Threat Intelligence Indicators - List
Ottenere tutti gli indicatori di intelligence sulle minacce.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/threatIntelligence/main/indicators?api-version=2024-03-01
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/threatIntelligence/main/indicators?api-version=2024-03-01&$filter={$filter}&$top={$top}&$skipToken={$skipToken}&$orderby={$orderby}
Parametri dell'URI
Nome | In | Necessario | Tipo | Descrizione |
---|---|---|---|---|
resource
|
path | True |
string |
Nome del gruppo di risorse. Per il nome non viene fatta distinzione tra maiuscole e minuscole. |
subscription
|
path | True |
string |
ID della sottoscrizione di destinazione. |
workspace
|
path | True |
string |
Nome dell'area di lavoro. Regex pattern: |
api-version
|
query | True |
string |
Versione dell'API da usare per questa operazione. |
$filter
|
query |
string |
Filtra i risultati in base a una condizione booleana. facoltativo. |
|
$orderby
|
query |
string |
Ordina i risultati. facoltativo. |
|
$skip
|
query |
string |
Skiptoken viene usato solo se un'operazione precedente ha restituito un risultato parziale. Se una risposta precedente contiene un elemento nextLink, il valore dell'elemento nextLink includerà un parametro skiptoken che specifica un punto di partenza da usare per le chiamate successive. facoltativo. |
|
$top
|
query |
integer int32 |
Restituisce solo i primi n risultati. facoltativo. |
Risposte
Nome | Tipo | Descrizione |
---|---|---|
200 OK |
OK |
|
Other Status Codes |
Risposta di errore che descrive il motivo per cui l'operazione non è riuscita a ottenere indicatori. |
Sicurezza
azure_auth
Flusso OAuth2 di Azure Active Directory
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
Nome | Descrizione |
---|---|
user_impersonation | rappresentare l'account utente |
Esempio
Get all threat intelligence indicators
Sample Request
GET https://management.azure.com/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/threatIntelligence/main/indicators?api-version=2024-03-01
Sample Response
{
"value": [
{
"id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/ThreatIntelligence/27d963e6-e6e4-e0f9-e9d7-c53985b3bbe8",
"name": "27d963e6-e6e4-e0f9-e9d7-c53985b3bbe8",
"etag": "\"00002f2c-0000-0800-0000-5e976a8e0000\"",
"type": "Microsoft.SecurityInsights/ThreatIntelligence",
"kind": "indicator",
"properties": {
"confidence": 90,
"created": "2020-04-15T20:11:57.9666134Z",
"createdByRef": "contoso@contoso.com",
"externalId": "indicator--8516d567-0daa-4614-8745-e3591e1b48cf",
"externalReferences": [],
"granularMarkings": [],
"lastUpdatedTimeUtc": "2020-04-15T20:15:11.0746926Z",
"revoked": false,
"source": "Azure Sentinel",
"threatIntelligenceTags": [
"new schema"
],
"displayName": "new schema 2",
"description": "debugging indicators",
"threatTypes": [
"compromised"
],
"killChainPhases": [],
"pattern": "[url:value = 'https://www.contoso.com']",
"patternType": "url",
"validFrom": "2020-04-15T17:44:00.114052Z"
}
},
{
"id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/ThreatIntelligence/e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
"name": "e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
"etag": "\"00002a2c-0000-0800-0000-5e97683b0000\"",
"type": "Microsoft.SecurityInsights/ThreatIntelligence",
"kind": "indicator",
"properties": {
"confidence": 78,
"created": "2020-04-15T19:51:17.1050923Z",
"createdByRef": "contoso@contoso.com",
"externalId": "indicator--73be1729-babb-4348-a6c4-94621cae2530",
"externalReferences": [],
"granularMarkings": [],
"lastUpdatedTimeUtc": "2020-04-15T20:15:11.074903Z",
"revoked": false,
"source": "Azure Sentinel",
"threatIntelligenceTags": [
"patching tags"
],
"displayName": "updated indicator",
"description": "debugging indicators",
"threatTypes": [
"compromised"
],
"killChainPhases": [],
"pattern": "[url:value = 'https://www.contoso.com']",
"patternType": "url",
"validFrom": "2020-04-15T17:44:00.114052Z"
}
}
]
}
Definizioni
Nome | Descrizione |
---|---|
Cloud |
Struttura della risposta di errore. |
Cloud |
Dettagli errore. |
created |
Tipo di identità che ha creato la risorsa. |
system |
Metadati relativi alla creazione e all'ultima modifica della risorsa. |
Threat |
Descrive i riferimenti esterni |
Threat |
Descrive l'entità del modello di contrassegno granulare delle minacce |
Threat |
Entità dell'indicatore di intelligence per le minacce. |
Threat |
Elenco di tutti gli oggetti informazioni di intelligence sulle minacce. |
Threat |
Descrive l'entità della fase di kill chain delle minacce |
Threat |
Descrive l'entità modello analizzata |
Threat |
Descrive l'entità della fase di kill chain delle minacce |
Threat |
Tipo di entità intelligence per le minacce |
CloudError
Struttura della risposta di errore.
Nome | Tipo | Descrizione |
---|---|---|
error |
Dati degli errori |
CloudErrorBody
Dettagli errore.
Nome | Tipo | Descrizione |
---|---|---|
code |
string |
Identificatore dell'errore. I codici sono invarianti e devono essere utilizzati a livello di codice. |
message |
string |
Messaggio che descrive l'errore, che deve essere adatto per la visualizzazione in un'interfaccia utente. |
createdByType
Tipo di identità che ha creato la risorsa.
Nome | Tipo | Descrizione |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
systemData
Metadati relativi alla creazione e all'ultima modifica della risorsa.
Nome | Tipo | Descrizione |
---|---|---|
createdAt |
string |
Timestamp della creazione di risorse (UTC). |
createdBy |
string |
Identità che ha creato la risorsa. |
createdByType |
Tipo di identità che ha creato la risorsa. |
|
lastModifiedAt |
string |
Timestamp dell'ultima modifica della risorsa (UTC) |
lastModifiedBy |
string |
Identità che ha modificato l'ultima volta la risorsa. |
lastModifiedByType |
Tipo di identità che ha modificato l'ultima volta la risorsa. |
ThreatIntelligenceExternalReference
Descrive i riferimenti esterni
Nome | Tipo | Descrizione |
---|---|---|
description |
string |
Descrizione del riferimento esterno |
externalId |
string |
ID riferimento esterno |
hashes |
object |
Hash dei riferimenti esterni |
sourceName |
string |
Nome origine riferimento esterno |
url |
string |
URL di riferimento esterno |
ThreatIntelligenceGranularMarkingModel
Descrive l'entità del modello di contrassegno granulare delle minacce
Nome | Tipo | Descrizione |
---|---|---|
language |
string |
Modello di contrassegno granulare della lingua |
markingRef |
integer |
contrassegnare il modello di contrassegno granulare dei riferimenti |
selectors |
string[] |
selettori del modello di contrassegno granulare |
ThreatIntelligenceIndicatorModel
Entità dell'indicatore di intelligence per le minacce.
Nome | Tipo | Descrizione |
---|---|---|
etag |
string |
Etag della risorsa di Azure |
id |
string |
ID di risorsa completo per la risorsa. Ad esempio - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
indicator |
Tipo dell'entità. |
name |
string |
nome della risorsa. |
properties.additionalData |
object |
Contenitore di campi personalizzati che devono far parte dell'entità e che verranno presentati all'utente. |
properties.confidence |
integer |
Attendibilità dell'entità intelligence sulle minacce |
properties.created |
string |
Creato da |
properties.createdByRef |
string |
Creato per riferimento all'entità intelligence per le minacce |
properties.defanged |
boolean |
L'entità intelligence per le minacce è defangata |
properties.description |
string |
Descrizione di un'entità di Intelligence per le minacce |
properties.displayName |
string |
Nome visualizzato di un'entità intelligence per le minacce |
properties.extensions |
Mappa delle estensioni |
|
properties.externalId |
string |
ID esterno dell'entità intelligence per le minacce |
properties.externalLastUpdatedTimeUtc |
string |
Ora dell'ultimo aggiornamento esterno in formato UTC |
properties.externalReferences |
Riferimenti esterni |
|
properties.friendlyName |
string |
Nome visualizzato dell'elemento grafico che rappresenta una breve descrizione leggibile dell'istanza dell'elemento grafico. Questa proprietà è facoltativa e potrebbe essere generata dal sistema. |
properties.granularMarkings |
Contrassegni granulari |
|
properties.indicatorTypes |
string[] |
Tipi di indicatori di entità di intelligence per le minacce |
properties.killChainPhases |
Fasi della catena di interruzione |
|
properties.labels |
string[] |
Etichette dell'entità intelligence per le minacce |
properties.language |
string |
Linguaggio dell'entità intelligence per le minacce |
properties.lastUpdatedTimeUtc |
string |
Ora dell'ultimo aggiornamento in formato UTC |
properties.modified |
string |
Modificato da: |
properties.objectMarkingRefs |
string[] |
Riferimenti al contrassegno degli oggetti dell'entità di Intelligence per le minacce |
properties.parsedPattern |
Modelli analizzati |
|
properties.pattern |
string |
Modello di un'entità intelligence per le minacce |
properties.patternType |
string |
Tipo di modello di un'entità intelligence per le minacce |
properties.patternVersion |
string |
Versione del modello di un'entità intelligence per le minacce |
properties.revoked |
boolean |
L'entità intelligence per le minacce viene revocata |
properties.source |
string |
Origine di un'entità intelligence per le minacce |
properties.threatIntelligenceTags |
string[] |
Elenco di tag |
properties.threatTypes |
string[] |
Tipi di minacce |
properties.validFrom |
string |
Valido da |
properties.validUntil |
string |
Valido fino a |
systemData |
Azure Resource Manager metadati contenenti le informazioni createdBy e modifiedBy. |
|
type |
string |
Tipo di risorsa. Ad esempio, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
ThreatIntelligenceInformationList
Elenco di tutti gli oggetti informazioni di intelligence sulle minacce.
Nome | Tipo | Descrizione |
---|---|---|
nextLink |
string |
URL per recuperare il set successivo di oggetti informazioni. |
value | ThreatIntelligenceInformation[]: |
Matrice di oggetti informazioni di intelligence sulle minacce. |
ThreatIntelligenceKillChainPhase
Descrive l'entità della fase di kill chain delle minacce
Nome | Tipo | Descrizione |
---|---|---|
killChainName |
string |
Kill chainName name |
phaseName |
string |
Nome fase |
ThreatIntelligenceParsedPattern
Descrive l'entità modello analizzata
Nome | Tipo | Descrizione |
---|---|---|
patternTypeKey |
string |
Chiave del tipo di modello |
patternTypeValues |
Chiavi del tipo di modello |
ThreatIntelligenceParsedPatternTypeValue
Descrive l'entità della fase di kill chain delle minacce
Nome | Tipo | Descrizione |
---|---|---|
value |
string |
Valore del modello analizzato |
valueType |
string |
Tipo del valore |
ThreatIntelligenceResourceInnerKind
Tipo di entità intelligence per le minacce
Nome | Tipo | Descrizione |
---|---|---|
indicator |
string |
L'entità rappresenta l'indicatore di intelligence sulle minacce nel sistema. |