次の方法で共有


Microsoft Graph Security (プレビュー)

Microsoft Graph Security コネクタは、統一されたスキーマを使用して、さまざまな Microsoft およびパートナーのセキュリティ製品とサービスを接続し、セキュリティ操作を合理化し、脅威保護、検出、および対応機能を向上させるのに役立ちます。 Microsoft Graph Security API との統合の詳細については、https://aka.ms/graphsecuritydocs をご覧ください

このコネクタは、次の製品および地域で利用可能です。

サービス クラス 地域
Logic Apps 標準 以下を除くすべての Logic Apps 地域 :
     -   Azure 政府の地域
     -   Azure 中国の地域
     -   国防総省 (DoD)
Power Automate プレミアム 以下を除くすべての Power Automate 地域 :
     -   US Government (GCC)
     -   US Government (GCC High)
     -   21 Vianet が運用する中国のクラウド
     -   米国国防総省 (DoD)
Power Apps プレミアム 以下を除くすべての Power Apps 地域 :
     -   US Government (GCC)
     -   US Government (GCC High)
     -   21 Vianet が運用する中国のクラウド
     -   米国国防総省 (DoD)
連絡先
件名 マイクロソフト
[URL] Microsoft LogicApps サポート
Microsoft Power Automate サポート
Microsoft Power Apps サポート
メール sipsisgdev@microsoft.com
Connector Metadata
発行者 マイクロソフト
Web サイト https://www.microsoft.com/security/business/graph-security-api

Microsoft Graph Security コネクタで接続するための前提条件

Microsoft Graph Security API の詳細情報を参照してください。

  1. Microsoft Graph Security コネクタ アクションを使用するには、繰り返しトリガーなどのトリガーから開始します。

  2. Microsoft Graph Security コネクタを使用するには、Microsoft Graph Security 認証要件 の一部として、Microsoft Entra ID テナント管理者の同意を提供する必要があります。

  3. Microsoft Graph Security コネクタのアプリケーション ID と名前 (https://portal.azure.com) の Microsoft Entra ID の場合は、Microsoft Entra ID 管理者の同意は以下です。

  • アプリケーション名 - MicrosoftGraphSecurityConnector
  • アプリケーション ID - c4829704-0edc-4c3d-a347-7c4a67586f3c
  1. テナント管理者は、上記のアプリケーションに記載されている Microsoft Entra ID アプリケーションのテナント管理者の同意の付与 の手順に従うか、アプリケーションの同意エクスペリエンス に従って、Microsoft Graph Security コネクタを使用してワークフローの最初の実行時にアクセス許可を付与できます。

これで、Microsoft Graph Security コネクタを使用する準備ができました!

コネクタの詳細

コネクタの詳細については、詳細セクション を参照してください。

調整制限

名前 呼び出し 更新期間
接続ごとの API 呼び出し 100 60 秒

アクション

ID で tiIndicator を取得する

指定された ID に対応する脅威インテリジェンス インジケーターを取得します。

ID でアラートを取得する

指定された ID に対応するセキュリティ アラートを取得します。

ID で複数の tiIndicator を削除する

指定された ID に対応する複数の脅威インテリジェンス インジケーターを削除します。

IDで tiIndicator を削除する

指定された ID に対応する脅威インテリジェンス インジケーターを削除します。

tiIndicator を作成する

tiIndicators コレクションに投稿して、新しい脅威インテリジェンス インジケーターを作成します。

tiIndicator を更新する

複数の脅威インテリジェンス インジケーターの特定のプロパティを更新します。 tiIndicator の必須フィールドは、Id、expirationDateTime、および targetProduct です。

tiIndicators を取得する

Microsoft Entra ID テナントの脅威インテリジェンス インジケーターのリストを取得します。 さまざまなクエリ パラメーターで使用します。

アクティブ サブスクリプションを取得する

Microsoft Entra ID テナントの有効期限が切れていないサブスクリプションのリストを取得します。

アラートを取得する

Microsoft Entra ID テナントのセキュリティ アラートのリストを取得します。 さまざまなクエリ パラメーターで使用します。

アラートを更新する

セキュリティ アラートの特定のプロパティを更新します。

サブスクリプションを作成する

Microsoft Graph webhook サブスクリプションを作成します。

サブスクリプションを削除する

特定の Microsoft Graph Webhook サブスクリプションを削除します。

サブスクリプションを更新

Microsoft Graph Webhook サブスクリプションの有効期限を更新して延長してください。

外部 ID で複数の tiIndicator を削除する

指定された外部 ID に対応する複数の脅威インテリジェンス インジケーターを削除します。

複数の tiIndicators を更新する

複数の脅威インテリジェンス インジケーターの特定のプロパティを更新します。 各 tiIndicator の必須フィールドは、Id、expirationDateTime、および targetProduct です。

複数の tiIndicators を送信する

tiIndicators コレクションを投稿して、新しい脅威インテリジェンス インジケーターを作成します。 各 tiIndicator の必須フィールドは、action、azureTenantId、description、expirationDateTime、targetProduct、threatType、tlpLevel です。

ID で tiIndicator を取得する

指定された ID に対応する脅威インテリジェンス インジケーターを取得します。

パラメーター

名前 キー 必須 説明
TiIndicator ID
indicator-id True string

脅威インテリジェンス インジケーター ID を指定する

戻り値

単一の TiIndicator エンティティが返された

TiIndicator
TiIndicator

ID でアラートを取得する

指定された ID に対応するセキュリティ アラートを取得します。

パラメーター

名前 キー 必須 説明
アラート ID
alert-id True string

アラート ID を指定します。

戻り値

単一のアラート エンティティが返された

Alert
Alert

ID で複数の tiIndicator を削除する

指定された ID に対応する複数の脅威インテリジェンス インジケーターを削除します。

パラメーター

名前 キー 必須 説明
value array of string

戻り値

名前 パス 説明
value array of object
コード
value.code integer

結果コード

メッセージ
value.message string

メッセージ

subcode
value.subcode integer

結果サブ コード

IDで tiIndicator を削除する

指定された ID に対応する脅威インテリジェンス インジケーターを削除します。

パラメーター

名前 キー 必須 説明
TiIndicator ID
indicator-id True string

脅威インテリジェンス インジケーター ID を指定する

tiIndicator を作成する

tiIndicators コレクションに投稿して、新しい脅威インテリジェンス インジケーターを作成します。

パラメーター

名前 キー 必須 説明
操作​​
action True string

targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (unknown、allow、block、alert)。

活動グループ名
activityGroupNames array of string

脅威インジケーターの対象となる悪意のある活動の責任者のサイバー脅威インテリジェンス名。

追加情報
additionalInformation string

他の tiIndicator プロパティでカバーされていないインジケーターからの追加データが配置される場合がある

Azure テナント ID
azureTenantId string

送信クライアントの Microsoft Entra ID テナント。

信頼度
confidence integer

検出ロジックの信頼度 (0 〜 100 の パーセンテージ)。

内容
description True string

TiIndicator の説明 (100 文字以下)。

ダイヤモンド モデル
diamondModel string

このインジケーターが存在するダイヤモンド モデルの領域。 値: (unknown、adversary、capability、infrastructure、victim)。

有効期限
expirationDateTime True date-time

インジケーターの有効期限が切れる時刻 (UTC)。

外部 ID
externalId string

インジケーターをインジケーター プロバイダーのシステムに結び付ける識別番号 (例: 外部キー)。

取り込み日時
ingestedDateTime date-time

インジケーターが取り込まれる時刻です (UTC)。

アクティブかどうか
isActive boolean

既定では、送信されたインジケーターはすべてアクティブとして設定されます。 ただし、プロバイダーは、これを「False」に設定して既存のインジケーターを送信し、システムのインジケーターを非アクティブ化することができます。

キル チェーン
killChain array of string

このインジケーターがターゲットとするキル チェーン上のポイントを説明する文字列。 値: (Actions、C2、Delivery、Exploitation、Installation、Reconnaissance、Weaponization)。

既知の誤検知
knownFalsePositives string

インジケーターが誤検知を引き起こす可能性があるシナリオ。

最終報告日時
lastReportedDateTime date-time

インジケーターが最後に表示された時刻です (UTC)。

マルウェアの家族名
malwareFamilyNames array of string

インジケーターに関連付けられているマルウェアの家族名 (存在する場合)。

パッシブのみ
passiveOnly boolean

インジケーターがエンドユーザーに表示されるイベントをトリガーするかどうかを決定します。

重要度
severity integer

インジケーター内のデータによって識別される悪意のある動作の重要度。 値は 0 〜 5 で、5 が最も重大です。 既定値は 3 です。

タグ
tags array of string
対象製品
targetProduct True string

インジケーターを適用する必要のある単一のセキュリティ製品。 許容値は、Azure Sentinel、Microsoft Defender ATP です。

脅威の種類
threatType string

各インジケーターには、有効なインジケーター脅威の種類が必要です。 指定できる値は、Botnet、C2、CryptoMining、Darknet、DDoS、MaliciousUrl、Malware、Phishing、Proxy、PUA、WatchList です。

Tlp レベル
tlpLevel string

インジケータの Traffic Light Protocol 値。 指定できる値: unknown、white、green、amber、red。

メールのエンコード
emailEncoding string

メールで使用されるテキスト エンコードの種類。

メールの言語
emailLanguage string

メールの言語。

メール受信者
emailRecipient string

受信者メール アドレス。

メール送信者アドレス
emailSenderAddress string

攻撃者|犠牲者のメール アドレス。

メール送信者名
emailSenderName string

攻撃者|被害者の表示名。

メール ソース ドメイン
emailSourceDomain string

メールで使用されているドメイン。

メール ソース IP アドレス
emailSourceIpAddress string

メールのソース IP アドレス。

メールの件名
emailSubject string

メールの件名行。

メール XMailer
emailXMailer string

メールで使用される X-Mailer 値。

ファイル コンパイル日時
fileCompileDateTime date-time

ファイルがコンパイルされた DateTime。

ファイル作成日時
fileCreatedDateTime date-time

ファイルが作成された DateTime。

ファイル ハッシュの種類
fileHashType string

fileHashValue に格納されているハッシュの種類。 指定できる値は、unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph です。

ファイル ハッシュ値
fileHashValue string

ファイル ハッシュ値。

ファイル ミューテックス名
fileMutexName string

ファイル ベースの検出で使用されるミューテックス名。

ファイル名
fileName string

インジケーターがファイル ベースの場合のファイルの名前。

ファイル パッカー
filePacker string

問題のファイルをビルドするために使用されたパッカー。

ファイル パス
filePath string

侵害を示すファイルのパス。 Windows または *nix スタイルのパスである可能性があります。

ファイル サイズ
fileSize integer

ファイルのサイズ (バイト数)。

ファイルの種類
fileType string

ファイルの種類のテキスト説明。 たとえば、「Word 文書」や「バイナリ」などです。

ドメイン名
domainName string

このインジケーターに関連付けられているドメイン名。

ネットワーク CIDR ブロック
networkCidrBlock string

このインジケーターで参照されるネットワークの CIDR ブロック表記表現。

ネットワーク宛先 Asn
networkDestinationAsn integer

インジケーターで参照されているネットワークの宛先自律システム識別子。

ネットワーク宛先 CIDR ブロック
networkDestinationCidrBlock string

このインジケーターの宛先ネットワークの CIDR ブロック表記表現。

ネットワーク宛先 IPv4
networkDestinationIPv4 string

IPv4 IP アドレスの宛先。

ネットワーク宛先 IPv6
networkDestinationIPv6 string

IPv6 IP アドレスの宛先。

ネットワーク宛先ポート
networkDestinationPort integer

TCP ポート先。

ネットワーク IPv4
networkIPv4 string

IPv4 IP アドレス。

ネットワーク IPv6
networkIPv6 string

IPv6 IP アドレス。

ネットワーク ポート
networkPort integer

TCP ポート。

ネットワーク プロトコル
networkProtocol integer

IPv4 ヘッダーのプロトコル フィールドの 10 進数表現。

ネットワーク ソース Asn
networkSourceAsn integer

インジケーターで参照されているネットワークのソース自律システム識別子。

ネットワーク ソース CIDR ブロック
networkSourceCidrBlock string

このインジケーターのソース ネットワークの CIDR ブロック表記表現。

ネットワーク ソース IPv4
networkSourceIPv4 string

IPv4 IP アドレス ソース。

ネットワーク宛先 IPv6
networkSourceIPv6 string

IPv6 IP アドレス ソース。

ネットワーク ソース ポート
networkSourcePort integer

TCP ポート ソース。

URL
url string

Uniform Resource Locator。

ユーザー エージェント
userAgent string

侵害を示す可能性のある Web 要求からのユーザー エージェント文字列。

戻り値

単一の TiIndicator エンティティが返された

TiIndicator
TiIndicator

tiIndicator を更新する

複数の脅威インテリジェンス インジケーターの特定のプロパティを更新します。 tiIndicator の必須フィールドは、Id、expirationDateTime、および targetProduct です。

パラメーター

名前 キー 必須 説明
TiIndicator ID
indicator-id True string

脅威インテリジェンス インジケーター ID を指定します。

操作​​
action string

targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (unknown、allow、block、alert)。

活動グループ名
activityGroupNames array of string

脅威インジケーターの対象となる悪意のある活動の責任者のサイバー脅威インテリジェンス名。

追加情報
additionalInformation string

他の tiIndicator プロパティでカバーされていないインジケーターからの追加データが配置される場合がある

信頼度
confidence integer

検出ロジックの信頼度 (0 〜 100 の パーセンテージ)。

内容
description string

TiIndicator の説明 (100 文字以下)。

ダイヤモンド モデル
diamondModel string

このインジケーターが存在するダイヤモンド モデルの領域。 値: (unknown、adversary、capability、infrastructure、victim)。

有効期限
expirationDateTime True date-time

インジケーターの有効期限が切れる時刻 (UTC 形式。 例: 2020-03-01T00:00:00Z)。

外部 ID
externalId string

インジケーターをインジケーター プロバイダーのシステムに結び付ける識別番号 (例: 外部キー)。

アクティブかどうか
isActive boolean

既定では、送信されたインジケーターはすべてアクティブとして設定されます。 ただし、プロバイダーは、これを「False」に設定して既存のインジケーターを送信し、システムのインジケーターを非アクティブ化することができます。

キル チェーン
killChain array of string

このインジケーターがターゲットとするキル チェーン上のポイントを説明する文字列。 値: (Actions、C2、Delivery、Exploitation、Installation、Reconnaissance、Weaponization)。

既知の誤検知
knownFalsePositives string

インジケーターが誤検知を引き起こす可能性があるシナリオ。

最終報告日時
lastReportedDateTime date-time

インジケーターが最後に表示された時刻です (UTC)。

マルウェアの家族名
malwareFamilyNames array of string

インジケーターに関連付けられているマルウェアの家族名 (存在する場合)。

パッシブのみ
passiveOnly boolean

インジケーターがエンドユーザーに表示されるイベントをトリガーするかどうかを決定します。

重要度
severity integer

インジケーター内のデータによって識別される悪意のある動作の重要度。 値は 0 〜 5 で、5 が最も重大です。 既定値は 3 です。

タグ
tags array of string
Tlp レベル
tlpLevel string

インジケータの Traffic Light Protocol 値。 指定できる値: unknown、white、green、amber、red。

対象製品
targetProduct True string

インジケーターを適用する必要のある単一のセキュリティ製品。 許容値は、Azure Sentinel、Microsoft Defender ATP です。

tiIndicators を取得する

Microsoft Entra ID テナントの脅威インテリジェンス インジケーターのリストを取得します。 さまざまなクエリ パラメーターで使用します。

パラメーター

名前 キー 必須 説明
フィルター tiIndicators
$filter string

threatType eq 'WatchList' などの脅威インテリジェンス インジケーターのフィルター条件を指定する

トップ tiIndicators
$top integer

取得する脅威インテリジェンス インジケーターの最新の上位数を指定する

tiIndicator プロパティを選択する
$select string

結果に含める脅威インテリジェンス インジケーター プロパティを指定します。

返された tiIndicators の数を含める
$count string

応答に返された脅威インテリジェンス インジケーターの数を含めるように指定する

「n」の結果をスキップする
$skip integer

スキップする結果の数を指定します。 改ページに役立ちます。

並べ替え順
$orderby string

結果の並べ替え順を指定します。

戻り値

名前 パス 説明
TiIndicator 数
@odata.count integer

返された TiIndicator の数

TiIndicators
value array of TiIndicator

返された TiIndicator

次のリンク
@odata.nextLink string

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

アクティブ サブスクリプションを取得する

Microsoft Entra ID テナントの有効期限が切れていないサブスクリプションのリストを取得します。

戻り値

名前 パス 説明
既存のサブスクリプション数
@odata.count integer

返されたサブスクリプションの数

サブスクリプション
value array of Subscription

返されたサブスクリプション エンティティ

次のリンク
@odata.nextLink string

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

アラートを取得する

Microsoft Entra ID テナントのセキュリティ アラートのリストを取得します。 さまざまなクエリ パラメーターで使用します。

パラメーター

名前 キー 必須 説明
アラートのフィルタリング
$filter string

Severity eq "High" などのアラートのフィルター条件を指定します。

トップ アラート
$top integer

各プロバイダーから取得するアラートの最新の上位数を指定します。

アラート プロパティを選択する
$select string

結果に含めるアラート プロパティを指定します。

並べ替え順
$orderby string

結果の並べ替え順を指定します。

「n」の結果をスキップする
$skip integer

スキップする結果の数を指定します。 改ページに役立ちます。

返されたアラートの数を含める
$count string

応答に返されたアラートの数を含めるように指定します

戻り値

名前 パス 説明
アラート数
@odata.count integer

返されたアラートの数

アラート
value array of Alert

返されたアラートの数

次のリンク
@odata.nextLink string

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

アラートを更新する

セキュリティ アラートの特定のプロパティを更新します。

パラメーター

名前 キー 必須 説明
アラート ID
alert-id True string

アラート ID を指定します。

割り当て先
assignedTo string

トリアージ、調査、または修復のためにアラートが割り当てられている通知アラートの名前を指定します。

クローズ dateTime
closedDateTime string

アラートが閉じられた時刻を指定します。 このタイムスタンプの種類は、日時の情報を ISO 8601 形式で表し、常に UTC 時間です。

comments
comments array of string

Comments

Tags
tags array of string

通知に適用してフィルター条件として機能するユーザー定義可能なラベル (例: "HVA"、"SAW") を指定します。

Feedback
feedback string

アラートに関するアナリストのフィードバックを指定します。

Status
status string

ステータスを指定して、アラートのライフサイクル ステータス (ステージ) を追跡します。

プロバイダー名
provider True string

特定のプロバイダー (製品/サービス - ベンダーの会社ではありません); たとえば、WindowsDefenderATP。

プロバイダー バージョン
providerVersion string

アラートを生成したプロバイダーまたはサブプロバイダー (存在する場合) のバージョンを指定します。

サブ プロバイダー名
subProvider string

特定のサブプロバイダー (集約プロバイダーの下); たとえば、WindowsDefenderATP.SmartScreen。

ベンダー名
vendor True string

アラート ベンダーの名前を指定します (たとえば、Microsoft、Dell、FireEye)。

サブスクリプションを作成する

Microsoft Graph webhook サブスクリプションを作成します。

パラメーター

名前 キー 必須 説明
リソース URL
resource True string

変更を監視するリソースを指定します。 基本 URL (https://graph.microsoft.com/v1.0/) を組み込みません。 セキュリティ/アラートの後に odata クエリを含めます。 たとえば、security/alerts?$filter=status eq �New�

種類の変更
changeType True string

サブスクライブされたリソースで変更されたときに通知を生成するプロパティの種類を指定します。

クライアントの状態
clientState string

クライアントの状態を指定して、通知の発信元を確認します。

通知 URL
notificationUrl True string

通知を受信するエンドポイントの URL を正しい形式で指定します。

有効期限
expirationDateTime True date-time

webhook サブスクリプションの有効期限が切れる日時を指定します。現在の時刻よりも大きく、30 日以内の日時である必要があります。

戻り値

1 つのサブスクリプション エンティティが返されました

サブスクリプション
Subscription

サブスクリプションを削除する

特定の Microsoft Graph Webhook サブスクリプションを削除します。

パラメーター

名前 キー 必須 説明
サブスクリプション ID
Subscription Id True string

Microsoft Graph Webhook サブスクリプション ID を指定します。

サブスクリプションを更新

Microsoft Graph Webhook サブスクリプションの有効期限を更新して延長してください。

パラメーター

名前 キー 必須 説明
サブスクリプション ID
Subscription Id True string

Microsoft Graph Webhook サブスクリプション ID を指定します。

有効期限
expirationDateTime string

Microsoft Graph Webhook サブスクリプションの有効期限が切れる日時を UTC 形式で指定します。 セキュリティ アラートの最大有効期限は 43200 分 (30 日未満) です。

戻り値

1 つのサブスクリプション エンティティが返されました

サブスクリプション
Subscription

外部 ID で複数の tiIndicator を削除する

指定された外部 ID に対応する複数の脅威インテリジェンス インジケーターを削除します。

パラメーター

名前 キー 必須 説明
value array of string

戻り値

名前 パス 説明
value array of object
コード
value.code integer

結果コード

メッセージ
value.message string

メッセージ

subcode
value.subcode integer

結果サブ コード

複数の tiIndicators を更新する

複数の脅威インテリジェンス インジケーターの特定のプロパティを更新します。 各 tiIndicator の必須フィールドは、Id、expirationDateTime、および targetProduct です。

パラメーター

名前 キー 必須 説明
ID
id True string

TiIndicator-id

操作​​
action string

targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (unknown、allow、block、alert)。

活動グループ名
activityGroupNames array of string

脅威インジケーターの対象となる悪意のある活動の責任者のサイバー脅威インテリジェンス名。

追加情報
additionalInformation string

他の tiIndicator プロパティでカバーされていないインジケーターからの追加データが配置される場合がある

信頼度
confidence integer

検出ロジックの信頼度 (0 〜 100 の パーセンテージ)。

内容
description string

TiIndicator の説明 (100 文字以下)。

ダイヤモンド モデル
diamondModel string

このインジケーターが存在するダイヤモンド モデルの領域。 値: (unknown、adversary、capability、infrastructure、victim)。

有効期限
expirationDateTime True date-time

インジケーターの有効期限が切れる時刻 (UTC)。

対象製品
targetProduct True string

インジケーターを適用する必要のある単一のセキュリティ製品。 許容値は、Azure Sentinel、Microsoft Defender ATP です。

外部 ID
externalId string

インジケーターをインジケーター プロバイダーのシステムに結び付ける識別番号 (例: 外部キー)。

アクティブかどうか
isActive boolean

既定では、送信されたインジケーターはすべてアクティブとして設定されます。 ただし、プロバイダーは、これを「False」に設定して既存のインジケーターを送信し、システムのインジケーターを非アクティブ化することができます。

キル チェーン
killChain array of string

このインジケーターがターゲットとするキル チェーン上のポイントを説明する文字列。 値: (Actions、C2、Delivery、Exploitation、Installation、Reconnaissance、Weaponization)。

既知の誤検知
knownFalsePositives string

インジケーターが誤検知を引き起こす可能性があるシナリオ。

最終報告日時
lastReportedDateTime date-time

インジケーターが最後に表示された時刻です (UTC)。

マルウェアの家族名
malwareFamilyNames array of string

インジケーターに関連付けられているマルウェアの家族名 (存在する場合)。

パッシブのみ
passiveOnly boolean

インジケーターがエンドユーザーに表示されるイベントをトリガーするかどうかを決定します。

重要度
severity integer

インジケーター内のデータによって識別される悪意のある動作の重要度。 値は 0 〜 5 で、5 が最も重大です。 既定値は 3 です。

タグ
tags array of string
Tlp レベル
tlpLevel string

インジケータの Traffic Light Protocol 値。 指定できる値: unknown、white、green、amber、red。

戻り値

名前 パス 説明
TiIndicators
value array of TiIndicator

更新された TiIndicators

複数の tiIndicators を送信する

tiIndicators コレクションを投稿して、新しい脅威インテリジェンス インジケーターを作成します。 各 tiIndicator の必須フィールドは、action、azureTenantId、description、expirationDateTime、targetProduct、threatType、tlpLevel です。

パラメーター

名前 キー 必須 説明
操作​​
action True string

targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (unknown、allow、block、alert)。

活動グループ名
activityGroupNames array of string

脅威インジケーターの対象となる悪意のある活動の責任者のサイバー脅威インテリジェンス名。

追加情報
additionalInformation string

他の tiIndicator プロパティでカバーされていないインジケーターからの追加データが配置される場合がある

Azure テナント ID
azureTenantId string

送信クライアントの Microsoft Entra ID テナント。

信頼度
confidence integer

検出ロジックの信頼度 (0 〜 100 の パーセンテージ)。

内容
description True string

TiIndicator の説明 (100 文字以下)。

ダイヤモンド モデル
diamondModel string

このインジケーターが存在するダイヤモンド モデルの領域。 値: (unknown、adversary、capability、infrastructure、victim)。

有効期限
expirationDateTime True date-time

インジケーターの有効期限が切れる時刻 (UTC)。

外部 ID
externalId string

インジケーターをインジケーター プロバイダーのシステムに結び付ける識別番号 (例: 外部キー)。

取り込み日時
ingestedDateTime date-time

インジケーターが取り込まれる時刻です (UTC)。

アクティブかどうか
isActive boolean

既定では、送信されたインジケーターはすべてアクティブとして設定されます。 ただし、プロバイダーは、これを「False」に設定して既存のインジケーターを送信し、システムのインジケーターを非アクティブ化することができます。

キル チェーン
killChain array of string

このインジケーターがターゲットとするキル チェーン上のポイントを説明する文字列。 値: (Actions、C2、Delivery、Exploitation、Installation、Reconnaissance、Weaponization)。

既知の誤検知
knownFalsePositives string

インジケーターが誤検知を引き起こす可能性があるシナリオ。

最終報告日時
lastReportedDateTime date-time

インジケーターが最後に表示された時刻です (UTC)。

マルウェアの家族名
malwareFamilyNames array of string

インジケーターに関連付けられているマルウェアの家族名 (存在する場合)。

パッシブのみ
passiveOnly boolean

インジケーターがエンドユーザーに表示されるイベントをトリガーするかどうかを決定します。

重要度
severity integer

インジケーター内のデータによって識別される悪意のある動作の重要度。 値は 0 〜 5 で、5 が最も重大です。 既定値は 3 です。

タグ
tags array of string
対象製品
targetProduct True string

インジケーターを適用する必要のある単一のセキュリティ製品。 許容値は、Azure Sentinel、Microsoft Defender ATP です。

脅威の種類
threatType string

各インジケーターには、有効なインジケーター脅威の種類が必要です。 指定できる値は、Botnet、C2、CryptoMining、Darknet、DDoS、MaliciousUrl、Malware、Phishing、Proxy、PUA、WatchList です。

Tlp レベル
tlpLevel string

インジケータの Traffic Light Protocol 値。 指定できる値: unknown、white、green、amber、red。

メールのエンコード
emailEncoding string

メールで使用されるテキスト エンコードの種類。

メールの言語
emailLanguage string

メールの言語。

メール受信者
emailRecipient string

受信者メール アドレス。

メール送信者アドレス
emailSenderAddress string

攻撃者|犠牲者のメール アドレス。

メール送信者名
emailSenderName string

攻撃者|被害者の表示名。

メール ソース ドメイン
emailSourceDomain string

メールで使用されているドメイン。

メール ソース IP アドレス
emailSourceIpAddress string

メールのソース IP アドレス。

メールの件名
emailSubject string

メールの件名行。

メール XMailer
emailXMailer string

メールで使用される X-Mailer 値。

ファイル コンパイル日時
fileCompileDateTime date-time

ファイルがコンパイルされた DateTime。

ファイル作成日時
fileCreatedDateTime date-time

ファイルが作成された DateTime。

ファイル ハッシュの種類
fileHashType string

fileHashValue に格納されているハッシュの種類。 指定できる値は、unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph です。

ファイル ハッシュ値
fileHashValue string

ファイル ハッシュ値。

ファイル ミューテックス名
fileMutexName string

ファイル ベースの検出で使用されるミューテックス名。

ファイル名
fileName string

インジケーターがファイル ベースの場合のファイルの名前。

ファイル パッカー
filePacker string

問題のファイルをビルドするために使用されたパッカー。

ファイル パス
filePath string

侵害を示すファイルのパス。 Windows または *nix スタイルのパスである可能性があります。

ファイル サイズ
fileSize integer

ファイルのサイズ (バイト数)。

ファイルの種類
fileType string

ファイルの種類のテキスト説明。 たとえば、「Word 文書」や「バイナリ」などです。

ドメイン名
domainName string

このインジケーターに関連付けられているドメイン名。

ネットワーク CIDR ブロック
networkCidrBlock string

このインジケーターで参照されるネットワークの CIDR ブロック表記表現。

ネットワーク宛先 Asn
networkDestinationAsn integer

インジケーターで参照されているネットワークの宛先自律システム識別子。

ネットワーク宛先 CIDR ブロック
networkDestinationCidrBlock string

このインジケーターの宛先ネットワークの CIDR ブロック表記表現。

ネットワーク宛先 IPv4
networkDestinationIPv4 string

IPv4 IP アドレスの宛先。

ネットワーク宛先 IPv6
networkDestinationIPv6 string

IPv6 IP アドレスの宛先。

ネットワーク宛先ポート
networkDestinationPort integer

TCP ポート先。

ネットワーク IPv4
networkIPv4 string

IPv4 IP アドレス。

ネットワーク IPv6
networkIPv6 string

IPv6 IP アドレス。

ネットワーク ポート
networkPort integer

TCP ポート。

ネットワーク プロトコル
networkProtocol integer

IPv4 ヘッダーのプロトコル フィールドの 10 進数表現。

ネットワーク ソース Asn
networkSourceAsn integer

インジケーターで参照されているネットワークのソース自律システム識別子。

ネットワーク ソース CIDR ブロック
networkSourceCidrBlock string

このインジケーターのソース ネットワークの CIDR ブロック表記表現。

ネットワーク ソース IPv4
networkSourceIPv4 string

IPv4 IP アドレス ソース。

ネットワーク宛先 IPv6
networkSourceIPv6 string

IPv6 IP アドレス ソース。

ネットワーク ソース ポート
networkSourcePort integer

TCP ポート ソース。

URL
url string

Uniform Resource Locator。

ユーザー エージェント
userAgent string

侵害を示す可能性のある Web 要求からのユーザー エージェント文字列。

戻り値

名前 パス 説明
TiIndicators
value array of TiIndicator

送信された TiIndicators

トリガー

すべての新しいアラートについて

すべての新しいアラートでトリガーする

新しい重大度アラートについて

新しい重大度アラートでトリガーする

すべての新しいアラートについて

すべての新しいアラートでトリガーする

戻り値

名前 パス 説明
アラート数
@odata.count integer

返されたアラートの数

アラート
value array of Alert

返されたアラートの数

次のリンク
@odata.nextLink string

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

新しい重大度アラートについて

新しい重大度アラートでトリガーする

戻り値

名前 パス 説明
アラート数
@odata.count integer

返されたアラートの数

アラート
value array of Alert

返されたアラートの数

次のリンク
@odata.nextLink string

要求したよりも多くの結果がある場合に次の結果を取得するためのリンク

定義

Alert

単一のアラート エンティティが返された

名前 パス 説明
Azure サブスクリプション ID
azureSubscriptionId string

Azure サブスクリプション ID。このアラートが Azure リソースに関連している場合に表示されます。

タグ
tags array of string

アラートに適用でき、フィルター条件として機能できるユーザー定義可能なラベル (例: 「HVA」、「SAW」など)。

ID
id string

プロバイダーが生成した GUID/一意識別子。

Azure テナント ID
azureTenantId string

Microsoft Entra ID のテナント ID。

活動グループ名
activityGroupName string

このアラートの原因となる活動グループ (攻撃者) の名前またはエイリアス。

割り当て先
assignedTo string

トリアージ、調査、または修復のためにアラートが割り当てられているアナリストの名前。

カテゴリ
category string

アラートのカテゴリ (例: credentialTheft、ランサムウェアなど)。

クローズ日時
closedDateTime date-time

アラートが閉じられた時刻 (UTC)。

コメント
comments array of string

顧客が提供したアラートに関するコメント (顧客アラート管理)。

信頼度
confidence integer

検出ロジックの信頼度 (1 〜 100 の パーセンテージ)。

作成日時
createdDateTime date-time

アラートが作成された時刻 (UTC)。

内容
description string

アラートの説明。

検出 ID
detectionIds array of string

このアラート エンティティに関連するアラートのセット。

イベント日時
eventDateTime date-time

アラートを生成するためのトリガーとして機能したイベントが発生した時刻 (UTC)。

フィードバック
feedback string

アラートに関するアナリストのフィードバック。 指定できる値: unknown、truePositive、falsePositive、benignPositive。

最終更新日時
lastModifiedDateTime date-time

アラート エンティティが最後に修正されたときの時刻 (UTC)。

推奨されるアクション
recommendedActions array of string

アラートの結果として実行するベンダー/プロバイダーの推奨アクション (例: コンピューターを隔離、enforce2FA、ホストの再イメージ化など)。

重要度
severity string

アラートの重大度 - ベンダー/プロバイダーによって設定されます。 値: (high、medium、low、Informational) 「情報」は、アラートがアクション可能ではないと推測します。

ソース資料
sourceMaterials array of string

アラートに関連するソース資料へのハイパーリンク (URI)、(例: プロバイダー調査 UI など)。

ステータス
status string

アラート ライフサイクル ステータス (ステージ)。 値: (unknown、newAlert、inProgress、resolved)。

敬称
title string

アラートのタイトル。

プロバイダー名
vendorInformation.provider string

特定のプロバイダー (製品/サービス - ベンダーの会社ではありません); たとえば、WindowsDefenderATP。

プロバイダー バージョン
vendorInformation.providerVersion string

プロバイダーまたはサブプロバイダーのバージョン。

サブ プロバイダー名
vendorInformation.subProvider string

特定のサブプロバイダー (集約プロバイダーの下); たとえば、WindowsDefenderATP.SmartScreen。

ベンダー名
vendorInformation.vendor string

アラート ベンダーの名前 (たとえば、Microsoft、Dell、FireEye)。

Cloud App の状態
cloudAppStates array of object

このアラートに関連するクラウド アプリケーションに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

宛先サービス IP
cloudAppStates.destinationServiceIp string

クラウドアプリ/サービスへの接続の宛先 IP アドレス。

宛先サービス名
cloudAppStates.destinationServiceName string

宛先クラウド アプリ/サービス名。

リスク スコア
cloudAppStates.riskScore string

クラウド アプリケーション/サービスのプロバイダー生成/計算されたリスク スコア。

ファイルの状態
fileStates array of object

このアラートに関連するファイルに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

件名
fileStates.name string

ファイル名 (パスなし)。

パス
fileStates.path string

ファイルの完全なファイル パス/imageFile。

リスク スコア
fileStates.riskScore string

アラート ファイルのプロバイダー生成/計算されたリスク スコア。

タイプ
fileStates.fileHash.type string

ファイル ハッシュの種類。 指定できる値: unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph、peSha1、peSha256。

fileStates.fileHash.value string

ファイル ハッシュの値。

ホストの状態
hostStates array of object

このアラートに関連するホストに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

完全修飾ドメイン名 (FQDN)
hostStates.fqdn string

ホスト FQDN (完全修飾ドメイン FQDN 名)。

azureAd が参加していますか
hostStates.isAzureAdJoined boolean

ホストが Microsoft Entra ID ドメイン サービスに参加している場合は True。

azureAd は登録されていますか
hostStates.isAzureAdRegistered boolean

ホストが Microsoft Entra ID デバイス登録 (例: BYOD) で登録されている場合は True - エンタープライズによって完全に管理されていません。

ハイブリッド Azure ドメインが参加していますか
hostStates.isHybridAzureDomainJoined boolean

ホストがオンプレミスの Microsoft Entra ID ドメインにドメイン参加している場合は True。

ネット バイオス名
hostStates.netBiosName string

DNS ドメイン名のないローカル ホスト名。

オペレーティング システム名
hostStates.os string

ホスト オペレーティング システム。

プライベート IP アドレス
hostStates.privateIpAddress string

アラート時のプライベート (ルーティング不可) IPv4 または IPv6 アドレス。

パブリック IP アドレス
hostStates.publicIpAddress string

アラート時の公開ルーティング可能な IPv4 または IPv6 アドレス。

リスク スコア
hostStates.riskScore string

ホストのプロバイダー生成/計算されたリスク スコア。

マルウェアの状態
malwareStates array of object

このアラートに関連するマルウェアに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

カテゴリ
malwareStates.category string

プロバイダーが生成したマルウェア カテゴリ (例: トロイ、ランサムウェアなど)。

家族
malwareStates.family string

プロバイダーが生成したマルウェア家族 (例: 「wannacry」、「notpetya」など)。

件名
malwareStates.name string

プロバイダーが生成したマルウェアのバリアント名 (例: Trojan:Win32/Powessere.H)。

重要度
malwareStates.severity string

このマルウェアのプロバイダーが決定した重大度。

実行していました
malwareStates.wasRunning boolean

検出されたファイル (マルウェア/脆弱性) が検出時に実行されていたか、ディスク上で保存中に検出されたかを示します。

ネットワーク接続
networkConnections array of object

このアラートに関連するファイルに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

アプリケーション名
networkConnections.applicationName string

ネットワーク接続を管理するアプリケーションの名前 (例: Facebook、SMTP など)。

宛先アドレス
networkConnections.destinationAddress string

ネットワーク接続の宛先 IP アドレス。

宛先ドメイン
networkConnections.destinationDomain string

宛先 URL の宛先ドメイン部分。(例: 「www.contoso.com」)。

宛先ポート
networkConnections.destinationPort string

ネットワーク接続の宛先ポート。

宛先 URL
networkConnections.destinationUrl string

ネットワーク接続 URL/URI 文字列 - パラメータを除く。

通信方向
networkConnections.direction string

ネットワーク接続方向。 指定できる値: unknown、inbound、outbound。

ドメイン登録 dateTime
networkConnections.domainRegisteredDateTime date-time

宛先ドメインが登録された日付 (UTC)。

ローカル DNS 名
networkConnections.localDnsName string

ホストのローカル DNS キャッシュに表示されるローカル DNS 名解決 (例: 「hosts」ファイルが改ざんされた場合)。

NAT 宛先アドレス
networkConnections.natDestinationAddress string

ネットワーク アドレス変換の宛先 IP アドレス。

NAT 宛先ポート
networkConnections.natDestinationPort string

ネットワーク アドレス変換の宛先ポート。

NAT ソース アドレス
networkConnections.natSourceAddress string

ネットワーク アドレス変換のソース IP アドレス。

NAT ソース ポート
networkConnections.natSourcePort string

ネットワーク アドレス変換のソース ポート。

プロトコル
networkConnections.protocol string

ネットワーク プロトコル。 指定できる値: unknown、ip、icmp、igmp、ggp、ipv4、tcp、pup、udp、idp、ipv6、ipv6RoutingHeader、ipv6FragmentHeader、 ipSecEncapsulatingSecurityPayload、ipSecAuthenticationHeader、icmpV6、ipv6NoNextHeader、ipv6DestinationOptions、nd、raw、ipx、spx、spxII。

リスク スコア
networkConnections.riskScore string

ネットワーク接続のプロバイダー生成/計算されたリスク スコア。

ソース アドレス
networkConnections.sourceAddress string

ネットワーク接続のソース (例: 発生元) IP アドレス。

ソース ポート
networkConnections.sourcePort string

ネットワーク接続のソース (例: 発生元) IP ポート。

ステータス
networkConnections.status string

ネットワーク接続の状態。 指定できる値: unknown、attempted、succeeded、blocked、failed。

URL パラメーター
networkConnections.urlParameters string

文字列としての宛先 URL のパラメーター (接尾辞)。

プロセス
processes array of object

このアラートに関連するプロセスに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

アカウント名
processes.accountName string

ユーザー アカウント識別子 (プロセスが実行されたユーザー アカウント コンテキスト) (例: AccountName、SID など)。

コマンド ライン
processes.commandLine string

すべてのパラメーターを含む完全なプロセス呼び出しコマンドライン。

作成日時
processes.createdDateTime date-time

親プロセスが開始された DateTime (UTC)。

整合性レベル
processes.integrityLevel string

プロセスの整合性レベル。 指定できる値: unknown、untrusted、low、medium、high、system。

上昇
processes.isElevated boolean

プロセスが上昇されている場合は True。

件名
processes.name string

プロセスの画像ファイルの名前。

親プロセスが日時を作成
processes.parentProcessCreatedDateTime date-time

プロセスが開始された時刻 (UTC)。

親プロセス ID
processes.parentProcessId integer

親プロセスのプロセス ID (PID)。

親プロセス名
processes.parentProcessName string

親プロセスの画像ファイルの名前。

パス
processes.path string

filename 名を含む完全なパス。

プロセス ID
processes.processId integer

プロセスのプロセス ID (PID)。

タイプ
processes.fileHash.type string

ファイル ハッシュの種類。 指定できる値: unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph、peSha1、peSha256。

processes.fileHash.value string

ファイル ハッシュの値。

レジストリ キーの状態
registryKeyStates array of object

このアラートに関連するレジストリ キーに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

プロセス​​
registryKeyStates.process string

レジストリ キーを変更したプロセスのプロセスID (PID) (プロセスの詳細はアラート「プロセス」コレクションに表示されます)。

操作
registryKeyStates.operation string

レジストリ キーの名前や値を変更した操作 (追加、変更、削除)。

値の種類
registryKeyStates.valueType string

レジストリ キーの値の種類。 指定できる値: unknown、binary、dword、dwordLittleEndian、dwordBigEndian、expandSz、link、multiSz、none、qword、qwordlittleEndian、sz。

レジストリ ハイブ
registryKeyStates.hive string

Windows レジストリ ハイブ。 指定できる値: unknown、currentConfig、currentUser、localMachineSam、localMachineSamSoftware、localMachineSystem、usersDefault。

キー
registryKeyStates.key string

現在の (変更された) レジストリ キー (HIVE を除く)。

値の名前
registryKeyStates.valueName string

現在の (変更された) レジストリ キー値の名前。

値のデータ
registryKeyStates.valueData string

現在の (変更された) レジストリ キー値のデータ (コンテンツ)。

古いキー
registryKeyStates.oldKey string

以前の (変更前の) レジストリ キー (HIVE を除く)。

古い値の名前
registryKeyStates.oldValueName string

以前の (変更前の) レジストリ キー値の名前。

古い値のデータ
registryKeyStates.oldValueData string

以前の (変更前の) レジストリ キー値のデータ (コンテンツ)。

トリガー
triggers array of object

アラートをトリガーした特定のプロパティ (アラートに表示されるプロパティ) に関するセキュリティ関連の情報。 アラートには、複数のユーザー、ホスト、ファイル、IP アドレスに関する情報が含まれる場合があります。 このフィールドは、アラートの生成をトリガーしたプロパティを示します。

件名
triggers.name string

検出トリガーとして機能するプロパティの名前。

タイプ
triggers.type string

解釈のためのキーと値のペアの属性の種類 (例: String、Boolean など)。

triggers.value string

検出トリガーとして機能する属性の値。

ユーザーの状態
userStates array of object

このアラートに関連するログオン中のユーザーに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。

Microsoft Entra ID ユーザー ID
userStates.aadUserId string

Microsoft Entra ID ユーザー オブジェクト識別子 (GUID) - 物理/複数アカウント ユーザー エンティティを表します。

アカウント名
userStates.accountName string

ユーザーアカウントのアカウント名 (Microsoft Entra ID ドメインまたは DNS ドメインなし) - ("mailNickName" とも呼ばれます)。

ドメイン名
userStates.domainName string

ユーザー アカウントの Microsoft Entra ID ドメイン �(例: domain\account 形式)。

メールのロール
userStates.emailRole string

メール関連のアラートの場合 - ユーザー アカウントのメールのロール。

VPN
userStates.isVpn boolean

ユーザーが VPN を通じてログオンしたかどうかを示します。

ログオン日時
userStates.logonDateTime date-time

ログオンが発生したときの時刻 (UTC)。

ログオン ID
userStates.logonId string

ユーザー サインイン ID。

ログオン IP
userStates.logonIp string

発信元のログオン要求の IP アドレス。

ログオン場所
userStates.logonLocation string

このユーザーによるユーザー サインイン イベントに関連付けられた場所 (IP アドレス マッピングによる)。

ログオンの種類
userStates.logonType string

ユーザー サインインの方法。 指定できる値: unknown、interactive、remoteInteractive、network、batch、service。

オンプレミスのセキュリティ識別子
userStates.onPremisesSecurityIdentifier string

ユーザーの Microsoft Entra ID (オンプレミス) セキュリティ識別子 (SID)。

リスク スコア
userStates.riskScore string

ユーザー アカウントのプロバイダー生成/計算されたリスク スコア。

ユーザー アカウントの種類
userStates.userAccountType string

Windows 定義ごとのユーザー アカウントの種類 (グループ メンバーシップ)。 指定できる値: unknown、standard、power、administrator。

ユーザー プリンシパル名
userStates.userPrincipalName string

ユーザー サインイン名 - インターネット形式: @。

脆弱性の状態
vulnerabilityStates array of object

このアラートに関連する 1 つ以上の脆弱性に関連する脅威インテリジェンス。

CVE
vulnerabilityStates.cve string

脆弱性の一般的な脆弱性と脅威 (CVE)。

実行していました
vulnerabilityStates.wasRunning boolean

検出された脆弱性 (ファイル) が検出時に実行されていたか、ディスク上で保存中にファイルが検出されたかを示します。

重要度
vulnerabilityStates.severity string

この脆弱性の基本共通脆弱性評価システム (CVSS) 重大度スコア。

サブスクリプション

1 つのサブスクリプション エンティティが返されました

名前 パス 説明
ID
id string

サブスクリプションの一意識別子。

リソース
resource string

変更を監視するリソースを指定します。

アプリケーション ID
applicationId string

サブスクリプションの作成に使用されるアプリケーションの識別子。

種類の変更
changeType string

通知を発生させるサブスクライブされたリソースの変更の種類を示します。

クライアントの状態
clientState string

各通知でサービスによって送信される clientState プロパティの値を指定します。 最大長は 128 文字です。 クライアントは、サブスクリプションで送信された clientState プロパティの値を、各通知で受信された clientState プロパティの値と比較することにより、通知がサービスから送信されたことを確認できます。

通知 URL
notificationUrl string

通知を受信するエンドポイントの URL。 この URL は HTTPS プロトコルを使用する必要があります。

有効期限
expirationDateTime string

webhook サブスクリプションの有効期限が切れる日時 (UTC) を指定します。

作成者 ID
creatorId string

サブスクリプションを作成したユーザーまたはサービス プリンシパルの識別子。 アプリが委任されたアクセス許可を使用してサブスクリプションを作成した場合、このフィールドには、アプリが代わりに呼び出したサインインしたユーザーの ID が含まれます。 アプリがアプリケーションのアクセス許可を使用している場合、このフィールドには、アプリに対応するサービス プリンシパルの ID が含まれます。

TiIndicator

単一の TiIndicator エンティティが返された

名前 パス 説明
操作​​
action string

targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (unknown、allow、block、alert)。

活動グループ名
activityGroupNames array of string

脅威インジケーターの対象となる悪意のある活動の責任者のサイバー脅威インテリジェンス名。

追加情報
additionalInformation string

他の tiIndicator プロパティでカバーされていないインジケーターからの追加データが配置される場合がある

Azure テナント ID
azureTenantId string

送信クライアントの Microsoft Entra ID テナント。

信頼度
confidence integer

検出ロジックの信頼度 (0 〜 100 の パーセンテージ)。

内容
description string

TiIndicator の説明 (100 文字以下)。

ダイヤモンド モデル
diamondModel string

このインジケーターが存在するダイヤモンド モデルの領域。 値: (unknown、adversary、capability、infrastructure、victim)。

有効期限
expirationDateTime date-time

インジケーターの有効期限が切れる時刻 (UTC)。

外部 ID
externalId string

インジケーターをインジケーター プロバイダーのシステムに結び付ける識別番号 (例: 外部キー)。

ID
id string

インジケーターが取り込まれたときにシステムによって作成されます。 生成された GUID/一意識別子。

取り込み日時
ingestedDateTime date-time

インジケーターが取り込まれる時刻です (UTC)。

アクティブかどうか
isActive boolean

既定では、送信されたインジケーターはすべてアクティブとして設定されます。 ただし、プロバイダーは、これを「False」に設定して既存のインジケーターを送信し、システムのインジケーターを非アクティブ化することができます。

キル チェーン
killChain array of string

このインジケーターがターゲットとするキル チェーン上のポイントを説明する文字列。 値: (Actions、C2、Delivery、Exploitation、Installation、Reconnaissance、Weaponization)。

既知の誤検知
knownFalsePositives string

インジケーターが誤検知を引き起こす可能性があるシナリオ。

最終報告日時
lastReportedDateTime date-time

インジケーターが最後に表示された時刻です (UTC)。

マルウェアの家族名
malwareFamilyNames array of string

インジケーターに関連付けられているマルウェアの家族名 (存在する場合)。

パッシブのみ
passiveOnly boolean

インジケーターがエンドユーザーに表示されるイベントをトリガーするかどうかを決定します。

重要度
severity integer

インジケーター内のデータによって識別される悪意のある動作の重要度。 値は 0 〜 5 で、5 が最も重大です。 既定値は 3 です。

タグ
tags array of string
対象製品
targetProduct string

インジケーターを適用する必要のある単一のセキュリティ製品。 許容値は、Azure Sentinel、Microsoft Defender ATP です。

脅威の種類
threatType string

各インジケーターには、有効なインジケーター脅威の種類が必要です。 指定できる値は、Botnet、C2、CryptoMining、Darknet、DDoS、MaliciousUrl、Malware、Phishing、Proxy、PUA、WatchList です。

Tlp レベル
tlpLevel string

インジケータの Traffic Light Protocol 値。 指定できる値: unknown、white、green、amber、red。

メールのエンコード
emailEncoding string

メールで使用されるテキスト エンコードの種類。

メールの言語
emailLanguage string

メールの言語。

メール受信者
emailRecipient string

受信者メール アドレス。

メール送信者アドレス
emailSenderAddress string

攻撃者|犠牲者のメール アドレス。

メール送信者名
emailSenderName string

攻撃者|被害者の表示名。

メール ソース ドメイン
emailSourceDomain string

メールで使用されているドメイン。

メール ソース IP アドレス
emailSourceIpAddress string

メールのソース IP アドレス。

メールの件名
emailSubject string

メールの件名行。

メール XMailer
emailXMailer string

メールで使用される X-Mailer 値。

ファイル コンパイル日時
fileCompileDateTime date-time

ファイルがコンパイルされた DateTime。

ファイル作成日時
fileCreatedDateTime date-time

ファイルが作成された DateTime。

ファイル ハッシュの種類
fileHashType string

fileHashValue に格納されているハッシュの種類。 指定できる値は、unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph です。

ファイル ハッシュ値
fileHashValue string

ファイル ハッシュ値。

ファイル ミューテックス名
fileMutexName string

ファイル ベースの検出で使用されるミューテックス名。

ファイル名
fileName string

インジケーターがファイル ベースの場合のファイルの名前。

ファイル パッカー
filePacker string

問題のファイルをビルドするために使用されたパッカー。

ファイル パス
filePath string

侵害を示すファイルのパス。 Windows または *nix スタイルのパスである可能性があります。

ファイル サイズ
fileSize integer

ファイルのサイズ (バイト数)。

ファイルの種類
fileType string

ファイルの種類のテキスト説明。 たとえば、「Word 文書」や「バイナリ」などです。

ドメイン名
domainName string

このインジケーターに関連付けられているドメイン名。

ネットワーク CIDR ブロック
networkCidrBlock string

このインジケーターで参照されるネットワークの CIDR ブロック表記表現。

ネットワーク宛先 Asn
networkDestinationAsn integer

インジケーターで参照されているネットワークの宛先自律システム識別子。

ネットワーク宛先 CIDR ブロック
networkDestinationCidrBlock string

このインジケーターの宛先ネットワークの CIDR ブロック表記表現。

ネットワーク宛先 IPv4
networkDestinationIPv4 string

IPv4 IP アドレスの宛先。

ネットワーク宛先 IPv6
networkDestinationIPv6 string

IPv6 IP アドレスの宛先。

ネットワーク宛先ポート
networkDestinationPort integer

TCP ポート先。

ネットワーク IPv4
networkIPv4 string

IPv4 IP アドレス。

ネットワーク IPv6
networkIPv6 string

IPv6 IP アドレス。

ネットワーク ポート
networkPort integer

TCP ポート。

ネットワーク プロトコル
networkProtocol integer

IPv4 ヘッダーのプロトコル フィールドの 10 進数表現。

ネットワーク ソース Asn
networkSourceAsn integer

インジケーターで参照されているネットワークのソース自律システム識別子。

ネットワーク ソース CIDR ブロック
networkSourceCidrBlock string

このインジケーターのソース ネットワークの CIDR ブロック表記表現。

ネットワーク ソース IPv4
networkSourceIPv4 string

IPv4 IP アドレス ソース。

ネットワーク宛先 IPv6
networkSourceIPv6 string

IPv6 IP アドレス ソース。

ネットワーク ソース ポート
networkSourcePort integer

TCP ポート ソース。

URL
url string

Uniform Resource Locator。

ユーザー エージェント
userAgent string

侵害を示す可能性のある Web 要求からのユーザー エージェント文字列。