazione della notazione del blocco CIDR della rete di destinazione in questo indicatore. |
|
|
IPv4 di destinazione di rete
|
networkDestinationIPv4 | string |
Destinazione indirizzo IP IPv4. |
|
|
IPv6 di destinazione di rete
|
networkDestinationIPv6 | string |
Destinazione indirizzo IP IPv6. |
|
|
Porta di destinazione di rete
|
networkDestinationPort | integer |
Destinazione della porta TCP. |
|
|
IPv4 di rete
|
networkIPv4 | string |
Indirizzo IP IPv4. |
|
|
IPv6 di rete
|
networkIPv6 | string |
Indirizzo IP IPv6. |
|
|
Porta di rete
|
networkPort | integer |
Porta TCP. |
|
|
Protocollo di rete
|
networkProtocol | integer |
Rappresentazione decimale del campo del protocollo nell'intestazione IPv4. |
|
|
Asn origine di rete
|
networkSourceAsn | integer |
Identificatore del sistema autonomo di origine della rete a cui si fa riferimento nell'indicatore. |
|
|
Blocco cidr dell'origine di rete
|
networkSourceCidrBlock | string |
Rappresentazione della notazione del blocco CIDR della rete di origine in questo indicatore. |
|
|
IPv4 di origine di rete
|
networkSourceIPv4 | string |
Origine indirizzo IP IPv4. |
|
|
IPv6 di destinazione di rete
|
networkSourceIPv6 | string |
Origine indirizzo IP IPv6. |
|
|
Porta di origine di rete
|
networkSourcePort | integer |
Origine porta TCP. |
|
|
URL
|
url | string |
Uniform Resource Locator. |
|
|
Agente utente
|
userAgent | string |
User-Agent stringa da una richiesta Web che potrebbe indicare una compromissione. |
Restituisce
Una singola entità TiIndicator restituita
- TiIndicator
- TiIndicator
Eliminare le sottoscrizioni (deprecate) [DEPRECATO]
Eliminare la sottoscrizione webhook di Microsoft Graph specifica (deprecata).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
ID sottoscrizione
|
Subscription Id | True | string |
Specificare l'ID sottoscrizione webhook di Microsoft Graph. |
Eliminare più tiIndicator da ID esterni (deprecati) [DEPRECATO]
Eliminare più indicatori di intelligence per le minacce corrispondenti agli ID esterni specificati (deprecati).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
value
|
value | array of string |
Restituisce
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
value
|
value | array of object | |
|
codice
|
value.code | integer |
Codice del risultato |
|
message
|
value.message | string |
Messaggio |
|
codice secondario
|
value.subcode | integer |
Codice secondario del risultato |
Eliminare più tiIndicator per ID (deprecato) [DEPRECATO]
Eliminare più indicatori di intelligence per le minacce corrispondenti agli ID specificati (deprecati).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
value
|
value | array of string |
Restituisce
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
value
|
value | array of object | |
|
codice
|
value.code | integer |
Codice del risultato |
|
message
|
value.message | string |
Messaggio |
|
codice secondario
|
value.subcode | integer |
Codice secondario del risultato |
Eliminare tiIndicator per ID (deprecato) [DEPRECATO]
Eliminare un indicatore di intelligence per le minacce corrispondente all'ID specificato (deprecato).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
Specificare l'ID indicatore di intelligence per le minacce |
Inviare più tiIndicator (deprecato) [DEPRECATO]
Creare nuovi indicatori di intelligence per le minacce pubblicando una raccolta tiIndicators. I campi obbligatori per ogni tiIndicator sono: action, azureTenantId, description, expirationDateTime, targetProduct, threatType, tlpLevel (deprecato).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Action
|
action | True | string |
Azione da applicare se l'indicatore viene confrontato dall'interno dello strumento di sicurezza targetProduct. Valori: (sconosciuto, consenti, blocco, avviso). |
|
Nomi dei gruppi di attività
|
activityGroupNames | array of string |
I nomi dell'intelligence sulle minacce informatiche per le parti responsabili dell'attività dannosa coperta dall'indicatore di minaccia. |
|
|
Informazioni aggiuntive
|
additionalInformation | string |
È possibile inserire dati aggiuntivi dall'indicatore non coperti dalle altre proprietà tiIndicator |
|
|
ID tenant di Azure
|
azureTenantId | string |
ID tenant di Microsoft Entra ID per l'invio del client. |
|
|
Fiducia
|
confidence | integer |
Attendibilità della logica di rilevamento (percentuale compresa tra 0 e 100). |
|
|
Description
|
description | True | string |
TiIndicator description (100 caratteri o meno). |
|
Modello a rombo
|
diamondModel | string |
Area del modello a rombo in cui è presente questo indicatore. Valori: (sconosciuto, antagonista, capacità, infrastruttura, vittima). |
|
|
Data di scadenza
|
expirationDateTime | True | date-time |
Ora in cui scade l'indicatore (UTC). |
|
ID esterno
|
externalId | string |
Numero di identificazione che collega l'indicatore al sistema del provider di indicatori ,ad esempio una chiave esterna. |
|
|
Data inserita
|
ingestedDateTime | date-time |
Ora in cui viene inserito l'indicatore (UTC). |
|
|
È attivo
|
isActive | boolean |
Per impostazione predefinita, qualsiasi indicatore inviato viene impostato come attivo. Tuttavia, i provider possono inviare indicatori esistenti con questo valore impostato su "False" per disattivare gli indicatori nel sistema. |
|
|
Kill chain
|
killChain | array of string |
stringhe che descrivono il punto o i punti della Kill Chain a cui punta questo indicatore. Valori: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization). |
|
|
Falsi positivi noti
|
knownFalsePositives | string |
Scenari in cui l'indicatore può causare falsi positivi. |
|
|
Data ultima segnalazione
|
lastReportedDateTime | date-time |
Ora dell'ultima visualizzazione dell'indicatore (UTC). |
|
|
Nomi di famiglia malware
|
malwareFamilyNames | array of string |
Nome della famiglia di malware associato a un indicatore, se presente. |
|
|
Solo passivo
|
passiveOnly | boolean |
Determina se l'indicatore deve attivare un evento visibile a un utente finale. |
|
|
Severity
|
severity | integer |
Gravità del comportamento dannoso identificato dai dati all'interno dell'indicatore. I valori sono compresi tra 0 e 5 con 5 più gravi. Il valore predefinito è 3. |
|
|
Etichette
|
tags | array of string | ||
|
Prodotto di destinazione
|
targetProduct | True | string |
Singolo prodotto di sicurezza a cui applicare l'indicatore. I valori accettabili sono: Azure Sentinel, Microsoft Defender ATP. |
|
Tipo di minaccia
|
threatType | string |
Ogni indicatore deve avere un tipo di minaccia indicatore valido. I valori possibili sono: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList. |
|
|
Livello Tlp
|
tlpLevel | string |
Valore di Traffic Light Protocol per l'indicatore. I valori possibili sono: sconosciuto, bianco, verde, ambra, rosso. |
|
|
Codifica della posta elettronica
|
emailEncoding | string |
Tipo di codifica del testo utilizzata nel messaggio di posta elettronica. |
|
|
Lingua di posta elettronica
|
emailLanguage | string |
Lingua del messaggio di posta elettronica. |
|
|
Destinatario del messaggio di posta elettronica
|
emailRecipient | string |
Indirizzo di posta elettronica del destinatario. |
|
|
Indirizzo mittente di posta elettronica
|
emailSenderAddress | string |
Indirizzo di posta elettronica dell'utente malintenzionato|vittima. |
|
|
Nome del mittente di posta elettronica
|
emailSenderName | string |
Nome visualizzato dell'utente malintenzionato|vittima. |
|
|
Dominio di origine della posta elettronica
|
emailSourceDomain | string |
Dominio usato nel messaggio di posta elettronica. |
|
|
Indirizzo IP dell'origine di posta elettronica
|
emailSourceIpAddress | string |
Indirizzo IP di origine della posta elettronica. |
|
|
Oggetto del messaggio e-mail
|
emailSubject | string |
Riga dell'oggetto del messaggio di posta elettronica. |
|
|
Posta elettronica XMailer
|
emailXMailer | string |
Valore X-Mailer usato nel messaggio di posta elettronica. |
|
|
Data di compilazione file
|
fileCompileDateTime | date-time |
DateTime quando il file è stato compilato. |
|
|
Data creazione file
|
fileCreatedDateTime | date-time |
DateTime al momento della creazione del file. |
|
|
Tipo hash di file
|
fileHashType | string |
Tipo di hash archiviato in fileHashValue. I valori possibili sono: sconosciuto, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
|
|
Valore hash del file
|
fileHashValue | string |
Valore hash del file. |
|
|
Nome mutex file
|
fileMutexName | string |
Nome mutex usato nei rilevamenti basati su file. |
|
|
Nome del file
|
fileName | string |
Nome del file se l'indicatore è basato su file. |
|
|
File packer
|
filePacker | string |
Packer usato per compilare il file in questione. |
|
|
Percorso del file
|
filePath | string |
Percorso del file che indica la compromissione. Può essere un percorso di stile Windows o *nix. |
|
|
Dimensione del file
|
fileSize | integer |
Dimensioni del file in byte. |
|
|
Tipo di file
|
fileType | string |
Descrizione del tipo di file. Ad esempio, "Documento word" o "Binario". |
|
|
Nome di dominio
|
domainName | string |
Nome di dominio associato a questo indicatore. |
|
|
Blocco cidr di rete
|
networkCidrBlock | string |
Rappresentazione della notazione del blocco CIDR della rete a cui si fa riferimento in questo indicatore. |
|
|
Asn di destinazione di rete
|
networkDestinationAsn | integer |
Identificatore del sistema autonomo di destinazione della rete a cui si fa riferimento nell'indicatore. |
|
|
Blocco cidr di destinazione di rete
|
networkDestinationCidrBlock | string |
Rappresentazione della notazione del blocco CIDR della rete di destinazione in questo indicatore. |
|
|
IPv4 di destinazione di rete
|
networkDestinationIPv4 | string |
Destinazione indirizzo IP IPv4. |
|
|
IPv6 di destinazione di rete
|
networkDestinationIPv6 | string |
Destinazione indirizzo IP IPv6. |
|
|
Porta di destinazione di rete
|
networkDestinationPort | integer |
Destinazione della porta TCP. |
|
|
IPv4 di rete
|
networkIPv4 | string |
Indirizzo IP IPv4. |
|
|
IPv6 di rete
|
networkIPv6 | string |
Indirizzo IP IPv6. |
|
|
Porta di rete
|
networkPort | integer |
Porta TCP. |
|
|
Protocollo di rete
|
networkProtocol | integer |
Rappresentazione decimale del campo del protocollo nell'intestazione IPv4. |
|
|
Asn origine di rete
|
networkSourceAsn | integer |
Identificatore del sistema autonomo di origine della rete a cui si fa riferimento nell'indicatore. |
|
|
Blocco cidr dell'origine di rete
|
networkSourceCidrBlock | string |
Rappresentazione della notazione del blocco CIDR della rete di origine in questo indicatore. |
|
|
IPv4 di origine di rete
|
networkSourceIPv4 | string |
Origine indirizzo IP IPv4. |
|
|
IPv6 di destinazione di rete
|
networkSourceIPv6 | string |
Origine indirizzo IP IPv6. |
|
|
Porta di origine di rete
|
networkSourcePort | integer |
Origine porta TCP. |
|
|
URL
|
url | string |
Uniform Resource Locator. |
|
|
Agente utente
|
userAgent | string |
User-Agent stringa da una richiesta Web che potrebbe indicare una compromissione. |
Restituisce
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
TiIndicators
|
value | array of TiIndicator |
I TiIndicator inviati |
Ottenere avvisi (deprecati) [DEPRECATO]
Ottenere un elenco di avvisi di sicurezza per questo tenant di Microsoft Entra ID. Usare con parametri di query diversi (deprecato).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Filtrare gli avvisi
|
$filter | string |
Specificare la condizione di filtro per gli avvisi, ad esempio Gravità eq "Alto". |
|
|
Avvisi principali
|
$top | integer |
Specificare il numero più recente di avvisi da recuperare da ogni provider. |
|
|
Selezionare le proprietà degli avvisi
|
$select | string |
Specificare le proprietà degli avvisi da includere nei risultati. |
|
|
Ordinamento
|
$orderby | string |
Specificare l'ordinamento per i risultati. |
|
|
Ignora i risultati "n"
|
$skip | integer |
Specificare il numero di risultati da ignorare. Utile per l'impaginazione. |
|
|
Includere il numero di avvisi restituiti
|
$count | string |
Specificare di includere il numero di avvisi restituiti nella risposta |
Restituisce
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Conteggio avvisi
|
@odata.count | integer |
Numero di avvisi restituiti |
|
Avvisi
|
value | array of Alert |
Avvisi restituiti |
|
Collegamento successivo
|
@odata.nextLink | string |
Collegamento per ottenere i risultati successivi nel caso in cui siano presenti più risultati rispetto a quelli richiesti |
Ottenere sottoscrizioni attive (deprecate) [DEPRECATO]
Ottenere l'elenco di sottoscrizioni non scadute per questo tenant di Microsoft Entra ID (deprecato).
Restituisce
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Conteggio delle sottocrizioni esistenti
|
@odata.count | integer |
Numero di sottocrizioni restituite |
|
Subscription
|
value | array of Subscription |
Entità di sottoscrizione restituite |
|
Collegamento successivo
|
@odata.nextLink | string |
Collegamento per ottenere i risultati successivi nel caso in cui siano presenti più risultati rispetto a quelli richiesti |
Ottenere tiIndicator per ID (deprecato) [DEPRECATO]
Ottenere un indicatore di intelligence per le minacce corrispondente all'ID specificato (deprecato).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
Specificare l'ID indicatore di intelligence per le minacce |
Restituisce
Una singola entità TiIndicator restituita
- TiIndicator
- TiIndicator
Ottenere tiIndicators (deprecato) [DEPRECATO]
Ottenere un elenco di indicatori di intelligence per le minacce per questo tenant di Microsoft Entra ID. Usare con parametri di query diversi (deprecato).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
Filtrare i tiIndicator
|
$filter | string |
Specificare la condizione di filtro per gli indicatori di intelligence per le minacce, ad esempio threatType eq 'WatchList' |
|
|
Top tiIndicators
|
$top | integer |
Specificare il numero massimo recente di indicatori di intelligence per le minacce da recuperare |
|
|
Selezionare le proprietà tiIndicator
|
$select | string |
Specificare le proprietà dell'indicatore di intelligence per le minacce da includere nei risultati. |
|
|
Include count of tiIndicators returned
|
$count | string |
Specificare di includere il numero di indicatori di intelligence per le minacce restituiti nella risposta |
|
|
Ignora i risultati "n"
|
$skip | integer |
Specificare il numero di risultati da ignorare. Utile per l'impaginazione. |
|
|
Ordinamento
|
$orderby | string |
Specificare l'ordinamento per i risultati. |
Restituisce
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Conteggio tiindicator
|
@odata.count | integer |
Numero di TiIndicator restituito |
|
TiIndicators
|
value | array of TiIndicator |
TiIndicator restituito |
|
Collegamento successivo
|
@odata.nextLink | string |
Collegamento per ottenere i risultati successivi nel caso in cui siano presenti più risultati rispetto a quelli richiesti |
Ottenere un avviso in base all'ID (deprecato) [DEPRECATO]
Ottenere un avviso di sicurezza corrispondente all'ID specificato (deprecato).
Parametri
| Nome | Chiave | Necessario | Tipo | Descrizione |
|---|---|---|---|---|
|
ID di avviso
|
alert-id | True | string |
Specificare l'ID avviso. |
Restituisce
Entità di avviso singola restituita
- Avviso
- Alert
Trigger
| In tutti i nuovi avvisi (deprecato) [DEPRECATO] |
Trigger in tutti i nuovi avvisi (deprecato) |
| Nei nuovi avvisi con gravità elevata (deprecati) [DEPRECATO] |
Trigger per i nuovi avvisi con gravità elevata (deprecato) |
In tutti i nuovi avvisi (deprecato) [DEPRECATO]
Trigger in tutti i nuovi avvisi (deprecato)
Restituisce
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Conteggio avvisi
|
@odata.count | integer |
Numero di avvisi restituiti |
|
Avvisi
|
value | array of Alert |
Avvisi restituiti |
|
Collegamento successivo
|
@odata.nextLink | string |
Collegamento per ottenere i risultati successivi nel caso in cui siano presenti più risultati rispetto a quelli richiesti |
Nei nuovi avvisi con gravità elevata (deprecati) [DEPRECATO]
Trigger per i nuovi avvisi con gravità elevata (deprecato)
Restituisce
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Conteggio avvisi
|
@odata.count | integer |
Numero di avvisi restituiti |
|
Avvisi
|
value | array of Alert |
Avvisi restituiti |
|
Collegamento successivo
|
@odata.nextLink | string |
Collegamento per ottenere i risultati successivi nel caso in cui siano presenti più risultati rispetto a quelli richiesti |
Definizioni
Avviso
Entità di avviso singola restituita
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
ID sottoscrizione di Azure
|
azureSubscriptionId | string |
ID sottoscrizione di Azure, presente se questo avviso è correlato a una risorsa di Azure. |
|
Etichette
|
tags | array of string |
Etichette definibili dall'utente che possono essere applicate a un avviso e possono fungere da condizioni di filtro ( ad esempio "HVA", "SAW" e così via). |
|
Documento d'identità
|
id | string |
GUID/identificatore univoco generato dal provider. |
|
ID tenant di Azure
|
azureTenantId | string |
ID tenant di Microsoft Entra. |
|
Nome del gruppo di attività
|
activityGroupName | string |
Nome o alias del gruppo di attività (utente malintenzionato) a cui l'avviso è attribuito. |
|
Assegnata a
|
assignedTo | string |
Nome dell'analista a cui viene assegnato l'avviso per la valutazione, l'indagine o la correzione. |
|
Categoria
|
category | string |
Categoria dell'avviso (ad esempio credentialTheft, ransomware e così via). |
|
Data di chiusura
|
closedDateTime | date-time |
Ora in cui l'avviso è stato chiuso (UTC). |
|
Comments
|
comments | array of string |
Commenti forniti dal cliente sull'avviso (per la gestione degli avvisi dei clienti). |
|
Fiducia
|
confidence | integer |
Attendibilità della logica di rilevamento (percentuale compresa tra 1 e 100). |
|
Data e ora di creazione
|
createdDateTime | date-time |
Ora in cui è stato creato l'avviso (UTC). |
|
Description
|
description | string |
Descrizione dell'avviso. |
|
ID rilevamento
|
detectionIds | array of string |
Set di avvisi correlati a questa entità di avviso. |
|
Data evento
|
eventDateTime | date-time |
Ora in cui si sono verificati gli eventi che hanno servito come trigger per generare l'avviso (UTC). |
|
Riscontro
|
feedback | string |
Feedback dell'analista sull'avviso. I valori possibili sono: unknown, truePositive, falsePositive, benignPositive. |
|
Data e ora dell'ultima modifica
|
lastModifiedDateTime | date-time |
Ora dell'ultima modifica dell'entità di avviso (UTC). |
|
Azioni consigliate
|
recommendedActions | array of string |
Azione consigliata fornitore/provider da eseguire come risultato dell'avviso (ad esempio, isolare il computer, applicare2FA, reimage host e così via). |
|
Severity
|
severity | string |
Gravità dell'avviso: impostata dal fornitore/provider. Valori: (alto, medio, basso, informativo) in cui "informativo" deduce che l'avviso non è utilizzabile. |
|
Materiali di origine
|
sourceMaterials | array of string |
Collegamenti ipertestuali (URI) al materiale di origine correlato all'avviso, ad esempio l'interfaccia utente di indagine del provider e così via. |
|
stato
|
status | string |
Stato del ciclo di vita degli avvisi (fase). Valori: (sconosciuto, newAlert, inProgress, risolto). |
|
Titolo
|
title | string |
Titolo dell'avviso. |
|
Nome del fornitore
|
vendorInformation.provider | string |
Provider specifico (prodotto/servizio - non società fornitore); Ad esempio, WindowsDefenderATP. |
|
Versione del provider
|
vendorInformation.providerVersion | string |
Versione del provider o del sottoprovider. |
|
Nome del provider secondario
|
vendorInformation.subProvider | string |
Sottoinsieme specifico (in provider di aggregazione); Ad esempio, WindowsDefenderATP.SmartScreen. |
|
Nome fornitore
|
vendorInformation.vendor | string |
Nome del fornitore di avvisi (ad esempio, Microsoft, Dell, FireEye). |
|
Stati delle app cloud
|
cloudAppStates | array of object |
Informazioni con stato correlate alla sicurezza generate dal provider relative all'applicazione cloud/s correlate a questo avviso. |
|
IP del servizio di destinazione
|
cloudAppStates.destinationServiceIp | string |
Indirizzo IP di destinazione della connessione all'app/servizio cloud. |
|
Nome servizio di destinazione
|
cloudAppStates.destinationServiceName | string |
Nome app/servizio cloud di destinazione. |
|
Punteggio di rischio
|
cloudAppStates.riskScore | string |
Punteggio di rischio generato/calcolato dal provider dell'applicazione/servizio cloud. |
|
Stati dei file
|
fileStates | array of object |
Informazioni con stato correlate alla sicurezza generate dal provider relative ai file correlati a questo avviso. |
|
Nome
|
fileStates.name | string |
Nome file (senza percorso). |
|
Percorso
|
fileStates.path | string |
Percorso completo del file/imageFile. |
|
Punteggio di rischio
|
fileStates.riskScore | string |
Punteggio di rischio generato/calcolato dal provider del file di avviso. |
|
TIPO
|
fileStates.fileHash.type | string |
Tipo hash del file. I valori possibili sono: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256. |
|
Value
|
fileStates.fileHash.value | string |
Valore dell'hash del file. |
|
Stati host
|
hostStates | array of object |
Informazioni con stato correlate alla sicurezza generate dal provider relative agli host correlati a questo avviso. |
|
Nome di dominio completo
|
hostStates.fqdn | string |
FQDN host (nome di dominio completo). |
|
Aggiunto ad AzureAd
|
hostStates.isAzureAdJoined | boolean |
True se l'host è aggiunto a Servizi di dominio Microsoft Entra ID. |
|
AzureAd registrato
|
hostStates.isAzureAdRegistered | boolean |
True se l'host registrato con registrazione del dispositivo Microsoft Entra ID (ad esempio BYOD) non è completamente gestito dall'organizzazione. |
|
Aggiunto a un dominio di Azure ibrido
|
hostStates.isHybridAzureDomainJoined | boolean |
True se l'host è aggiunto a un dominio locale di Microsoft Entra ID. |
|
Nome bios net
|
hostStates.netBiosName | string |
Nome host locale senza nome di dominio DNS. |
|
Nome del sistema operativo
|
hostStates.os | string |
Sistema operativo host. |
|
Indirizzo IP privato
|
hostStates.privateIpAddress | string |
Indirizzo IPv4 o IPv6 privato (non instradabile) al momento dell'avviso. |
|
Indirizzo IP pubblico
|
hostStates.publicIpAddress | string |
Indirizzo IPv4 o IPv6 instradabile pubblicamente al momento dell'avviso. |
|
Punteggio di rischio
|
hostStates.riskScore | string |
Punteggio di rischio generato/calcolato dal provider dell'host. |
|
Stati malware
|
malwareStates | array of object |
Informazioni con stato correlate alla sicurezza generate dal provider sul malware correlato a questo avviso. |
|
Categoria
|
malwareStates.category | string |
Categoria di malware generata dal provider (ad esempio trojan, ransomware e così via). |
|
Famiglia
|
malwareStates.family | string |
Famiglia di malware generata dal provider (ad esempio "wannacry", "notpetya" e così via). |
|
Nome
|
malwareStates.name | string |
Nome variante malware generato dal provider (ad esempio Trojan:Win32/Powessere.H). |
|
Severity
|
malwareStates.severity | string |
Gravità determinata dal provider di questo malware. |
|
Era in esecuzione
|
malwareStates.wasRunning | boolean |
Indica se il file rilevato (malware/vulnerabilità) è in esecuzione al momento del rilevamento o se è stato rilevato inattivo sul disco. |
|
Connessioni di rete
|
networkConnections | array of object |
Informazioni con stato correlate alla sicurezza generate dal provider relative ai file correlati a questo avviso. |
|
Nome applicazione
|
networkConnections.applicationName | string |
Nome dell'applicazione che gestisce la connessione di rete ,ad esempio Facebook, SMTP e così via. |
|
Indirizzo di destinazione
|
networkConnections.destinationAddress | string |
Indirizzo IP di destinazione della connessione di rete. |
|
Dominio di destinazione
|
networkConnections.destinationDomain | string |
Parte del dominio di destinazione dell'URL di destinazione. (ad esempio "www.contoso.com"). |
|
Porta di destinazione
|
networkConnections.destinationPort | string |
Porta di destinazione della connessione di rete. |
|
URL di destinazione
|
networkConnections.destinationUrl | string |
STRINGA URI/URL di connessione di rete: esclusi i parametri. |
|
Direction
|
networkConnections.direction | string |
Direzione della connessione di rete. I valori possibili sono: sconosciuto, in ingresso, in uscita. |
|
DateTime registrato nel dominio
|
networkConnections.domainRegisteredDateTime | date-time |
Data in cui il dominio di destinazione è stato registrato (UTC). |
|
Nome DNS locale
|
networkConnections.localDnsName | string |
La risoluzione dei nomi DNS locale visualizzata nella cache DNS locale dell'host, ad esempio nel caso in cui il file "hosts" sia stato manomesso. |
|
Indirizzo di destinazione NAT
|
networkConnections.natDestinationAddress | string |
Indirizzo IP di destinazione Network Address Translation. |
|
Porta di destinazione NAT
|
networkConnections.natDestinationPort | string |
Porta di destinazione Network Address Translation. |
|
Indirizzo di origine NAT
|
networkConnections.natSourceAddress | string |
Indirizzo IP di origine Network Address Translation. |
|
Porta di origine NAT
|
networkConnections.natSourcePort | string |
Porta di origine Network Address Translation. |
|
Protocollo
|
networkConnections.protocol | string |
Protocollo di rete. I valori possibili sono: unknown, ip, icmp, igmp, ggp, ipv4, tcp, pup, udp, idp, ipv6, ipv6RoutingHeader, ipv6FragmentHeader, ipSecEncapsulatingSecurityPayload, ipSecAuthenticationHeader, icmpV6, ipv6NoNextHeader, ipv6DestinationOptions, nd, raw, ipx, spx, spxII. |
|
Punteggio di rischio
|
networkConnections.riskScore | string |
Punteggio di rischio generato/calcolato dal provider della connessione di rete. |
|
Indirizzo di origine
|
networkConnections.sourceAddress | string |
Indirizzo IP di origine (ad esempio origine) della connessione di rete. |
|
Porta di origine
|
networkConnections.sourcePort | string |
Porta IP di origine (ad esempio origine) della connessione di rete. |
|
stato
|
networkConnections.status | string |
Stato della connessione di rete. I valori possibili sono: sconosciuto, tentato, riuscito, bloccato, non riuscito. |
|
Parametri url
|
networkConnections.urlParameters | string |
Parametri (suffisso) dell'URL di destinazione come stringa. |
|
Processes
|
processes | array of object |
Informazioni con stato correlate alla sicurezza generate dal provider relative al processo o ai processi correlati a questo avviso. |
|
Nome dell'account
|
processes.accountName | string |
Identificatore dell'account utente (contesto dell'account utente in cui è stato eseguito il processo), ad esempio AccountName, SID e così via. |
|
Linea di comando
|
processes.commandLine | string |
Riga di comando di chiamata del processo completo, inclusi tutti i parametri. |
|
Data e ora di creazione
|
processes.createdDateTime | date-time |
DateTime in corrispondenza del quale è stato avviato il processo padre (UTC). |
|
Livello di integrità
|
processes.integrityLevel | string |
Livello di integrità del processo. I valori possibili sono: sconosciuto, non attendibile, basso, medio, alto, sistema. |
|
Con privilegi elevati
|
processes.isElevated | boolean |
True se il processo è elevato. |
|
Nome
|
processes.name | string |
Nome del file image del processo. |
|
Data creazione processo padre
|
processes.parentProcessCreatedDateTime | date-time |
Ora in cui è stato avviato il processo (UTC). |
|
ID processo padre
|
processes.parentProcessId | integer |
ID processo (PID) del processo padre. |
|
Nome processo padre
|
processes.parentProcessName | string |
Nome del file di immagine del processo padre. |
|
Percorso
|
processes.path | string |
Percorso completo, incluso il nome file. |
|
ID processo
|
processes.processId | integer |
ID processo (PID) del processo. |
|
TIPO
|
processes.fileHash.type | string |
Tipo hash del file. I valori possibili sono: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256. |
|
Value
|
processes.fileHash.value | string |
Valore dell'hash del file. |
|
Stati della chiave del Registro di sistema
|
registryKeyStates | array of object |
Informazioni con stato correlate alla sicurezza generate dal provider sulle chiavi del Registro di sistema correlate a questo avviso. |
|
Processo
|
registryKeyStates.process | string |
ID processo (PID) del processo che ha modificato la chiave del Registro di sistema (i dettagli del processo verranno visualizzati nella raccolta di avvisi "processi"). |
|
Operation
|
registryKeyStates.operation | string |
Operazione che ha modificato il nome della chiave del Registro di sistema e/o il valore (aggiungere, modificare, eliminare). |
|
Tipo di valore
|
registryKeyStates.valueType | string |
Tipo di valore della chiave del Registro di sistema. I valori possibili sono: unknown, binary, dword, dwordLittleEndian, dwordBigEndian, expandSz, link, multiSz, none, qword, qwordlittleEndian, sz. |
|
Hive del Registro di sistema
|
registryKeyStates.hive | string |
Hive del Registro di sistema di Windows. I valori possibili sono: unknown, currentConfig, currentUser, localMachineSam, localMachineSamware, localMachineSystem, usersDefault. |
|
Key
|
registryKeyStates.key | string |
Chiave del Registro di sistema corrente (ad esempio modificata) (esclude HIVE). |
|
Nome del valore
|
registryKeyStates.valueName | string |
Nome del valore della chiave del Registro di sistema corrente (ad esempio modificato). |
|
Dati di valore
|
registryKeyStates.valueData | string |
Dati correnti (ovvero modificati) dei valori della chiave del Registro di sistema (contenuto). |
|
Chiave precedente
|
registryKeyStates.oldKey | string |
Precedente (ad esempio, prima della modifica) della chiave del Registro di sistema (esclude HIVE). |
|
Nome valore precedente
|
registryKeyStates.oldValueName | string |
Precedente (ad esempio, prima della modifica) nome del valore della chiave del Registro di sistema. |
|
Dati del valore precedente
|
registryKeyStates.oldValueData | string |
Dati del valore della chiave del Registro di sistema precedenti (ad esempio, prima della modifica) (contenuto). |
|
Attivatori
|
triggers | array of object |
Informazioni relative alla sicurezza sulle proprietà specifiche che hanno attivato l'avviso (proprietà visualizzate nell'avviso). Gli avvisi possono contenere informazioni su più utenti, host, file, indirizzi IP. Questo campo indica quali proprietà hanno attivato la generazione di avvisi. |
|
Nome
|
triggers.name | string |
Nome della proprietà che funge da trigger di rilevamento. |
|
TIPO
|
triggers.type | string |
Tipo dell'attributo nella coppia key:value per l'interpretazione, ad esempio String, Boolean e così via. |
|
Value
|
triggers.value | string |
Valore dell'attributo che funge da trigger di rilevamento. |
|
Stati utente
|
userStates | array of object |
Informazioni con stato correlate alla sicurezza generate dal provider relative all'utente connesso o agli utenti correlati a questo avviso. |
|
ID utente di Microsoft Entra ID
|
userStates.aadUserId | string |
Microsoft Entra ID User object identifier (GUID) - rappresenta l'entità utente fisica/multi-account. |
|
Nome dell'account
|
userStates.accountName | string |
Nome account dell'account utente (senza dominio DNS o dominio DNS di Microsoft Entra ID) ( detto anche "mailNickName"). |
|
Nome di dominio
|
userStates.domainName | string |
NetBIOS/Microsoft Entra ID Dominio dell'account utente (ad esempio dominio\formato account). |
|
Ruolo di posta elettronica
|
userStates.emailRole | string |
Per gli avvisi correlati alla posta elettronica - Ruolo di posta elettronica dell'account utente. |
|
Is Vpn
|
userStates.isVpn | boolean |
Indica se l'utente ha eseguito l'accesso tramite una VPN. |
|
Data di accesso
|
userStates.logonDateTime | date-time |
Ora in cui si è verificato l'accesso (UTC). |
|
ID accesso
|
userStates.logonId | string |
ID di accesso utente. |
|
IP di accesso
|
userStates.logonIp | string |
Indirizzo IP dalla richiesta di accesso o dall'origine. |
|
Percorso di accesso
|
userStates.logonLocation | string |
Percorso (per mapping degli indirizzi IP) associato a un evento di accesso utente da parte dell'utente. |
|
Tipo di accesso
|
userStates.logonType | string |
Metodo di accesso dell'utente. I valori possibili sono: sconosciuto, interattivo, remoteInteractive, rete, batch, servizio. |
|
Identificatore di sicurezza locale
|
userStates.onPremisesSecurityIdentifier | string |
ID Microsoft Entra (locale) ID di sicurezza (SID) dell'utente. |
|
Punteggio di rischio
|
userStates.riskScore | string |
Punteggio di rischio generato/calcolato dal provider dell'account utente. |
|
Tipo di account utente
|
userStates.userAccountType | string |
Tipo di account utente (appartenenza al gruppo), per definizione di Windows. I valori possibili sono: sconosciuto, standard, power, administrator. |
|
Nome principale utente
|
userStates.userPrincipalName | string |
Nome accesso utente - Formato Internet: <nome account utente@<nome>> di dominio DNS dell'account utente. |
|
Stati di vulnerabilità
|
vulnerabilityStates | array of object |
Intelligence per le minacce relativa a una o più vulnerabilità correlate a questo avviso. |
|
Cve
|
vulnerabilityStates.cve | string |
Vulnerabilità ed esposizioni comuni (CVE) per la vulnerabilità. |
|
Era in esecuzione
|
vulnerabilityStates.wasRunning | boolean |
Indica se la vulnerabilità rilevata (file) era in esecuzione al momento del rilevamento o se il file è stato rilevato inattivo sul disco. |
|
Severity
|
vulnerabilityStates.severity | string |
Punteggio di gravità cvSS (Common Vulnerability Scoring System) di base per questa vulnerabilità. |
Subscription
Una singola entità di sottoscrizione restituita
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Documento d'identità
|
id | string |
Identificatore univoco per la sottoscrizione. |
|
Conto risorse
|
resource | string |
Specifica la risorsa che verrà monitorata per le modifiche. |
|
ID applicazione
|
applicationId | string |
Identificatore dell'applicazione usata per creare la sottoscrizione. |
|
Tipo di modifica
|
changeType | string |
Indica il tipo di modifica nella risorsa sottoscritta che genererà una notifica. |
|
Stato client
|
clientState | string |
Specifica il valore della proprietà clientState inviata dal servizio in ogni notifica. La lunghezza massima è di 128 caratteri. Il client può verificare che la notifica provenisse dal servizio confrontando il valore della proprietà clientState inviata con la sottoscrizione con il valore della proprietà clientState ricevuta con ogni notifica. |
|
URL di notifica
|
notificationUrl | string |
URL dell'endpoint che riceverà le notifiche. Questo URL deve usare il protocollo HTTPS. |
|
Data di scadenza
|
expirationDateTime | string |
Specifica la data e l'ora di scadenza della sottoscrizione webhook (UTC). |
|
ID creatore
|
creatorId | string |
Identificatore dell'utente o dell'entità servizio che ha creato la sottoscrizione. Se l'app ha usato autorizzazioni delegate per creare la sottoscrizione, questo campo contiene l'ID dell'utente connesso dell'app chiamata per conto di . Se l'app ha usato le autorizzazioni dell'applicazione, questo campo contiene l'ID dell'entità servizio corrispondente all'app. |
TiIndicator
Una singola entità TiIndicator restituita
| Nome | Percorso | Tipo | Descrizione |
|---|---|---|---|
|
Action
|
action | string |
Azione da applicare se l'indicatore viene confrontato dall'interno dello strumento di sicurezza targetProduct. Valori: (sconosciuto, consenti, blocco, avviso). |
|
Nomi dei gruppi di attività
|
activityGroupNames | array of string |
I nomi dell'intelligence sulle minacce informatiche per le parti responsabili dell'attività dannosa coperta dall'indicatore di minaccia. |
|
Informazioni aggiuntive
|
additionalInformation | string |
È possibile inserire dati aggiuntivi dall'indicatore non coperti dalle altre proprietà tiIndicator |
|
ID tenant di Azure
|
azureTenantId | string |
ID tenant di Microsoft Entra ID per l'invio del client. |
|
Fiducia
|
confidence | integer |
Attendibilità della logica di rilevamento (percentuale compresa tra 0 e 100). |
|
Description
|
description | string |
TiIndicator description (100 caratteri o meno). |
|
Modello a rombo
|
diamondModel | string |
Area del modello a rombo in cui è presente questo indicatore. Valori: (sconosciuto, antagonista, capacità, infrastruttura, vittima). |
|
Data di scadenza
|
expirationDateTime | date-time |
Ora in cui scade l'indicatore (UTC). |
|
ID esterno
|
externalId | string |
Numero di identificazione che collega l'indicatore al sistema del provider di indicatori ,ad esempio una chiave esterna. |
|
Documento d'identità
|
id | string |
Creato dal sistema quando viene inserito l'indicatore. GUID/identificatore univoco generato. |
|
Data inserita
|
ingestedDateTime | date-time |
Ora in cui viene inserito l'indicatore (UTC). |
|
È attivo
|
isActive | boolean |
Per impostazione predefinita, qualsiasi indicatore inviato viene impostato come attivo. Tuttavia, i provider possono inviare indicatori esistenti con questo valore impostato su "False" per disattivare gli indicatori nel sistema. |
|
Kill chain
|
killChain | array of string |
stringhe che descrivono il punto o i punti della Kill Chain a cui punta questo indicatore. Valori: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization). |
|
Falsi positivi noti
|
knownFalsePositives | string |
Scenari in cui l'indicatore può causare falsi positivi. |
|
Data ultima segnalazione
|
lastReportedDateTime | date-time |
Ora dell'ultima visualizzazione dell'indicatore (UTC). |
|
Nomi di famiglia malware
|
malwareFamilyNames | array of string |
Nome della famiglia di malware associato a un indicatore, se presente. |
|
Solo passivo
|
passiveOnly | boolean |
Determina se l'indicatore deve attivare un evento visibile a un utente finale. |
|
Severity
|
severity | integer |
Gravità del comportamento dannoso identificato dai dati all'interno dell'indicatore. I valori sono compresi tra 0 e 5 con 5 più gravi. Il valore predefinito è 3. |
|
Etichette
|
tags | array of string | |
|
Prodotto di destinazione
|
targetProduct | string |
Singolo prodotto di sicurezza a cui applicare l'indicatore. I valori accettabili sono: Azure Sentinel, Microsoft Defender ATP. |
|
Tipo di minaccia
|
threatType | string |
Ogni indicatore deve avere un tipo di minaccia indicatore valido. I valori possibili sono: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList. |
|
Livello Tlp
|
tlpLevel | string |
Valore di Traffic Light Protocol per l'indicatore. I valori possibili sono: sconosciuto, bianco, verde, ambra, rosso. |
|
Codifica della posta elettronica
|
emailEncoding | string |
Tipo di codifica del testo utilizzata nel messaggio di posta elettronica. |
|
Lingua di posta elettronica
|
emailLanguage | string |
Lingua del messaggio di posta elettronica. |
|
Destinatario del messaggio di posta elettronica
|
emailRecipient | string |
Indirizzo di posta elettronica del destinatario. |
|
Indirizzo mittente di posta elettronica
|
emailSenderAddress | string |
Indirizzo di posta elettronica dell'utente malintenzionato|vittima. |
|
Nome del mittente di posta elettronica
|
emailSenderName | string |
Nome visualizzato dell'utente malintenzionato|vittima. |
|
Dominio di origine della posta elettronica
|
emailSourceDomain | string |
Dominio usato nel messaggio di posta elettronica. |
|
Indirizzo IP dell'origine di posta elettronica
|
emailSourceIpAddress | string |
Indirizzo IP di origine della posta elettronica. |
|
Oggetto del messaggio e-mail
|
emailSubject | string |
Riga dell'oggetto del messaggio di posta elettronica. |
|
Posta elettronica XMailer
|
emailXMailer | string |
Valore X-Mailer usato nel messaggio di posta elettronica. |
|
Data di compilazione file
|
fileCompileDateTime | date-time |
DateTime quando il file è stato compilato. |
|
Data creazione file
|
fileCreatedDateTime | date-time |
DateTime al momento della creazione del file. |
|
Tipo hash di file
|
fileHashType | string |
Tipo di hash archiviato in fileHashValue. I valori possibili sono: sconosciuto, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
|
Valore hash del file
|
fileHashValue | string |
Valore hash del file. |
|
Nome mutex file
|
fileMutexName | string |
Nome mutex usato nei rilevamenti basati su file. |
|
Nome del file
|
fileName | string |
Nome del file se l'indicatore è basato su file. |
|
File packer
|
filePacker | string |
Packer usato per compilare il file in questione. |
|
Percorso del file
|
filePath | string |
Percorso del file che indica la compromissione. Può essere un percorso di stile Windows o *nix. |
|
Dimensione del file
|
fileSize | integer |
Dimensioni del file in byte. |
|
Tipo di file
|
fileType | string |
Descrizione del tipo di file. Ad esempio, "Documento word" o "Binario". |
|
Nome di dominio
|
domainName | string |
Nome di dominio associato a questo indicatore. |
|
Blocco cidr di rete
|
networkCidrBlock | string |
Rappresentazione della notazione del blocco CIDR della rete a cui si fa riferimento in questo indicatore. |
|
Asn di destinazione di rete
|
networkDestinationAsn | integer |
Identificatore del sistema autonomo di destinazione della rete a cui si fa riferimento nell'indicatore. |
|
Blocco cidr di destinazione di rete
|
networkDestinationCidrBlock | string |
Rappresentazione della notazione del blocco CIDR della rete di destinazione in questo indicatore. |
|
IPv4 di destinazione di rete
|
networkDestinationIPv4 | string |
Destinazione indirizzo IP IPv4. |
|
IPv6 di destinazione di rete
|
networkDestinationIPv6 | string |
Destinazione indirizzo IP IPv6. |
|
Porta di destinazione di rete
|
networkDestinationPort | integer |
Destinazione della porta TCP. |
|
IPv4 di rete
|
networkIPv4 | string |
Indirizzo IP IPv4. |
|
IPv6 di rete
|
networkIPv6 | string |
Indirizzo IP IPv6. |
|
Porta di rete
|
networkPort | integer |
Porta TCP. |
|
Protocollo di rete
|
networkProtocol | integer |
Rappresentazione decimale del campo del protocollo nell'intestazione IPv4. |
|
Asn origine di rete
|
networkSourceAsn | integer |
Identificatore del sistema autonomo di origine della rete a cui si fa riferimento nell'indicatore. |
|
Blocco cidr dell'origine di rete
|
networkSourceCidrBlock | string |
Rappresentazione della notazione del blocco CIDR della rete di origine in questo indicatore. |
|
IPv4 di origine di rete
|
networkSourceIPv4 | string |
Origine indirizzo IP IPv4. |
|
IPv6 di destinazione di rete
|
networkSourceIPv6 | string |
Origine indirizzo IP IPv6. |
|
Porta di origine di rete
|
networkSourcePort | integer |
Origine porta TCP. |
|
URL
|
url | string |
Uniform Resource Locator. |
|
Agente utente
|
userAgent | string |
User-Agent stringa da una richiesta Web che potrebbe indicare una compromissione. |