Microsoft Graph セキュリティ (非推奨) [非推奨]
Microsoft Graph Security コネクタは、統合されたスキーマを使用して、さまざまな Microsoft およびパートナーのセキュリティ製品とサービスを接続し、セキュリティ運用を合理化し、脅威の保護、検出、対応の機能を改善するのに役立ちます。 microsoft Graph Security API との統合の詳細については、 https://aka.ms/graphsecuritydocs (非推奨) をご覧ください
このコネクタは、次の製品とリージョンで使用できます。
| サービス | クラス | リージョン |
|---|---|---|
| コピロット スタジオ | Premium | 次を除くすべての Power Automate リージョン : - 米国政府 (GCC) - 米国政府 (GCC High) - 21Vianet が運営する China Cloud - 米国国防総省 (DoD) |
| ロジック アプリ | Standard | 次を除くすべての Logic Apps リージョン : - Azure Government リージョン - Azure China リージョン - 米国国防総省 (DoD) |
| Power Apps | Premium | 次を除くすべての Power Apps リージョン : - 米国政府 (GCC) - 米国政府 (GCC High) - 21Vianet が運営する China Cloud - 米国国防総省 (DoD) |
| Power Automate | Premium | 次を除くすべての Power Automate リージョン : - 米国政府 (GCC) - 米国政府 (GCC High) - 21Vianet が運営する China Cloud - 米国国防総省 (DoD) |
| お問い合わせ | |
|---|---|
| 名前 | Microsoft |
| URL |
Microsoft LogicApps のサポート Microsoft Power Automate のサポート Microsoft Power Apps のサポート |
| sipsisgdev@microsoft.com |
| コネクタ メタデータ | |
|---|---|
| Publisher | Microsoft |
| Website | https://www.microsoft.com/security/business/graph-security-api |
Microsoft Graph セキュリティ コネクタに接続するための前提条件
Microsoft Graph Security API の詳細を参照してください。
Microsoft Graph セキュリティ コネクタアクションを使用するには、繰り返しトリガーなどのトリガーから始めます。
Microsoft Graph セキュリティ コネクタを使用するには、Microsoft Graph セキュリティ認証要件の一部として Microsoft Entra ID テナント管理者の同意を提供する必要があります。
Microsoft Graph Security コネクタのアプリケーション ID と名前 ( https://portal.azure.com の Microsoft Entra ID の場合) は、Microsoft Entra ID 管理者の同意に対して次のようになります。
- アプリケーション名 - MicrosoftGraphSecurityConnector
- アプリケーション ID - c4829704-0edc-4c3d-a347-7c4a67586f3c
- テナント管理者は、上記の アプリケーションに Microsoft Entra ID アプリケーションのテナント管理者の同意を付与 する手順に従うか、アプリケーションの 同意エクスペリエンスごとに Microsoft Graph Security コネクタを使用してワークフローの初回実行時にアクセス許可を付与することができます。
これで、Microsoft Graph セキュリティ コネクタを使用する準備ができました。
コネクタの詳細
コネクタの詳細については、 詳細なセクションを参照してください。
接続を作成する
コネクタでは、次の認証の種類がサポートされています。
| デフォルト | 接続を作成するためのパラメーター。 | すべてのリージョン | 共有不可 |
デフォルト
適用対象: すべてのリージョン
接続を作成するためのパラメーター。
これは共有可能な接続ではありません。 電源アプリが別のユーザーと共有されている場合、別のユーザーは新しい接続を明示的に作成するように求められます。
調整制限
| 名前 | 呼び出し | 更新期間 |
|---|---|---|
| 接続ごとの API 呼び出し | 100 | 60 秒 |
アクション
|
ID で ti |
指定した ID に対応する脅威インテリジェンス インジケーターを取得します (非推奨)。 |
| ID でアラートを取得する (非推奨) [非推奨] |
指定した ID に対応するセキュリティ アラートを取得します (非推奨)。 |
|
ID による ti |
指定した ID に対応する脅威インテリジェンス インジケーターを削除します (非推奨)。 |
|
ti |
tiIndicators コレクションに投稿して、新しい脅威インテリジェンス インジケーターを作成します (非推奨)。 |
|
ti |
脅威インテリジェンス インジケーターの特定のプロパティを更新します。 tiIndicator の必須フィールドは、Id、expirationDateTime、targetProduct (非推奨) です。 |
|
ti |
この Microsoft Entra ID テナントの脅威インテリジェンス インジケーターの一覧を取得します。 異なるクエリ パラメーターで使用する (非推奨)。 |
| アクティブなサブスクリプションを取得する (非推奨) [非推奨] |
この Microsoft Entra ID テナントの期限切れのサブスクリプションの一覧を取得します (非推奨)。 |
| アラートの取得 (非推奨) [非推奨] |
この Microsoft Entra ID テナントのセキュリティ アラートの一覧を取得します。 異なるクエリ パラメーターで使用する (非推奨)。 |
| サブスクリプションの作成 (非推奨) [非推奨] |
Microsoft Graph webhook サブスクリプションを作成する (非推奨)。 |
| サブスクリプションの削除 (非推奨) [非推奨] |
特定の Microsoft Graph Webhook サブスクリプションを削除します (非推奨)。 |
| サブスクリプションの更新 (非推奨) [非推奨] |
有効期限を更新して Microsoft Graph Webhook サブスクリプションを更新します (非推奨)。 |
|
外部 ID で複数の ti |
指定された外部 ID に対応する複数の脅威インテリジェンス インジケーターを削除します (非推奨)。 |
| 更新アラート (非推奨) [非推奨] |
セキュリティ アラートの特定のプロパティを更新します (非推奨)。 |
|
複数の ti |
指定された ID に対応する複数の脅威インテリジェンス インジケーターを削除します (非推奨)。 |
|
複数の ti |
複数の脅威インテリジェンス インジケーターの特定のプロパティを更新します。 各 tiIndicator の必須フィールドは、Id、expirationDateTime、および targetProduct (非推奨) です。 |
|
複数の ti |
tiIndicators コレクションを投稿して、新しい脅威インテリジェンス インジケーターを作成します。 各 tiIndicator の必須フィールドは、action、azureTenantId、description、expirationDateTime、targetProduct、threatType、tlpLevel (非推奨) です。 |
ID で tiIndicator を取得する (非推奨) [非推奨]
指定した ID に対応する脅威インテリジェンス インジケーターを取得します (非推奨)。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
脅威インテリジェンス インジケーター ID を指定する |
戻り値
返された 1 つの TiIndicator エンティティ
- TiIndicator
- TiIndicator
ID でアラートを取得する (非推奨) [非推奨]
指定した ID に対応するセキュリティ アラートを取得します (非推奨)。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
アラートID
|
alert-id | True | string |
アラート ID を指定します。 |
戻り値
返される 1 つのアラート エンティティ
- アラート
- Alert
ID による tiIndicator の削除 (非推奨) [非推奨]
指定した ID に対応する脅威インテリジェンス インジケーターを削除します (非推奨)。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
脅威インテリジェンス インジケーター ID を指定する |
tiIndicator の作成 (非推奨) [非推奨]
tiIndicators コレクションに投稿して、新しい脅威インテリジェンス インジケーターを作成します (非推奨)。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
アクション
|
action | True | string |
targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (不明、許可、ブロック、アラート)。 |
|
アクティビティ グループ名
|
activityGroupNames | array of string |
脅威インジケーターの対象となる悪意のあるアクティビティを担当する当事者のサイバー脅威インテリジェンス名。 |
|
|
追加情報
|
additionalInformation | string |
他の tiIndicator プロパティでカバーされていないインジケーターからの追加データを配置できます |
|
|
Azure テナント ID
|
azureTenantId | string |
クライアントを送信する Microsoft Entra ID テナント ID。 |
|
|
信頼度
|
confidence | integer |
検出ロジックの信頼度 (0 ~ 100 の割合)。 |
|
|
Description
|
description | True | string |
TiIndicator の説明 (100 文字以下)。 |
|
ひし形モデル
|
diamondModel | string |
このインジケーターが存在するダイヤモンド モデルの領域。 値: (不明、敵対者、機能、インフラストラクチャ、被害者)。 |
|
|
有効期限の日時
|
expirationDateTime | True | date-time |
インジケーターの有効期限が切れる時刻 (UTC)。 |
|
外部 ID
|
externalId | string |
インジケーターをインジケーター プロバイダーのシステム (外部キーなど) に関連付ける識別番号。 |
|
|
取り込まれた日時
|
ingestedDateTime | date-time |
インジケーターが取り込まれる時刻 (UTC)。 |
|
|
アクティブです
|
isActive | boolean |
既定では、送信されたすべてのインジケーターはアクティブとして設定されます。 ただし、プロバイダーは、システム内のインジケーターを非アクティブ化するために、この設定を "False" に設定した既存のインジケーターを送信できます。 |
|
|
キル チェーン
|
killChain | array of string |
このインジケーターがターゲットとするキル チェーン上のポイントを記述する文字列。 値: (アクション、C2、配信、悪用、インストール、偵察、武器化)。 |
|
|
既知の誤検知
|
knownFalsePositives | string |
インジケーターが誤検知を引き起こす可能性があるシナリオ。 |
|
|
最後に報告された日時
|
lastReportedDateTime | date-time |
インジケーターが最後に表示された時刻 (UTC)。 |
|
|
マルウェア ファミリ名
|
malwareFamilyNames | array of string |
インジケーターに関連付けられているマルウェア ファミリ名 (存在する場合)。 |
|
|
パッシブのみ
|
passiveOnly | boolean |
インジケーターがエンドユーザーに表示されるイベントをトリガーする必要があるかどうかを判断します。 |
|
|
Severity
|
severity | integer |
インジケーター内のデータによって識別される悪意のある動作の重大度。 値は 0 ~ 5 で、5 が最も重大です。 既定値は 3 です。 |
|
|
タグ
|
tags | array of string | ||
|
ターゲット製品
|
targetProduct | True | string |
インジケーターを適用する必要がある単一のセキュリティ製品。 使用できる値は、Azure Sentinel、Microsoft Defender ATP です。 |
|
脅威の種類
|
threatType | string |
各インジケーターには、有効なインジケーターの脅威の種類が必要です。 使用できる値は、Botnet、C2、CryptoMining、Darknet、DDoS、MaliciousUrl、Malware、Phishing、Proxy、PUA、WatchList です。 |
|
|
Tlp レベル
|
tlpLevel | string |
インジケーターのトラフィック ライト プロトコルの値。 指定できる値は、unknown、white、green、amber、red です。 |
|
|
電子メール のエンコード
|
emailEncoding | string |
電子メールで使用されるテキスト エンコードの種類。 |
|
|
メールの言語
|
emailLanguage | string |
電子メールの言語。 |
|
|
電子メールの受信者
|
emailRecipient | string |
受信者のメール アドレス。 |
|
|
メール送信者のアドレス
|
emailSenderAddress | string |
攻撃者|被害者のメール アドレス。 |
|
|
電子メールの送信者名
|
emailSenderName | string |
攻撃者|被害者の表示名。 |
|
|
メール ソース ドメイン
|
emailSourceDomain | string |
メールで使用されるドメイン。 |
|
|
電子メール ソースの IP アドレス
|
emailSourceIpAddress | string |
メールの送信元 IP アドレス。 |
|
|
メール件名
|
emailSubject | string |
メールの件名行。 |
|
|
電子メール XMailer
|
emailXMailer | string |
メールで使用される X-Mailer 値。 |
|
|
ファイルのコンパイル日時
|
fileCompileDateTime | date-time |
ファイルがコンパイルされたときの DateTime。 |
|
|
ファイルの作成日時
|
fileCreatedDateTime | date-time |
ファイルが作成された DateTime。 |
|
|
ファイル ハッシュの種類
|
fileHashType | string |
fileHashValue に格納されているハッシュの型。 指定できる値は、unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph です。 |
|
|
ファイル ハッシュ値
|
fileHashValue | string |
ファイル ハッシュ値。 |
|
|
ファイル ミューテックス名
|
fileMutexName | string |
ファイル ベースの検出で使用されるミューテックス名。 |
|
|
ファイル名
|
fileName | string |
インジケーターがファイル ベースの場合のファイルの名前。 |
|
|
ファイル パッカー
|
filePacker | string |
問題のファイルのビルドに使用されるパッカー。 |
|
|
ファイルパス
|
filePath | string |
侵害を示すファイルのパス。 Windows または *nix スタイルのパスを指定できます。 |
|
|
ファイル サイズ
|
fileSize | integer |
ファイルのサイズ (バイト単位)。 |
|
|
ファイルの種類
|
fileType | string |
ファイルの種類のテキストの説明。 たとえば、"Word 文書" や "バイナリ" などです。 |
|
|
ドメイン名
|
domainName | string |
このインジケーターに関連付けられているドメイン名。 |
|
|
ネットワーク cidr ブロック
|
networkCidrBlock | string |
このインジケーターで参照されるネットワークの CIDR ブロック表記表記。 |
|
|
ネットワーク宛先 Asn
|
networkDestinationAsn | integer |
インジケーターで参照されるネットワークの宛先自律システム識別子。 |
|
|
ネットワーク宛先 cidr ブロック
|
networkDestinationCidrBlock | string |
このインジケーター内の宛先ネットワークの CIDR ブロック表記表記。 |
|
|
ネットワーク宛先 IPv4
|
networkDestinationIPv4 | string |
IPv4 IP アドレスの宛先。 |
|
|
ネットワーク宛先 IPv6
|
networkDestinationIPv6 | string |
IPv6 IP アドレスの宛先。 |
|
|
ネットワーク宛先ポート
|
networkDestinationPort | integer |
TCP ポート宛先。 |
|
|
ネットワーク IPv4
|
networkIPv4 | string |
IPv4 IP アドレス。 |
|
|
ネットワーク IPv6
|
networkIPv6 | string |
IPv6 IP アドレス。 |
|
|
ネットワーク ポート
|
networkPort | integer |
TCP ポート。 |
|
|
ネットワーク プロトコル
|
networkProtocol | integer |
IPv4 ヘッダー内のプロトコル フィールドの 10 進表現。 |
|
|
ネットワーク ソース Asn
|
networkSourceAsn | integer |
インジケーターで参照されるネットワークのソース自律システム識別子。 |
|
|
ネットワーク ソース cidr ブロック
|
networkSourceCidrBlock | string |
このインジケーターでのソース ネットワークの CIDR ブロック表記表記。 |
|
|
ネットワーク ソース IPv4
|
networkSourceIPv4 | string |
IPv4 IP アドレスソース。 |
|
|
ネットワーク宛先 IPv6
|
networkSourceIPv6 | string |
IPv6 IP アドレスソース。 |
|
|
ネットワーク ソース ポート
|
networkSourcePort | integer |
TCP ポート ソース。 |
|
|
ウェブアドレス
|
url | string |
Uniform Resource Locator。 |
|
|
ユーザー エージェント
|
userAgent | string |
侵害を示す可能性がある Web 要求から文字列を User-Agent します。 |
戻り値
返された 1 つの TiIndicator エンティティ
- TiIndicator
- TiIndicator
tiIndicator の更新 (非推奨) [非推奨]
脅威インテリジェンス インジケーターの特定のプロパティを更新します。 tiIndicator の必須フィールドは、Id、expirationDateTime、targetProduct (非推奨) です。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
脅威インテリジェンス インジケーター ID を指定します。 |
|
アクション
|
action | string |
targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (不明、許可、ブロック、アラート)。 |
|
|
アクティビティ グループ名
|
activityGroupNames | array of string |
脅威インジケーターの対象となる悪意のあるアクティビティを担当する当事者のサイバー脅威インテリジェンス名。 |
|
|
追加情報
|
additionalInformation | string |
他の tiIndicator プロパティでカバーされていないインジケーターからの追加データを配置できます |
|
|
信頼度
|
confidence | integer |
検出ロジックの信頼度 (0 ~ 100 の割合)。 |
|
|
Description
|
description | string |
TiIndicator の説明 (100 文字以下)。 |
|
|
ひし形モデル
|
diamondModel | string |
このインジケーターが存在するダイヤモンド モデルの領域。 値: (不明、敵対者、機能、インフラストラクチャ、被害者)。 |
|
|
有効期限の日時
|
expirationDateTime | True | date-time |
インジケーターの有効期限が切れる時刻 (UTC 形式。たとえば、2020-03-01T00:00:00Z)。 |
|
外部 ID
|
externalId | string |
インジケーターをインジケーター プロバイダーのシステム (外部キーなど) に関連付ける識別番号。 |
|
|
アクティブです
|
isActive | boolean |
既定では、送信されたすべてのインジケーターはアクティブとして設定されます。 ただし、プロバイダーは、システム内のインジケーターを非アクティブ化するために、この設定を "False" に設定した既存のインジケーターを送信できます。 |
|
|
キル チェーン
|
killChain | array of string |
このインジケーターがターゲットとするキル チェーン上のポイントを記述する文字列。 値: (アクション、C2、配信、悪用、インストール、偵察、武器化)。 |
|
|
既知の誤検知
|
knownFalsePositives | string |
インジケーターが誤検知を引き起こす可能性があるシナリオ。 |
|
|
最後に報告された日時
|
lastReportedDateTime | date-time |
インジケーターが最後に表示された時刻 (UTC)。 |
|
|
マルウェア ファミリ名
|
malwareFamilyNames | array of string |
インジケーターに関連付けられているマルウェア ファミリ名 (存在する場合)。 |
|
|
パッシブのみ
|
passiveOnly | boolean |
インジケーターがエンドユーザーに表示されるイベントをトリガーする必要があるかどうかを判断します。 |
|
|
Severity
|
severity | integer |
インジケーター内のデータによって識別される悪意のある動作の重大度。 値は 0 ~ 5 で、5 が最も重大です。 既定値は 3 です。 |
|
|
タグ
|
tags | array of string | ||
|
Tlp レベル
|
tlpLevel | string |
インジケーターのトラフィック ライト プロトコルの値。 指定できる値は、unknown、white、green、amber、red です。 |
|
|
ターゲット製品
|
targetProduct | True | string |
インジケーターを適用する必要がある単一のセキュリティ製品。 使用できる値は、Azure Sentinel、Microsoft Defender ATP です。 |
tiIndicator を取得する (非推奨) [非推奨]
この Microsoft Entra ID テナントの脅威インテリジェンス インジケーターの一覧を取得します。 異なるクエリ パラメーターで使用する (非推奨)。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
tiIndicator をフィルター処理する
|
$filter | string |
threatType eq 'WatchList' などの脅威インテリジェンス インジケーターのフィルター条件を指定する |
|
|
Top tiIndicators
|
$top | integer |
取得する脅威インテリジェンス インジケーターの最近の上位数を指定する |
|
|
tiIndicator プロパティを選択する
|
$select | string |
結果に含める脅威インテリジェンス インジケーターのプロパティを指定します。 |
|
|
返される tiIndicator の数を含める
|
$count | string |
応答で返される脅威インテリジェンス インジケーターの数を含むように指定します |
|
|
"n" の結果をスキップします
|
$skip | integer |
スキップする結果の数を指定します。 改ページ位置の変更に役立ちます。 |
|
|
並べ替え順序
|
$orderby | string |
結果の並べ替え順序を指定します。 |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
TiIndicator count
|
@odata.count | integer |
返された TiIndicator の数 |
|
TiIndicators
|
value | array of TiIndicator |
返された TiIndicator |
|
次のリンク
|
@odata.nextLink | string |
要求されたよりも多くの結果がある場合に次の結果を取得するためのリンク |
アクティブなサブスクリプションを取得する (非推奨) [非推奨]
この Microsoft Entra ID テナントの期限切れのサブスクリプションの一覧を取得します (非推奨)。
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
既存のサブクリプション数
|
@odata.count | integer |
返されるサブクリプションの数 |
|
Subscription
|
value | array of Subscription |
返されるサブスクリプション エンティティ |
|
次のリンク
|
@odata.nextLink | string |
要求されたよりも多くの結果がある場合に次の結果を取得するためのリンク |
アラートの取得 (非推奨) [非推奨]
この Microsoft Entra ID テナントのセキュリティ アラートの一覧を取得します。 異なるクエリ パラメーターで使用する (非推奨)。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
アラートをフィルター処理する
|
$filter | string |
重大度 eq "High" などのアラートのフィルター条件を指定します。 |
|
|
上位のアラート
|
$top | integer |
各プロバイダーから取得するアラートの最新の最大数を指定します。 |
|
|
アラートのプロパティを選択する
|
$select | string |
結果に含めるアラート プロパティを指定します。 |
|
|
並べ替え順序
|
$orderby | string |
結果の並べ替え順序を指定します。 |
|
|
"n" の結果をスキップします
|
$skip | integer |
スキップする結果の数を指定します。 改ページ位置の変更に役立ちます。 |
|
|
返されたアラートの数を含める
|
$count | string |
応答に返されるアラートの数を含むように指定します |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
アラートの数
|
@odata.count | integer |
返されたアラートの数 |
|
Alerts
|
value | array of Alert |
返されたアラート |
|
次のリンク
|
@odata.nextLink | string |
要求されたよりも多くの結果がある場合に次の結果を取得するためのリンク |
サブスクリプションの作成 (非推奨) [非推奨]
Microsoft Graph webhook サブスクリプションを作成する (非推奨)。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
リソース URL
|
resource | True | string |
変更を監視するリソースを指定します。 ベース URL ( |
|
種類の変更
|
changeType | True | string |
サブスクライブされたリソースで変更されたときに通知を生成するプロパティの種類を指定します。 |
|
クライアントの状態
|
clientState | string |
クライアントの状態を指定して、通知の配信元を確認します。 |
|
|
通知 URL
|
notificationUrl | True | string |
通知を受信するエンドポイントの整形式の URL を指定します。 |
|
有効期限の日時
|
expirationDateTime | True | date-time |
Webhook サブスクリプションの有効期限が切れる日時を指定します。は、現在の時刻より大きく、30 日以内の日付時刻である必要があります。 |
戻り値
返される 1 つのサブスクリプション エンティティ
- Subscription
- Subscription
サブスクリプションの削除 (非推奨) [非推奨]
特定の Microsoft Graph Webhook サブスクリプションを削除します (非推奨)。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID
|
Subscription Id | True | string |
Microsoft Graph Webhook サブスクリプション ID を指定します。 |
サブスクリプションの更新 (非推奨) [非推奨]
有効期限を更新して Microsoft Graph Webhook サブスクリプションを更新します (非推奨)。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID
|
Subscription Id | True | string |
Microsoft Graph Webhook サブスクリプション ID を指定します。 |
|
有効期限の日時
|
expirationDateTime | string |
Microsoft Graph Webhook サブスクリプションの有効期限が切れる日時を UTC 形式で指定します。 セキュリティ アラートの最大有効期限は 43200 分 (30 日以内) です。 |
戻り値
返される 1 つのサブスクリプション エンティティ
- Subscription
- Subscription
外部 ID で複数の tiIndicator を削除する (非推奨) [非推奨]
指定された外部 ID に対応する複数の脅威インテリジェンス インジケーターを削除します (非推奨)。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
value
|
value | array of string |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
value
|
value | array of object | |
|
コード
|
value.code | integer |
結果コード |
|
メッセージ
|
value.message | string |
メッセージ |
|
サブコード
|
value.subcode | integer |
結果のサブコード |
更新アラート (非推奨) [非推奨]
セキュリティ アラートの特定のプロパティを更新します (非推奨)。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
アラートID
|
alert-id | True | string |
アラート ID を指定します。 |
|
割り当て先
|
assignedTo | string |
トリアージ、調査、または修復のためにアラートを割り当てるアナリストの名前を指定します。 |
|
|
Closed dateTime
|
closedDateTime | string |
アラートが閉じられた時刻を指定します。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 |
|
|
comments
|
comments | array of string |
Comments |
|
|
タグ
|
tags | array of string |
アラートに適用でき、フィルター条件 ("HVA"、"SAW" など) として使用できる、ユーザー定義可能なラベルを指定します。 |
|
|
Feedback
|
feedback | string |
アラートに関するアナリストフィードバックを指定します。 |
|
|
ステータス
|
status | string |
アラート ライフサイクルの状態 (ステージ) を追跡する状態を指定します。 |
|
|
プロバイダー名
|
provider | True | string |
特定のプロバイダー (製品/サービス - ベンダー会社ではありません)たとえば、WindowsDefenderATP です。 |
|
プロバイダーのバージョン
|
providerVersion | string |
アラートを生成したプロバイダーまたはサブプロバイダーのバージョン (存在する場合) を指定します。 |
|
|
サブ プロバイダー名
|
subProvider | string |
特定のサブプロバイダー (集計プロバイダーの下)たとえば、WindowsDefenderATP.SmartScreen などです。 |
|
|
ベンダー名
|
vendor | True | string |
アラート ベンダーの名前 (Microsoft、Dell、FireEye など) を指定します。 |
複数の tiIndicator を ID で削除する (非推奨) [非推奨]
指定された ID に対応する複数の脅威インテリジェンス インジケーターを削除します (非推奨)。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
value
|
value | array of string |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
value
|
value | array of object | |
|
コード
|
value.code | integer |
結果コード |
|
メッセージ
|
value.message | string |
メッセージ |
|
サブコード
|
value.subcode | integer |
結果のサブコード |
複数の tiIndicator を更新する (非推奨) [非推奨]
複数の脅威インテリジェンス インジケーターの特定のプロパティを更新します。 各 tiIndicator の必須フィールドは、Id、expirationDateTime、および targetProduct (非推奨) です。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
id
|
id | True | string |
TiIndicator-id |
|
アクション
|
action | string |
targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (不明、許可、ブロック、アラート)。 |
|
|
アクティビティ グループ名
|
activityGroupNames | array of string |
脅威インジケーターの対象となる悪意のあるアクティビティを担当する当事者のサイバー脅威インテリジェンス名。 |
|
|
追加情報
|
additionalInformation | string |
他の tiIndicator プロパティでカバーされていないインジケーターからの追加データを配置できます |
|
|
信頼度
|
confidence | integer |
検出ロジックの信頼度 (0 ~ 100 の割合)。 |
|
|
Description
|
description | string |
TiIndicator の説明 (100 文字以下)。 |
|
|
ひし形モデル
|
diamondModel | string |
このインジケーターが存在するダイヤモンド モデルの領域。 値: (不明、敵対者、機能、インフラストラクチャ、被害者)。 |
|
|
有効期限の日時
|
expirationDateTime | True | date-time |
インジケーターの有効期限が切れる時刻 (UTC)。 |
|
ターゲット製品
|
targetProduct | True | string |
インジケーターを適用する必要がある単一のセキュリティ製品。 使用できる値は、Azure Sentinel、Microsoft Defender ATP です。 |
|
外部 ID
|
externalId | string |
インジケーターをインジケーター プロバイダーのシステム (外部キーなど) に関連付ける識別番号。 |
|
|
アクティブです
|
isActive | boolean |
既定では、送信されたすべてのインジケーターはアクティブとして設定されます。 ただし、プロバイダーは、システム内のインジケーターを非アクティブ化するために、この設定を "False" に設定した既存のインジケーターを送信できます。 |
|
|
キル チェーン
|
killChain | array of string |
このインジケーターがターゲットとするキル チェーン上のポイントを記述する文字列。 値: (アクション、C2、配信、悪用、インストール、偵察、武器化)。 |
|
|
既知の誤検知
|
knownFalsePositives | string |
インジケーターが誤検知を引き起こす可能性があるシナリオ。 |
|
|
最後に報告された日時
|
lastReportedDateTime | date-time |
インジケーターが最後に表示された時刻 (UTC)。 |
|
|
マルウェア ファミリ名
|
malwareFamilyNames | array of string |
インジケーターに関連付けられているマルウェア ファミリ名 (存在する場合)。 |
|
|
パッシブのみ
|
passiveOnly | boolean |
インジケーターがエンドユーザーに表示されるイベントをトリガーする必要があるかどうかを判断します。 |
|
|
Severity
|
severity | integer |
インジケーター内のデータによって識別される悪意のある動作の重大度。 値は 0 ~ 5 で、5 が最も重大です。 既定値は 3 です。 |
|
|
タグ
|
tags | array of string | ||
|
Tlp レベル
|
tlpLevel | string |
インジケーターのトラフィック ライト プロトコルの値。 指定できる値は、unknown、white、green、amber、red です。 |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
TiIndicators
|
value | array of TiIndicator |
TiIndicators が更新されました |
複数の tiIndicator を送信する (非推奨) [非推奨]
tiIndicators コレクションを投稿して、新しい脅威インテリジェンス インジケーターを作成します。 各 tiIndicator の必須フィールドは、action、azureTenantId、description、expirationDateTime、targetProduct、threatType、tlpLevel (非推奨) です。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
アクション
|
action | True | string |
targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (不明、許可、ブロック、アラート)。 |
|
アクティビティ グループ名
|
activityGroupNames | array of string |
脅威インジケーターの対象となる悪意のあるアクティビティを担当する当事者のサイバー脅威インテリジェンス名。 |
|
|
追加情報
|
additionalInformation | string |
他の tiIndicator プロパティでカバーされていないインジケーターからの追加データを配置できます |
|
|
Azure テナント ID
|
azureTenantId | string |
クライアントを送信する Microsoft Entra ID テナント ID。 |
|
|
信頼度
|
confidence | integer |
検出ロジックの信頼度 (0 ~ 100 の割合)。 |
|
|
Description
|
description | True | string |
TiIndicator の説明 (100 文字以下)。 |
|
ひし形モデル
|
diamondModel | string |
このインジケーターが存在するダイヤモンド モデルの領域。 値: (不明、敵対者、機能、インフラストラクチャ、被害者)。 |
|
|
有効期限の日時
|
expirationDateTime | True | date-time |
インジケーターの有効期限が切れる時刻 (UTC)。 |
|
外部 ID
|
externalId | string |
インジケーターをインジケーター プロバイダーのシステム (外部キーなど) に関連付ける識別番号。 |
|
|
取り込まれた日時
|
ingestedDateTime | date-time |
インジケーターが取り込まれる時刻 (UTC)。 |
|
|
アクティブです
|
isActive | boolean |
既定では、送信されたすべてのインジケーターはアクティブとして設定されます。 ただし、プロバイダーは、システム内のインジケーターを非アクティブ化するために、この設定を "False" に設定した既存のインジケーターを送信できます。 |
|
|
キル チェーン
|
killChain | array of string |
このインジケーターがターゲットとするキル チェーン上のポイントを記述する文字列。 値: (アクション、C2、配信、悪用、インストール、偵察、武器化)。 |
|
|
既知の誤検知
|
knownFalsePositives | string |
インジケーターが誤検知を引き起こす可能性があるシナリオ。 |
|
|
最後に報告された日時
|
lastReportedDateTime | date-time |
インジケーターが最後に表示された時刻 (UTC)。 |
|
|
マルウェア ファミリ名
|
malwareFamilyNames | array of string |
インジケーターに関連付けられているマルウェア ファミリ名 (存在する場合)。 |
|
|
パッシブのみ
|
passiveOnly | boolean |
インジケーターがエンドユーザーに表示されるイベントをトリガーする必要があるかどうかを判断します。 |
|
|
Severity
|
severity | integer |
インジケーター内のデータによって識別される悪意のある動作の重大度。 値は 0 ~ 5 で、5 が最も重大です。 既定値は 3 です。 |
|
|
タグ
|
tags | array of string | ||
|
ターゲット製品
|
targetProduct | True | string |
インジケーターを適用する必要がある単一のセキュリティ製品。 使用できる値は、Azure Sentinel、Microsoft Defender ATP です。 |
|
脅威の種類
|
threatType | string |
各インジケーターには、有効なインジケーターの脅威の種類が必要です。 使用できる値は、Botnet、C2、CryptoMining、Darknet、DDoS、MaliciousUrl、Malware、Phishing、Proxy、PUA、WatchList です。 |
|
|
Tlp レベル
|
tlpLevel | string |
インジケーターのトラフィック ライト プロトコルの値。 指定できる値は、unknown、white、green、amber、red です。 |
|
|
電子メール のエンコード
|
emailEncoding | string |
電子メールで使用されるテキスト エンコードの種類。 |
|
|
メールの言語
|
emailLanguage | string |
電子メールの言語。 |
|
|
電子メールの受信者
|
emailRecipient | string |
受信者のメール アドレス。 |
|
|
メール送信者のアドレス
|
emailSenderAddress | string |
攻撃者|被害者のメール アドレス。 |
|
|
電子メールの送信者名
|
emailSenderName | string |
攻撃者|被害者の表示名。 |
|
|
メール ソース ドメイン
|
emailSourceDomain | string |
メールで使用されるドメイン。 |
|
|
電子メール ソースの IP アドレス
|
emailSourceIpAddress | string |
メールの送信元 IP アドレス。 |
|
|
メール件名
|
emailSubject | string |
メールの件名行。 |
|
|
電子メール XMailer
|
emailXMailer | string |
メールで使用される X-Mailer 値。 |
|
|
ファイルのコンパイル日時
|
fileCompileDateTime | date-time |
ファイルがコンパイルされたときの DateTime。 |
|
|
ファイルの作成日時
|
fileCreatedDateTime | date-time |
ファイルが作成された DateTime。 |
|
|
ファイル ハッシュの種類
|
fileHashType | string |
fileHashValue に格納されているハッシュの型。 指定できる値は、unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph です。 |
|
|
ファイル ハッシュ値
|
fileHashValue | string |
ファイル ハッシュ値。 |
|
|
ファイル ミューテックス名
|
fileMutexName | string |
ファイル ベースの検出で使用されるミューテックス名。 |
|
|
ファイル名
|
fileName | string |
インジケーターがファイル ベースの場合のファイルの名前。 |
|
|
ファイル パッカー
|
filePacker | string |
問題のファイルのビルドに使用されるパッカー。 |
|
|
ファイルパス
|
filePath | string |
侵害を示すファイルのパス。 Windows または *nix スタイルのパスを指定できます。 |
|
|
ファイル サイズ
|
fileSize | integer |
ファイルのサイズ (バイト単位)。 |
|
|
ファイルの種類
|
fileType | string |
ファイルの種類のテキストの説明。 たとえば、"Word 文書" や "バイナリ" などです。 |
|
|
ドメイン名
|
domainName | string |
このインジケーターに関連付けられているドメイン名。 |
|
|
ネットワーク cidr ブロック
|
networkCidrBlock | string |
このインジケーターで参照されるネットワークの CIDR ブロック表記表記。 |
|
|
ネットワーク宛先 Asn
|
networkDestinationAsn | integer |
インジケーターで参照されるネットワークの宛先自律システム識別子。 |
|
|
ネットワーク宛先 cidr ブロック
|
networkDestinationCidrBlock | string |
このインジケーター内の宛先ネットワークの CIDR ブロック表記表記。 |
|
|
ネットワーク宛先 IPv4
|
networkDestinationIPv4 | string |
IPv4 IP アドレスの宛先。 |
|
|
ネットワーク宛先 IPv6
|
networkDestinationIPv6 | string |
IPv6 IP アドレスの宛先。 |
|
|
ネットワーク宛先ポート
|
networkDestinationPort | integer |
TCP ポート宛先。 |
|
|
ネットワーク IPv4
|
networkIPv4 | string |
IPv4 IP アドレス。 |
|
|
ネットワーク IPv6
|
networkIPv6 | string |
IPv6 IP アドレス。 |
|
|
ネットワーク ポート
|
networkPort | integer |
TCP ポート。 |
|
|
ネットワーク プロトコル
|
networkProtocol | integer |
IPv4 ヘッダー内のプロトコル フィールドの 10 進表現。 |
|
|
ネットワーク ソース Asn
|
networkSourceAsn | integer |
インジケーターで参照されるネットワークのソース自律システム識別子。 |
|
|
ネットワーク ソース cidr ブロック
|
networkSourceCidrBlock | string |
このインジケーターでのソース ネットワークの CIDR ブロック表記表記。 |
|
|
ネットワーク ソース IPv4
|
networkSourceIPv4 | string |
IPv4 IP アドレスソース。 |
|
|
ネットワーク宛先 IPv6
|
networkSourceIPv6 | string |
IPv6 IP アドレスソース。 |
|
|
ネットワーク ソース ポート
|
networkSourcePort | integer |
TCP ポート ソース。 |
|
|
ウェブアドレス
|
url | string |
Uniform Resource Locator。 |
|
|
ユーザー エージェント
|
userAgent | string |
侵害を示す可能性がある Web 要求から文字列を User-Agent します。 |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
TiIndicators
|
value | array of TiIndicator |
送信された TiIndicator |
トリガー
| すべての新しいアラート (非推奨) [非推奨] |
すべての新しいアラートのトリガー (非推奨) |
| 新しい重大度の高いアラート (非推奨) [非推奨] |
新しい重大度の高いアラートに対するトリガー (非推奨) |
すべての新しいアラート (非推奨) [非推奨]
すべての新しいアラートのトリガー (非推奨)
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
アラートの数
|
@odata.count | integer |
返されたアラートの数 |
|
Alerts
|
value | array of Alert |
返されたアラート |
|
次のリンク
|
@odata.nextLink | string |
要求されたよりも多くの結果がある場合に次の結果を取得するためのリンク |
新しい重大度の高いアラート (非推奨) [非推奨]
新しい重大度の高いアラートに対するトリガー (非推奨)
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
アラートの数
|
@odata.count | integer |
返されたアラートの数 |
|
Alerts
|
value | array of Alert |
返されたアラート |
|
次のリンク
|
@odata.nextLink | string |
要求されたよりも多くの結果がある場合に次の結果を取得するためのリンク |
定義
アラート
返される 1 つのアラート エンティティ
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
Azure サブスクリプション ID
|
azureSubscriptionId | string |
Azure サブスクリプション ID。このアラートが Azure リソースに関連している場合に表示されます。 |
|
タグ
|
tags | array of string |
アラートに適用でき、フィルター条件 ("HVA"、"SAW" など) として機能できるユーザー定義可能なラベル。 |
|
ID
|
id | string |
プロバイダーによって生成された GUID/一意の識別子。 |
|
Azure テナント ID
|
azureTenantId | string |
Microsoft Entra ID テナント ID。 |
|
アクティビティ グループ名
|
activityGroupName | string |
このアラートの属性が設定されているアクティビティ グループ (攻撃者) の名前またはエイリアス。 |
|
割り当て先
|
assignedTo | string |
トリアージ、調査、または修復のためにアラートが割り当てられているアナリストの名前。 |
|
カテゴリ
|
category | string |
アラートのカテゴリ (credentialTheft、ランサムウェアなど)。 |
|
終了日時
|
closedDateTime | date-time |
アラートが閉じられた時刻 (UTC)。 |
|
Comments
|
comments | array of string |
アラートに関するお客様から提供されたコメント (顧客アラート管理用)。 |
|
信頼度
|
confidence | integer |
検出ロジックの信頼度 (1 から 100 の割合)。 |
|
作成日時
|
createdDateTime | date-time |
アラートが作成された時刻 (UTC)。 |
|
Description
|
description | string |
警告の説明。 |
|
検出 ID
|
detectionIds | array of string |
このアラート エンティティに関連するアラートのセット。 |
|
イベントの日時
|
eventDateTime | date-time |
アラートを生成するトリガーとして機能したイベントが発生した時刻 (UTC)。 |
|
Feedback
|
feedback | string |
アラートに関するアナリストのフィードバック。 指定できる値は、unknown、truePositive、falsePositive、benignPositive です。 |
|
最終更新日時
|
lastModifiedDateTime | date-time |
アラート エンティティが最後に変更された時刻 (UTC)。 |
|
推奨されるアクション
|
recommendedActions | array of string |
アラートの結果として実行するベンダー/プロバイダー推奨アクション (マシンの分離、enforce2FA、ホストの再イメージ化など)。 |
|
Severity
|
severity | string |
アラートの重大度 - ベンダー/プロバイダーによって設定されます。 値: (高、中、低、情報)。 |
|
ソースマテリアル
|
sourceMaterials | array of string |
アラートに関連するソース マテリアル (プロバイダー調査 UI など) へのハイパーリンク (URI)。 |
|
ステータス
|
status | string |
アラート ライフサイクルの状態 (ステージ)。 値: (不明、newAlert、inProgress、解決済み)。 |
|
Title
|
title | string |
警告タイトル。 |
|
プロバイダー名
|
vendorInformation.provider | string |
特定のプロバイダー (製品/サービス - ベンダー会社ではありません)たとえば、WindowsDefenderATP です。 |
|
プロバイダーのバージョン
|
vendorInformation.providerVersion | string |
プロバイダーまたはサブプロバイダーのバージョン。 |
|
サブ プロバイダー名
|
vendorInformation.subProvider | string |
特定のサブプロバイダー (集計プロバイダーの下)たとえば、WindowsDefenderATP.SmartScreen などです。 |
|
ベンダー名
|
vendorInformation.vendor | string |
アラート ベンダーの名前 (Microsoft、Dell、FireEye など)。 |
|
クラウド アプリの状態
|
cloudAppStates | array of object |
このアラートに関連するクラウド アプリケーションに関してプロバイダーによって生成されるセキュリティ関連のステートフル情報。 |
|
宛先サービス IP
|
cloudAppStates.destinationServiceIp | string |
クラウド アプリ/サービスへの接続の宛先 IP アドレス。 |
|
宛先サービス名
|
cloudAppStates.destinationServiceName | string |
移行先のクラウド アプリ/サービス名。 |
|
リスク スコア
|
cloudAppStates.riskScore | string |
クラウド アプリケーション/サービスのプロバイダー生成/計算されたリスク スコア。 |
|
ファイルの状態
|
fileStates | array of object |
プロバイダーによって生成される、このアラートに関連するファイルに関するセキュリティ関連のステートフル情報。 |
|
名前
|
fileStates.name | string |
ファイル名 (パスなし)。 |
|
経路
|
fileStates.path | string |
file/imageFile の完全なファイル パス。 |
|
リスク スコア
|
fileStates.riskScore | string |
アラート ファイルのプロバイダー生成/計算されたリスク スコア。 |
|
タイプ
|
fileStates.fileHash.type | string |
ファイル ハッシュの種類。 指定できる値は、unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph、peSha1、peSha256 です。 |
|
価値
|
fileStates.fileHash.value | string |
ファイル ハッシュの値。 |
|
ホストの状態
|
hostStates | array of object |
プロバイダーによって生成される、このアラートに関連するホストに関するセキュリティ関連のステートフル情報。 |
|
完全修飾ドメイン名
|
hostStates.fqdn | string |
ホスト FQDN (完全修飾ドメイン名)。 |
|
azureAd に参加しているか
|
hostStates.isAzureAdJoined | boolean |
ホストが Microsoft Entra ID Domain Services にドメイン参加している場合は True。 |
|
AzureAd が登録されているか
|
hostStates.isAzureAdRegistered | boolean |
ホストが Microsoft Entra ID Device Registration (BYOD など) に登録されている場合は True です。企業によって完全に管理されていません。 |
|
ハイブリッド Azure ドメインに参加しているか
|
hostStates.isHybridAzureDomainJoined | boolean |
ホストがオンプレミスの Microsoft Entra ID ドメインに参加しているドメインの場合は True。 |
|
Net bios 名
|
hostStates.netBiosName | string |
DNS ドメイン名のないローカル ホスト名。 |
|
オペレーティング システム名
|
hostStates.os | string |
ホスト オペレーティング システム。 |
|
プライベート IP アドレス
|
hostStates.privateIpAddress | string |
アラート時のプライベート (ルーティング不可) IPv4 または IPv6 アドレス。 |
|
パブリック IP アドレス
|
hostStates.publicIpAddress | string |
アラート時にパブリックにルーティング可能な IPv4 または IPv6 アドレス。 |
|
リスク スコア
|
hostStates.riskScore | string |
ホストのプロバイダー生成/計算されたリスク スコア。 |
|
マルウェアの状態
|
malwareStates | array of object |
プロバイダーによって生成される、このアラートに関連するマルウェアに関するセキュリティ関連のステートフル情報。 |
|
カテゴリ
|
malwareStates.category | string |
プロバイダーによって生成されたマルウェア カテゴリ (トロイの木馬、ランサムウェアなど)。 |
|
家族
|
malwareStates.family | string |
プロバイダーによって生成されたマルウェア ファミリ (例: "wannacry"、"notpetya")。 |
|
名前
|
malwareStates.name | string |
プロバイダーによって生成されたマルウェアバリアント名 (例: トロイの木馬:Win32/Powessere.H)。 |
|
Severity
|
malwareStates.severity | string |
このマルウェアのプロバイダーによって決定された重大度。 |
|
実行中でした
|
malwareStates.wasRunning | boolean |
検出されたファイル (マルウェア/脆弱性) が検出時に実行されていたか、ディスク上の保存中に検出されたかを示します。 |
|
ネットワーク接続
|
networkConnections | array of object |
プロバイダーによって生成される、このアラートに関連するファイルに関するセキュリティ関連のステートフル情報。 |
|
アプリケーション名
|
networkConnections.applicationName | string |
ネットワーク接続を管理するアプリケーションの名前 (Facebook、SMTP など)。 |
|
宛先アドレス
|
networkConnections.destinationAddress | string |
ネットワーク接続の宛先 IP アドレス。 |
|
宛先ドメイン
|
networkConnections.destinationDomain | string |
宛先 URL の宛先ドメイン部分。(例: "www.contoso.com")。 |
|
宛先ポート
|
networkConnections.destinationPort | string |
ネットワーク接続の宛先ポート。 |
|
宛先 URL
|
networkConnections.destinationUrl | string |
ネットワーク接続 URL/URI 文字列 - パラメーターを除く。 |
|
通信方向
|
networkConnections.direction | string |
ネットワーク接続の方向。 指定できる値は、unknown、inbound、outbound です。 |
|
ドメイン登録済み dateTime
|
networkConnections.domainRegisteredDateTime | date-time |
宛先ドメインが登録された日付 (UTC)。 |
|
ローカル DNS 名
|
networkConnections.localDnsName | string |
ホスト ローカル DNS キャッシュに表示されるローカル DNS の名前解決 (たとえば、"hosts" ファイルが改ざんされた場合)。 |
|
Nat 宛先アドレス
|
networkConnections.natDestinationAddress | string |
ネットワーク アドレス変換先 IP アドレス。 |
|
Nat 宛先ポート
|
networkConnections.natDestinationPort | string |
ネットワーク アドレス変換の宛先ポート。 |
|
Nat ソース アドレス
|
networkConnections.natSourceAddress | string |
ネットワーク アドレス変換のソース IP アドレス。 |
|
Nat ソース ポート
|
networkConnections.natSourcePort | string |
ネットワーク アドレス変換ソース ポート。 |
|
プロトコル
|
networkConnections.protocol | string |
ネットワークプロトコル。 使用可能な値: unknown、 ip、icmp、igmp、ggp、ipv4、tcp、pup、udp、idp、ipv6、ipv6RoutingHeader、ipv6FragmentHeader、ipSecEncapsulatingSecurityPayload、ipSecAuthenticationHeader、icmpV6、ipv6NoNextHeader、ipv6DestinationOptions、nd、raw、ipx、spx、spxII。 |
|
リスク スコア
|
networkConnections.riskScore | string |
ネットワーク接続のプロバイダー生成/計算されたリスク スコア。 |
|
送信元アドレス
|
networkConnections.sourceAddress | string |
ネットワーク接続の送信元 (つまり配信元) IP アドレス。 |
|
送信元ポート
|
networkConnections.sourcePort | string |
ネットワーク接続の送信元 (つまり発信元) IP ポート。 |
|
ステータス
|
networkConnections.status | string |
ネットワーク接続の状態。 指定できる値は、不明、試行、成功、ブロック、失敗です。 |
|
URL パラメーター
|
networkConnections.urlParameters | string |
文字列としての宛先 URL のパラメーター (サフィックス)。 |
|
Processes
|
processes | array of object |
プロバイダーによって生成される、このアラートに関連するプロセスまたはプロセスに関するセキュリティ関連のステートフル情報。 |
|
アカウント名
|
processes.accountName | string |
ユーザー アカウント識別子 (プロセスが実行されたユーザー アカウント コンテキスト) (AccountName、SID など)。 |
|
コマンドライン
|
processes.commandLine | string |
すべてのパラメーターを含む完全なプロセス呼び出しコマンド ライン。 |
|
作成日時
|
processes.createdDateTime | date-time |
親プロセスが開始された DateTime (UTC)。 |
|
整合性レベル
|
processes.integrityLevel | string |
プロセスの整合性レベル。 指定できる値は、不明、信頼されていない、低、中、高、システムです。 |
|
管理者特権
|
processes.isElevated | boolean |
プロセスが昇格されている場合は True。 |
|
名前
|
processes.name | string |
プロセス イメージ ファイルの名前。 |
|
親プロセスの作成日時
|
processes.parentProcessCreatedDateTime | date-time |
プロセスが開始された時刻 (UTC)。 |
|
親プロセス ID
|
processes.parentProcessId | integer |
親プロセスのプロセス ID (PID)。 |
|
親プロセス名
|
processes.parentProcessName | string |
親プロセスのイメージ ファイルの名前。 |
|
経路
|
processes.path | string |
ファイル名を含む完全なパス。 |
|
プロセス ID
|
processes.processId | integer |
プロセスのプロセス ID (PID)。 |
|
タイプ
|
processes.fileHash.type | string |
ファイル ハッシュの種類。 指定できる値は、unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph、peSha1、peSha256 です。 |
|
価値
|
processes.fileHash.value | string |
ファイル ハッシュの値。 |
|
レジストリ キーの状態
|
registryKeyStates | array of object |
プロバイダーによって生成される、このアラートに関連するレジストリ キーに関するセキュリティ関連のステートフル情報。 |
|
プロセス
|
registryKeyStates.process | string |
レジストリ キーを変更したプロセスのプロセス ID (PID) (プロセスの詳細は、アラートの "プロセス" コレクションに表示されます)。 |
|
Operation
|
registryKeyStates.operation | string |
レジストリ キー名または値 (追加、変更、削除) を変更した操作。 |
|
値の形式
|
registryKeyStates.valueType | string |
レジストリ キー値の種類。 指定できる値は、unknown、binary、dword、dwordLittleEndian、dwordBigEndian、expandSz、link、multiSz、none、qword、qwordlittleEndian、sz です。 |
|
レジストリ ハイブ
|
registryKeyStates.hive | string |
Windows レジストリ ハイブ。 指定できる値は、unknown、currentConfig、currentUser、localMachineSam、localMachineSamSoftware、localMachineSystem、usersDefault です。 |
|
Key
|
registryKeyStates.key | string |
現在の (つまり変更された) レジストリ キー (HIVE を除く)。 |
|
値の名前
|
registryKeyStates.valueName | string |
現在の (つまり変更された) レジストリ キー値の名前。 |
|
値データ
|
registryKeyStates.valueData | string |
現在の (つまり変更された) レジストリ キー値データ (内容)。 |
|
古いキー
|
registryKeyStates.oldKey | string |
Previous (つまり変更前) レジストリ キー (HIVE を除く)。 |
|
古い値の名前
|
registryKeyStates.oldValueName | string |
Previous (つまり、変更前) レジストリ キー値の名前。 |
|
古い値のデータ
|
registryKeyStates.oldValueData | string |
前 (つまり、変更前) レジストリ キー値データ (内容)。 |
|
トリガー (条件や動作を引き起こすもの)
|
triggers | array of object |
アラートをトリガーした特定のプロパティ (アラートに表示されるプロパティ) に関するセキュリティ関連の情報。 アラートには、複数のユーザー、ホスト、ファイル、IP アドレスに関する情報が含まれている場合があります。 このフィールドは、アラート生成をトリガーしたプロパティを示します。 |
|
名前
|
triggers.name | string |
検出トリガーとして機能するプロパティの名前。 |
|
タイプ
|
triggers.type | string |
解釈用のキーと値のペアの属性の型 (文字列、ブール値など)。 |
|
価値
|
triggers.value | string |
検出トリガーとして機能する属性の値。 |
|
ユーザーの状態
|
userStates | array of object |
このアラートに関連するログオン ユーザーまたはユーザーに関する、プロバイダーによって生成されるセキュリティ関連のステートフル情報。 |
|
Microsoft Entra ID ユーザー ID
|
userStates.aadUserId | string |
Microsoft Entra ID ユーザー オブジェクト識別子 (GUID) - 物理/マルチアカウント ユーザー エンティティを表します。 |
|
アカウント名
|
userStates.accountName | string |
ユーザー アカウントのアカウント名 (Microsoft Entra ID ドメインまたは DNS ドメインなし) - ("mailNickName" とも呼ばれます)。 |
|
ドメイン名
|
userStates.domainName | string |
ユーザー アカウントの NetBIOS/Microsoft Entra ID ドメイン (つまり、domain\account 形式)。 |
|
電子メール ロール
|
userStates.emailRole | string |
電子メール関連のアラートの場合 - ユーザー アカウントの電子メール ロール。 |
|
Is Vpn
|
userStates.isVpn | boolean |
ユーザーが VPN 経由でログオンしたかどうかを示します。 |
|
ログオン日時
|
userStates.logonDateTime | date-time |
ログオンが発生した時刻 (UTC)。 |
|
ログオン ID
|
userStates.logonId | string |
ユーザー サインイン ID。 |
|
ログオン IP
|
userStates.logonIp | string |
ログオン要求の割り当て先の IP アドレス。 |
|
ログオン場所
|
userStates.logonLocation | string |
このユーザーによるユーザー サインイン イベントに関連付けられた場所 (IP アドレス マッピングによる)。 |
|
ログオンの種類
|
userStates.logonType | string |
ユーザー サインインの方法。 指定できる値は、不明、対話型、remoteInteractive、ネットワーク、バッチ、サービスです。 |
|
オンプレミスのセキュリティ識別子
|
userStates.onPremisesSecurityIdentifier | string |
ユーザーの Microsoft Entra ID (オンプレミス) セキュリティ識別子 (SID)。 |
|
リスク スコア
|
userStates.riskScore | string |
ユーザー アカウントのプロバイダー生成/計算されたリスク スコア。 |
|
ユーザー アカウントの種類
|
userStates.userAccountType | string |
Windows 定義ごとのユーザー アカウントの種類 (グループ メンバーシップ)。 使用可能な値は、不明、標準、電源、管理者です。 |
|
ユーザー プリンシパル名
|
userStates.userPrincipalName | string |
ユーザー サインイン名 - インターネット形式: <ユーザー アカウント名>@<ユーザー アカウントの DNS ドメイン名>。 |
|
脆弱性の状態
|
vulnerabilityStates | array of object |
このアラートに関連する 1 つ以上の脆弱性に関連する脅威インテリジェンス。 |
|
Cve
|
vulnerabilityStates.cve | string |
この脆弱性の一般的な脆弱性と露出 (CVE)。 |
|
実行中でした
|
vulnerabilityStates.wasRunning | boolean |
検出された脆弱性 (ファイル) が検出時に実行されていたか、ディスク上の保存時にファイルが検出されたかを示します。 |
|
Severity
|
vulnerabilityStates.severity | string |
この脆弱性の基本共通脆弱性スコアリング システム (CVSS) の重大度スコア。 |
Subscription
返される 1 つのサブスクリプション エンティティ
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ID
|
id | string |
サブスクリプションの一意識別子。 |
|
Resource
|
resource | string |
変更を監視するリソースを指定します。 |
|
アプリケーション ID
|
applicationId | string |
サブスクリプションの作成に使用されるアプリケーションの識別子。 |
|
種類の変更
|
changeType | string |
通知を発生させるサブスクライブ済みリソースの変更の種類を示します。 |
|
クライアントの状態
|
clientState | string |
各通知でサービスによって送信される clientState プロパティの値を指定します。 最大長は 128 文字です。 クライアントは、サブスクリプションで送信された clientState プロパティの値と、各通知で受信した clientState プロパティの値を比較することで、通知がサービスから送信されたことを確認できます。 |
|
通知 URL
|
notificationUrl | string |
通知を受信するエンドポイントの URL。 この URL では、HTTPS プロトコルを使用する必要があります。 |
|
有効期限の日時
|
expirationDateTime | string |
Webhook サブスクリプションの有効期限が切れる日時 (UTC) を指定します。 |
|
Creator Id
|
creatorId | string |
サブスクリプションを作成したユーザーまたはサービス プリンシパルの識別子。 アプリが委任されたアクセス許可を使用してサブスクリプションを作成した場合、このフィールドには、アプリが代理で呼び出したサインイン ユーザーの ID が含まれます。 アプリがアプリケーションのアクセス許可を使用している場合、このフィールドにはアプリに対応するサービス プリンシパルの ID が含まれます。 |
TiIndicator
返された 1 つの TiIndicator エンティティ
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
アクション
|
action | string |
targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (不明、許可、ブロック、アラート)。 |
|
アクティビティ グループ名
|
activityGroupNames | array of string |
脅威インジケーターの対象となる悪意のあるアクティビティを担当する当事者のサイバー脅威インテリジェンス名。 |
|
追加情報
|
additionalInformation | string |
他の tiIndicator プロパティでカバーされていないインジケーターからの追加データを配置できます |
|
Azure テナント ID
|
azureTenantId | string |
クライアントを送信する Microsoft Entra ID テナント ID。 |
|
信頼度
|
confidence | integer |
検出ロジックの信頼度 (0 ~ 100 の割合)。 |
|
Description
|
description | string |
TiIndicator の説明 (100 文字以下)。 |
|
ひし形モデル
|
diamondModel | string |
このインジケーターが存在するダイヤモンド モデルの領域。 値: (不明、敵対者、機能、インフラストラクチャ、被害者)。 |
|
有効期限の日時
|
expirationDateTime | date-time |
インジケーターの有効期限が切れる時刻 (UTC)。 |
|
外部 ID
|
externalId | string |
インジケーターをインジケーター プロバイダーのシステム (外部キーなど) に関連付ける識別番号。 |
|
ID
|
id | string |
インジケーターが取り込まれるときにシステムによって作成されます。 生成された GUID/一意識別子。 |
|
取り込まれた日時
|
ingestedDateTime | date-time |
インジケーターが取り込まれる時刻 (UTC)。 |
|
アクティブです
|
isActive | boolean |
既定では、送信されたすべてのインジケーターはアクティブとして設定されます。 ただし、プロバイダーは、システム内のインジケーターを非アクティブ化するために、この設定を "False" に設定した既存のインジケーターを送信できます。 |
|
キル チェーン
|
killChain | array of string |
このインジケーターがターゲットとするキル チェーン上のポイントを記述する文字列。 値: (アクション、C2、配信、悪用、インストール、偵察、武器化)。 |
|
既知の誤検知
|
knownFalsePositives | string |
インジケーターが誤検知を引き起こす可能性があるシナリオ。 |
|
最後に報告された日時
|
lastReportedDateTime | date-time |
インジケーターが最後に表示された時刻 (UTC)。 |
|
マルウェア ファミリ名
|
malwareFamilyNames | array of string |
インジケーターに関連付けられているマルウェア ファミリ名 (存在する場合)。 |
|
パッシブのみ
|
passiveOnly | boolean |
インジケーターがエンドユーザーに表示されるイベントをトリガーする必要があるかどうかを判断します。 |
|
Severity
|
severity | integer |
インジケーター内のデータによって識別される悪意のある動作の重大度。 値は 0 ~ 5 で、5 が最も重大です。 既定値は 3 です。 |
|
タグ
|
tags | array of string | |
|
ターゲット製品
|
targetProduct | string |
インジケーターを適用する必要がある単一のセキュリティ製品。 使用できる値は、Azure Sentinel、Microsoft Defender ATP です。 |
|
脅威の種類
|
threatType | string |
各インジケーターには、有効なインジケーターの脅威の種類が必要です。 使用できる値は、Botnet、C2、CryptoMining、Darknet、DDoS、MaliciousUrl、Malware、Phishing、Proxy、PUA、WatchList です。 |
|
Tlp レベル
|
tlpLevel | string |
インジケーターのトラフィック ライト プロトコルの値。 指定できる値は、unknown、white、green、amber、red です。 |
|
電子メール のエンコード
|
emailEncoding | string |
電子メールで使用されるテキスト エンコードの種類。 |
|
メールの言語
|
emailLanguage | string |
電子メールの言語。 |
|
電子メールの受信者
|
emailRecipient | string |
受信者のメール アドレス。 |
|
メール送信者のアドレス
|
emailSenderAddress | string |
攻撃者|被害者のメール アドレス。 |
|
電子メールの送信者名
|
emailSenderName | string |
攻撃者|被害者の表示名。 |
|
メール ソース ドメイン
|
emailSourceDomain | string |
メールで使用されるドメイン。 |
|
電子メール ソースの IP アドレス
|
emailSourceIpAddress | string |
メールの送信元 IP アドレス。 |
|
メール件名
|
emailSubject | string |
メールの件名行。 |
|
電子メール XMailer
|
emailXMailer | string |
メールで使用される X-Mailer 値。 |
|
ファイルのコンパイル日時
|
fileCompileDateTime | date-time |
ファイルがコンパイルされたときの DateTime。 |
|
ファイルの作成日時
|
fileCreatedDateTime | date-time |
ファイルが作成された DateTime。 |
|
ファイル ハッシュの種類
|
fileHashType | string |
fileHashValue に格納されているハッシュの型。 指定できる値は、unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph です。 |
|
ファイル ハッシュ値
|
fileHashValue | string |
ファイル ハッシュ値。 |
|
ファイル ミューテックス名
|
fileMutexName | string |
ファイル ベースの検出で使用されるミューテックス名。 |
|
ファイル名
|
fileName | string |
インジケーターがファイル ベースの場合のファイルの名前。 |
|
ファイル パッカー
|
filePacker | string |
問題のファイルのビルドに使用されるパッカー。 |
|
ファイルパス
|
filePath | string |
侵害を示すファイルのパス。 Windows または *nix スタイルのパスを指定できます。 |
|
ファイル サイズ
|
fileSize | integer |
ファイルのサイズ (バイト単位)。 |
|
ファイルの種類
|
fileType | string |
ファイルの種類のテキストの説明。 たとえば、"Word 文書" や "バイナリ" などです。 |
|
ドメイン名
|
domainName | string |
このインジケーターに関連付けられているドメイン名。 |
|
ネットワーク cidr ブロック
|
networkCidrBlock | string |
このインジケーターで参照されるネットワークの CIDR ブロック表記表記。 |
|
ネットワーク宛先 Asn
|
networkDestinationAsn | integer |
インジケーターで参照されるネットワークの宛先自律システム識別子。 |
|
ネットワーク宛先 cidr ブロック
|
networkDestinationCidrBlock | string |
このインジケーター内の宛先ネットワークの CIDR ブロック表記表記。 |
|
ネットワーク宛先 IPv4
|
networkDestinationIPv4 | string |
IPv4 IP アドレスの宛先。 |
|
ネットワーク宛先 IPv6
|
networkDestinationIPv6 | string |
IPv6 IP アドレスの宛先。 |
|
ネットワーク宛先ポート
|
networkDestinationPort | integer |
TCP ポート宛先。 |
|
ネットワーク IPv4
|
networkIPv4 | string |
IPv4 IP アドレス。 |
|
ネットワーク IPv6
|
networkIPv6 | string |
IPv6 IP アドレス。 |
|
ネットワーク ポート
|
networkPort | integer |
TCP ポート。 |
|
ネットワーク プロトコル
|
networkProtocol | integer |
IPv4 ヘッダー内のプロトコル フィールドの 10 進表現。 |
|
ネットワーク ソース Asn
|
networkSourceAsn | integer |
インジケーターで参照されるネットワークのソース自律システム識別子。 |
|
ネットワーク ソース cidr ブロック
|
networkSourceCidrBlock | string |
このインジケーターでのソース ネットワークの CIDR ブロック表記表記。 |
|
ネットワーク ソース IPv4
|
networkSourceIPv4 | string |
IPv4 IP アドレスソース。 |
|
ネットワーク宛先 IPv6
|
networkSourceIPv6 | string |
IPv6 IP アドレスソース。 |
|
ネットワーク ソース ポート
|
networkSourcePort | integer |
TCP ポート ソース。 |
|
ウェブアドレス
|
url | string |
Uniform Resource Locator。 |
|
ユーザー エージェント
|
userAgent | string |
侵害を示す可能性がある Web 要求から文字列を User-Agent します。 |