Share via

Threat Intelligence Indicators - List

  • Riferimento
Service:
Sentinel
API Version:
2024-03-01

Ottenere tutti gli indicatori di intelligence sulle minacce.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/threatIntelligence/main/indicators?api-version=2024-03-01
With optional parameters: 
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/threatIntelligence/main/indicators?api-version=2024-03-01&$filter={$filter}&$top={$top}&$skipToken={$skipToken}&$orderby={$orderby}

Parametri dell'URI

Nome In Necessario Tipo Descrizione
resourceGroupName
 path True

string

Nome del gruppo di risorse. Per il nome non viene fatta distinzione tra maiuscole e minuscole.
subscriptionId
 path True

string

ID della sottoscrizione di destinazione.
workspaceName
 path True

string

Nome dell'area di lavoro.

Regex pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$
api-version
 query True

string

Versione dell'API da usare per questa operazione.
$filter
 query

string

Filtra i risultati in base a una condizione booleana. facoltativo.
$orderby
 query

string

Ordina i risultati. facoltativo.
$skipToken
 query

string

Skiptoken viene usato solo se un'operazione precedente ha restituito un risultato parziale. Se una risposta precedente contiene un elemento nextLink, il valore dell'elemento nextLink includerà un parametro skiptoken che specifica un punto di partenza da usare per le chiamate successive. facoltativo.
$top
 query

integer

int32

Restituisce solo i primi n risultati. facoltativo.

Risposte

Nome Tipo Descrizione
200 OK

ThreatIntelligenceInformationList

OK
Other Status Codes

CloudError

Risposta di errore che descrive il motivo per cui l'operazione non è riuscita a ottenere indicatori.

Sicurezza

azure_auth

Flusso OAuth2 di Azure Active Directory

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Nome Descrizione
user_impersonation rappresentare l'account utente

Esempio

Get all threat intelligence indicators

Sample Request

GET https://management.azure.com/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/threatIntelligence/main/indicators?api-version=2024-03-01

Sample Response

Status code:
200 
{
  "value": [
    {
      "id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/ThreatIntelligence/27d963e6-e6e4-e0f9-e9d7-c53985b3bbe8",
      "name": "27d963e6-e6e4-e0f9-e9d7-c53985b3bbe8",
      "etag": "\"00002f2c-0000-0800-0000-5e976a8e0000\"",
      "type": "Microsoft.SecurityInsights/ThreatIntelligence",
      "kind": "indicator",
      "properties": {
        "confidence": 90,
        "created": "2020-04-15T20:11:57.9666134Z",
        "createdByRef": "contoso@contoso.com",
        "externalId": "indicator--8516d567-0daa-4614-8745-e3591e1b48cf",
        "externalReferences": [],
        "granularMarkings": [],
        "lastUpdatedTimeUtc": "2020-04-15T20:15:11.0746926Z",
        "revoked": false,
        "source": "Azure Sentinel",
        "threatIntelligenceTags": [
          "new schema"
        ],
        "displayName": "new schema 2",
        "description": "debugging indicators",
        "threatTypes": [
          "compromised"
        ],
        "killChainPhases": [],
        "pattern": "[url:value = 'https://www.contoso.com']",
        "patternType": "url",
        "validFrom": "2020-04-15T17:44:00.114052Z"
      }
    },
    {
      "id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/ThreatIntelligence/e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
      "name": "e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
      "etag": "\"00002a2c-0000-0800-0000-5e97683b0000\"",
      "type": "Microsoft.SecurityInsights/ThreatIntelligence",
      "kind": "indicator",
      "properties": {
        "confidence": 78,
        "created": "2020-04-15T19:51:17.1050923Z",
        "createdByRef": "contoso@contoso.com",
        "externalId": "indicator--73be1729-babb-4348-a6c4-94621cae2530",
        "externalReferences": [],
        "granularMarkings": [],
        "lastUpdatedTimeUtc": "2020-04-15T20:15:11.074903Z",
        "revoked": false,
        "source": "Azure Sentinel",
        "threatIntelligenceTags": [
          "patching tags"
        ],
        "displayName": "updated indicator",
        "description": "debugging indicators",
        "threatTypes": [
          "compromised"
        ],
        "killChainPhases": [],
        "pattern": "[url:value = 'https://www.contoso.com']",
        "patternType": "url",
        "validFrom": "2020-04-15T17:44:00.114052Z"
      }
    }
  ]
}

Definizioni

Nome Descrizione
CloudError

Struttura della risposta di errore.
CloudErrorBody

Dettagli errore.
createdByType

Tipo di identità che ha creato la risorsa.
systemData

Metadati relativi alla creazione e all'ultima modifica della risorsa.
ThreatIntelligenceExternalReference

Descrive i riferimenti esterni
ThreatIntelligenceGranularMarkingModel

Descrive l'entità del modello di contrassegno granulare delle minacce
ThreatIntelligenceIndicatorModel

Entità dell'indicatore di intelligence per le minacce.
ThreatIntelligenceInformationList

Elenco di tutti gli oggetti informazioni di intelligence sulle minacce.
ThreatIntelligenceKillChainPhase

Descrive l'entità della fase di kill chain delle minacce
ThreatIntelligenceParsedPattern

Descrive l'entità modello analizzata
ThreatIntelligenceParsedPatternTypeValue

Descrive l'entità della fase di kill chain delle minacce
ThreatIntelligenceResourceInnerKind

Tipo di entità intelligence per le minacce

CloudError

Struttura della risposta di errore.

Nome Tipo Descrizione
error

CloudErrorBody

Dati degli errori

CloudErrorBody

Dettagli errore.

Nome Tipo Descrizione
code

string

Identificatore dell'errore. I codici sono invarianti e devono essere utilizzati a livello di codice.
message

string

Messaggio che descrive l'errore, che deve essere adatto per la visualizzazione in un'interfaccia utente.

createdByType

Tipo di identità che ha creato la risorsa.

Nome Tipo Descrizione
Application

string

Key

string

ManagedIdentity

string

User

string

systemData

Metadati relativi alla creazione e all'ultima modifica della risorsa.

Nome Tipo Descrizione
createdAt

string

Timestamp della creazione di risorse (UTC).
createdBy

string

Identità che ha creato la risorsa.
createdByType

createdByType

Tipo di identità che ha creato la risorsa.
lastModifiedAt

string

Timestamp dell'ultima modifica della risorsa (UTC)
lastModifiedBy

string

Identità che ha modificato l'ultima volta la risorsa.
lastModifiedByType

createdByType

Tipo di identità che ha modificato l'ultima volta la risorsa.

ThreatIntelligenceExternalReference

Descrive i riferimenti esterni

Nome Tipo Descrizione
description

string

Descrizione del riferimento esterno
externalId

string

ID riferimento esterno
hashes

object

Hash dei riferimenti esterni
sourceName

string

Nome origine riferimento esterno
url

string

URL di riferimento esterno

ThreatIntelligenceGranularMarkingModel

Descrive l'entità del modello di contrassegno granulare delle minacce

Nome Tipo Descrizione
language

string

Modello di contrassegno granulare della lingua
markingRef

integer

contrassegnare il modello di contrassegno granulare dei riferimenti
selectors

string[]

selettori del modello di contrassegno granulare

ThreatIntelligenceIndicatorModel

Entità dell'indicatore di intelligence per le minacce.

Nome Tipo Descrizione
etag

string

Etag della risorsa di Azure
id

string

ID di risorsa completo per la risorsa. Ad esempio - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
kind string:

indicator

Tipo dell'entità.
name

string

nome della risorsa.
properties.additionalData

object

Contenitore di campi personalizzati che devono far parte dell'entità e che verranno presentati all'utente.
properties.confidence

integer

Attendibilità dell'entità intelligence sulle minacce
properties.created

string

Creato da
properties.createdByRef

string

Creato per riferimento all'entità intelligence per le minacce
properties.defanged

boolean

L'entità intelligence per le minacce è defangata
properties.description

string

Descrizione di un'entità di Intelligence per le minacce
properties.displayName

string

Nome visualizzato di un'entità intelligence per le minacce
properties.extensions

Mappa delle estensioni
properties.externalId

string

ID esterno dell'entità intelligence per le minacce
properties.externalLastUpdatedTimeUtc

string

Ora dell'ultimo aggiornamento esterno in formato UTC
properties.externalReferences

ThreatIntelligenceExternalReference[]

Riferimenti esterni
properties.friendlyName

string

Nome visualizzato dell'elemento grafico che rappresenta una breve descrizione leggibile dell'istanza dell'elemento grafico. Questa proprietà è facoltativa e potrebbe essere generata dal sistema.
properties.granularMarkings

ThreatIntelligenceGranularMarkingModel[]

Contrassegni granulari
properties.indicatorTypes

string[]

Tipi di indicatori di entità di intelligence per le minacce
properties.killChainPhases

ThreatIntelligenceKillChainPhase[]

Fasi della catena di interruzione
properties.labels

string[]

Etichette dell'entità intelligence per le minacce
properties.language

string

Linguaggio dell'entità intelligence per le minacce
properties.lastUpdatedTimeUtc

string

Ora dell'ultimo aggiornamento in formato UTC
properties.modified

string

Modificato da:
properties.objectMarkingRefs

string[]

Riferimenti al contrassegno degli oggetti dell'entità di Intelligence per le minacce
properties.parsedPattern

ThreatIntelligenceParsedPattern[]

Modelli analizzati
properties.pattern

string

Modello di un'entità intelligence per le minacce
properties.patternType

string

Tipo di modello di un'entità intelligence per le minacce
properties.patternVersion

string

Versione del modello di un'entità intelligence per le minacce
properties.revoked

boolean

L'entità intelligence per le minacce viene revocata
properties.source

string

Origine di un'entità intelligence per le minacce
properties.threatIntelligenceTags

string[]

Elenco di tag
properties.threatTypes

string[]

Tipi di minacce
properties.validFrom

string

Valido da
properties.validUntil

string

Valido fino a
systemData

systemData

Azure Resource Manager metadati contenenti le informazioni createdBy e modifiedBy.
type

string

Tipo di risorsa. Ad esempio, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts"

ThreatIntelligenceInformationList

Elenco di tutti gli oggetti informazioni di intelligence sulle minacce.

Nome Tipo Descrizione
nextLink

string

URL per recuperare il set successivo di oggetti informazioni.
value ThreatIntelligenceInformation[]:

ThreatIntelligenceIndicatorModel[]

Matrice di oggetti informazioni di intelligence sulle minacce.

ThreatIntelligenceKillChainPhase

Descrive l'entità della fase di kill chain delle minacce

Nome Tipo Descrizione
killChainName

string

Kill chainName name
phaseName

string

Nome fase

ThreatIntelligenceParsedPattern

Descrive l'entità modello analizzata

Nome Tipo Descrizione
patternTypeKey

string

Chiave del tipo di modello
patternTypeValues

ThreatIntelligenceParsedPatternTypeValue[]

Chiavi del tipo di modello

ThreatIntelligenceParsedPatternTypeValue

Descrive l'entità della fase di kill chain delle minacce

Nome Tipo Descrizione
value

string

Valore del modello analizzato
valueType

string

Tipo del valore

ThreatIntelligenceResourceInnerKind

Tipo di entità intelligence per le minacce

Nome Tipo Descrizione
indicator

string

L'entità rappresenta l'indicatore di intelligence sulle minacce nel sistema.