Microsoft Graph Security (プレビュー)
Microsoft Graph Security コネクタは、統一されたスキーマを使用して、さまざまな Microsoft およびパートナーのセキュリティ製品とサービスを接続し、セキュリティ操作を合理化し、脅威保護、検出、および対応機能を向上させるのに役立ちます。 Microsoft Graph Security API との統合の詳細については、https://aka.ms/graphsecuritydocs をご覧ください
このコネクタは、次の製品および地域で利用可能です。
| サービス | クラス | 地域 |
|---|---|---|
| Logic Apps | 標準 | 以下を除くすべての Logic Apps 地域 : - Azure 政府の地域 - Azure 中国の地域 - 国防総省 (DoD) |
| Power Automate | プレミアム | 以下を除くすべての Power Automate 地域 : - US Government (GCC) - US Government (GCC High) - 21 Vianet が運用する中国のクラウド - 米国国防総省 (DoD) |
| Power Apps | プレミアム | 以下を除くすべての Power Apps 地域 : - US Government (GCC) - US Government (GCC High) - 21 Vianet が運用する中国のクラウド - 米国国防総省 (DoD) |
| 連絡先 | |
|---|---|
| 件名 | マイクロソフト |
| [URL] | Microsoft LogicApps サポート Microsoft Power Automate サポート Microsoft Power Apps サポート |
| メール | sipsisgdev@microsoft.com |
| Connector Metadata | |
|---|---|
| 発行者 | マイクロソフト |
| Web サイト | https://www.microsoft.com/security/business/graph-security-api |
Microsoft Graph Security コネクタで接続するための前提条件
Microsoft Graph Security API の詳細情報を参照してください。
Microsoft Graph Security コネクタ アクションを使用するには、繰り返しトリガーなどのトリガーから開始します。
Microsoft Graph Security コネクタを使用するには、Microsoft Graph Security 認証要件 の一部として、Microsoft Entra ID テナント管理者の同意を提供する必要があります。
Microsoft Graph Security コネクタのアプリケーション ID と名前 (https://portal.azure.com) の Microsoft Entra ID の場合は、Microsoft Entra ID 管理者の同意は以下です。
- アプリケーション名 - MicrosoftGraphSecurityConnector
- アプリケーション ID - c4829704-0edc-4c3d-a347-7c4a67586f3c
- テナント管理者は、上記のアプリケーションに記載されている Microsoft Entra ID アプリケーションのテナント管理者の同意の付与 の手順に従うか、アプリケーションの同意エクスペリエンス に従って、Microsoft Graph Security コネクタを使用してワークフローの最初の実行時にアクセス許可を付与できます。
これで、Microsoft Graph Security コネクタを使用する準備ができました!
コネクタの詳細
コネクタの詳細については、詳細セクション を参照してください。
調整制限
| 名前 | 呼び出し | 更新期間 |
|---|---|---|
| 接続ごとの API 呼び出し | 100 | 60 秒 |
アクション
|
ID で ti |
指定された ID に対応する脅威インテリジェンス インジケーターを取得します。 |
| ID でアラートを取得する |
指定された ID に対応するセキュリティ アラートを取得します。 |
|
ID で複数の ti |
指定された ID に対応する複数の脅威インテリジェンス インジケーターを削除します。 |
|
IDで ti |
指定された ID に対応する脅威インテリジェンス インジケーターを削除します。 |
|
ti |
tiIndicators コレクションに投稿して、新しい脅威インテリジェンス インジケーターを作成します。 |
|
ti |
複数の脅威インテリジェンス インジケーターの特定のプロパティを更新します。 tiIndicator の必須フィールドは、Id、expirationDateTime、および targetProduct です。 |
|
ti |
Microsoft Entra ID テナントの脅威インテリジェンス インジケーターのリストを取得します。 さまざまなクエリ パラメーターで使用します。 |
| アクティブ サブスクリプションを取得する |
Microsoft Entra ID テナントの有効期限が切れていないサブスクリプションのリストを取得します。 |
| アラートを取得する |
Microsoft Entra ID テナントのセキュリティ アラートのリストを取得します。 さまざまなクエリ パラメーターで使用します。 |
| アラートを更新する |
セキュリティ アラートの特定のプロパティを更新します。 |
| サブスクリプションを作成する |
Microsoft Graph webhook サブスクリプションを作成します。 |
| サブスクリプションを削除する |
特定の Microsoft Graph Webhook サブスクリプションを削除します。 |
| サブスクリプションを更新 |
Microsoft Graph Webhook サブスクリプションの有効期限を更新して延長してください。 |
|
外部 ID で複数の ti |
指定された外部 ID に対応する複数の脅威インテリジェンス インジケーターを削除します。 |
|
複数の ti |
複数の脅威インテリジェンス インジケーターの特定のプロパティを更新します。 各 tiIndicator の必須フィールドは、Id、expirationDateTime、および targetProduct です。 |
|
複数の ti |
tiIndicators コレクションを投稿して、新しい脅威インテリジェンス インジケーターを作成します。 各 tiIndicator の必須フィールドは、action、azureTenantId、description、expirationDateTime、targetProduct、threatType、tlpLevel です。 |
ID で tiIndicator を取得する
指定された ID に対応する脅威インテリジェンス インジケーターを取得します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
脅威インテリジェンス インジケーター ID を指定する |
戻り値
単一の TiIndicator エンティティが返された
- TiIndicator
- TiIndicator
ID でアラートを取得する
指定された ID に対応するセキュリティ アラートを取得します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
アラート ID
|
alert-id | True | string |
アラート ID を指定します。 |
戻り値
単一のアラート エンティティが返された
- Alert
- Alert
ID で複数の tiIndicator を削除する
指定された ID に対応する複数の脅威インテリジェンス インジケーターを削除します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
値
|
value | array of string |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
値
|
value | array of object | |
|
コード
|
value.code | integer |
結果コード |
|
メッセージ
|
value.message | string |
メッセージ |
|
subcode
|
value.subcode | integer |
結果サブ コード |
IDで tiIndicator を削除する
指定された ID に対応する脅威インテリジェンス インジケーターを削除します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
脅威インテリジェンス インジケーター ID を指定する |
tiIndicator を作成する
tiIndicators コレクションに投稿して、新しい脅威インテリジェンス インジケーターを作成します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
操作
|
action | True | string |
targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (unknown、allow、block、alert)。 |
|
活動グループ名
|
activityGroupNames | array of string |
脅威インジケーターの対象となる悪意のある活動の責任者のサイバー脅威インテリジェンス名。 |
|
|
追加情報
|
additionalInformation | string |
他の tiIndicator プロパティでカバーされていないインジケーターからの追加データが配置される場合がある |
|
|
Azure テナント ID
|
azureTenantId | string |
送信クライアントの Microsoft Entra ID テナント。 |
|
|
信頼度
|
confidence | integer |
検出ロジックの信頼度 (0 〜 100 の パーセンテージ)。 |
|
|
内容
|
description | True | string |
TiIndicator の説明 (100 文字以下)。 |
|
ダイヤモンド モデル
|
diamondModel | string |
このインジケーターが存在するダイヤモンド モデルの領域。 値: (unknown、adversary、capability、infrastructure、victim)。 |
|
|
有効期限
|
expirationDateTime | True | date-time |
インジケーターの有効期限が切れる時刻 (UTC)。 |
|
外部 ID
|
externalId | string |
インジケーターをインジケーター プロバイダーのシステムに結び付ける識別番号 (例: 外部キー)。 |
|
|
取り込み日時
|
ingestedDateTime | date-time |
インジケーターが取り込まれる時刻です (UTC)。 |
|
|
アクティブかどうか
|
isActive | boolean |
既定では、送信されたインジケーターはすべてアクティブとして設定されます。 ただし、プロバイダーは、これを「False」に設定して既存のインジケーターを送信し、システムのインジケーターを非アクティブ化することができます。 |
|
|
キル チェーン
|
killChain | array of string |
このインジケーターがターゲットとするキル チェーン上のポイントを説明する文字列。 値: (Actions、C2、Delivery、Exploitation、Installation、Reconnaissance、Weaponization)。 |
|
|
既知の誤検知
|
knownFalsePositives | string |
インジケーターが誤検知を引き起こす可能性があるシナリオ。 |
|
|
最終報告日時
|
lastReportedDateTime | date-time |
インジケーターが最後に表示された時刻です (UTC)。 |
|
|
マルウェアの家族名
|
malwareFamilyNames | array of string |
インジケーターに関連付けられているマルウェアの家族名 (存在する場合)。 |
|
|
パッシブのみ
|
passiveOnly | boolean |
インジケーターがエンドユーザーに表示されるイベントをトリガーするかどうかを決定します。 |
|
|
重要度
|
severity | integer |
インジケーター内のデータによって識別される悪意のある動作の重要度。 値は 0 〜 5 で、5 が最も重大です。 既定値は 3 です。 |
|
|
タグ
|
tags | array of string | ||
|
対象製品
|
targetProduct | True | string |
インジケーターを適用する必要のある単一のセキュリティ製品。 許容値は、Azure Sentinel、Microsoft Defender ATP です。 |
|
脅威の種類
|
threatType | string |
各インジケーターには、有効なインジケーター脅威の種類が必要です。 指定できる値は、Botnet、C2、CryptoMining、Darknet、DDoS、MaliciousUrl、Malware、Phishing、Proxy、PUA、WatchList です。 |
|
|
Tlp レベル
|
tlpLevel | string |
インジケータの Traffic Light Protocol 値。 指定できる値: unknown、white、green、amber、red。 |
|
|
メールのエンコード
|
emailEncoding | string |
メールで使用されるテキスト エンコードの種類。 |
|
|
メールの言語
|
emailLanguage | string |
メールの言語。 |
|
|
メール受信者
|
emailRecipient | string |
受信者メール アドレス。 |
|
|
メール送信者アドレス
|
emailSenderAddress | string |
攻撃者|犠牲者のメール アドレス。 |
|
|
メール送信者名
|
emailSenderName | string |
攻撃者|被害者の表示名。 |
|
|
メール ソース ドメイン
|
emailSourceDomain | string |
メールで使用されているドメイン。 |
|
|
メール ソース IP アドレス
|
emailSourceIpAddress | string |
メールのソース IP アドレス。 |
|
|
メールの件名
|
emailSubject | string |
メールの件名行。 |
|
|
メール XMailer
|
emailXMailer | string |
メールで使用される X-Mailer 値。 |
|
|
ファイル コンパイル日時
|
fileCompileDateTime | date-time |
ファイルがコンパイルされた DateTime。 |
|
|
ファイル作成日時
|
fileCreatedDateTime | date-time |
ファイルが作成された DateTime。 |
|
|
ファイル ハッシュの種類
|
fileHashType | string |
fileHashValue に格納されているハッシュの種類。 指定できる値は、unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph です。 |
|
|
ファイル ハッシュ値
|
fileHashValue | string |
ファイル ハッシュ値。 |
|
|
ファイル ミューテックス名
|
fileMutexName | string |
ファイル ベースの検出で使用されるミューテックス名。 |
|
|
ファイル名
|
fileName | string |
インジケーターがファイル ベースの場合のファイルの名前。 |
|
|
ファイル パッカー
|
filePacker | string |
問題のファイルをビルドするために使用されたパッカー。 |
|
|
ファイル パス
|
filePath | string |
侵害を示すファイルのパス。 Windows または *nix スタイルのパスである可能性があります。 |
|
|
ファイル サイズ
|
fileSize | integer |
ファイルのサイズ (バイト数)。 |
|
|
ファイルの種類
|
fileType | string |
ファイルの種類のテキスト説明。 たとえば、「Word 文書」や「バイナリ」などです。 |
|
|
ドメイン名
|
domainName | string |
このインジケーターに関連付けられているドメイン名。 |
|
|
ネットワーク CIDR ブロック
|
networkCidrBlock | string |
このインジケーターで参照されるネットワークの CIDR ブロック表記表現。 |
|
|
ネットワーク宛先 Asn
|
networkDestinationAsn | integer |
インジケーターで参照されているネットワークの宛先自律システム識別子。 |
|
|
ネットワーク宛先 CIDR ブロック
|
networkDestinationCidrBlock | string |
このインジケーターの宛先ネットワークの CIDR ブロック表記表現。 |
|
|
ネットワーク宛先 IPv4
|
networkDestinationIPv4 | string |
IPv4 IP アドレスの宛先。 |
|
|
ネットワーク宛先 IPv6
|
networkDestinationIPv6 | string |
IPv6 IP アドレスの宛先。 |
|
|
ネットワーク宛先ポート
|
networkDestinationPort | integer |
TCP ポート先。 |
|
|
ネットワーク IPv4
|
networkIPv4 | string |
IPv4 IP アドレス。 |
|
|
ネットワーク IPv6
|
networkIPv6 | string |
IPv6 IP アドレス。 |
|
|
ネットワーク ポート
|
networkPort | integer |
TCP ポート。 |
|
|
ネットワーク プロトコル
|
networkProtocol | integer |
IPv4 ヘッダーのプロトコル フィールドの 10 進数表現。 |
|
|
ネットワーク ソース Asn
|
networkSourceAsn | integer |
インジケーターで参照されているネットワークのソース自律システム識別子。 |
|
|
ネットワーク ソース CIDR ブロック
|
networkSourceCidrBlock | string |
このインジケーターのソース ネットワークの CIDR ブロック表記表現。 |
|
|
ネットワーク ソース IPv4
|
networkSourceIPv4 | string |
IPv4 IP アドレス ソース。 |
|
|
ネットワーク宛先 IPv6
|
networkSourceIPv6 | string |
IPv6 IP アドレス ソース。 |
|
|
ネットワーク ソース ポート
|
networkSourcePort | integer |
TCP ポート ソース。 |
|
|
URL
|
url | string |
Uniform Resource Locator。 |
|
|
ユーザー エージェント
|
userAgent | string |
侵害を示す可能性のある Web 要求からのユーザー エージェント文字列。 |
戻り値
単一の TiIndicator エンティティが返された
- TiIndicator
- TiIndicator
tiIndicator を更新する
複数の脅威インテリジェンス インジケーターの特定のプロパティを更新します。 tiIndicator の必須フィールドは、Id、expirationDateTime、および targetProduct です。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
脅威インテリジェンス インジケーター ID を指定します。 |
|
操作
|
action | string |
targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (unknown、allow、block、alert)。 |
|
|
活動グループ名
|
activityGroupNames | array of string |
脅威インジケーターの対象となる悪意のある活動の責任者のサイバー脅威インテリジェンス名。 |
|
|
追加情報
|
additionalInformation | string |
他の tiIndicator プロパティでカバーされていないインジケーターからの追加データが配置される場合がある |
|
|
信頼度
|
confidence | integer |
検出ロジックの信頼度 (0 〜 100 の パーセンテージ)。 |
|
|
内容
|
description | string |
TiIndicator の説明 (100 文字以下)。 |
|
|
ダイヤモンド モデル
|
diamondModel | string |
このインジケーターが存在するダイヤモンド モデルの領域。 値: (unknown、adversary、capability、infrastructure、victim)。 |
|
|
有効期限
|
expirationDateTime | True | date-time |
インジケーターの有効期限が切れる時刻 (UTC 形式。 例: 2020-03-01T00:00:00Z)。 |
|
外部 ID
|
externalId | string |
インジケーターをインジケーター プロバイダーのシステムに結び付ける識別番号 (例: 外部キー)。 |
|
|
アクティブかどうか
|
isActive | boolean |
既定では、送信されたインジケーターはすべてアクティブとして設定されます。 ただし、プロバイダーは、これを「False」に設定して既存のインジケーターを送信し、システムのインジケーターを非アクティブ化することができます。 |
|
|
キル チェーン
|
killChain | array of string |
このインジケーターがターゲットとするキル チェーン上のポイントを説明する文字列。 値: (Actions、C2、Delivery、Exploitation、Installation、Reconnaissance、Weaponization)。 |
|
|
既知の誤検知
|
knownFalsePositives | string |
インジケーターが誤検知を引き起こす可能性があるシナリオ。 |
|
|
最終報告日時
|
lastReportedDateTime | date-time |
インジケーターが最後に表示された時刻です (UTC)。 |
|
|
マルウェアの家族名
|
malwareFamilyNames | array of string |
インジケーターに関連付けられているマルウェアの家族名 (存在する場合)。 |
|
|
パッシブのみ
|
passiveOnly | boolean |
インジケーターがエンドユーザーに表示されるイベントをトリガーするかどうかを決定します。 |
|
|
重要度
|
severity | integer |
インジケーター内のデータによって識別される悪意のある動作の重要度。 値は 0 〜 5 で、5 が最も重大です。 既定値は 3 です。 |
|
|
タグ
|
tags | array of string | ||
|
Tlp レベル
|
tlpLevel | string |
インジケータの Traffic Light Protocol 値。 指定できる値: unknown、white、green、amber、red。 |
|
|
対象製品
|
targetProduct | True | string |
インジケーターを適用する必要のある単一のセキュリティ製品。 許容値は、Azure Sentinel、Microsoft Defender ATP です。 |
tiIndicators を取得する
Microsoft Entra ID テナントの脅威インテリジェンス インジケーターのリストを取得します。 さまざまなクエリ パラメーターで使用します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
フィルター tiIndicators
|
$filter | string |
threatType eq 'WatchList' などの脅威インテリジェンス インジケーターのフィルター条件を指定する |
|
|
トップ tiIndicators
|
$top | integer |
取得する脅威インテリジェンス インジケーターの最新の上位数を指定する |
|
|
tiIndicator プロパティを選択する
|
$select | string |
結果に含める脅威インテリジェンス インジケーター プロパティを指定します。 |
|
|
返された tiIndicators の数を含める
|
$count | string |
応答に返された脅威インテリジェンス インジケーターの数を含めるように指定する |
|
|
「n」の結果をスキップする
|
$skip | integer |
スキップする結果の数を指定します。 改ページに役立ちます。 |
|
|
並べ替え順
|
$orderby | string |
結果の並べ替え順を指定します。 |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
TiIndicator 数
|
@odata.count | integer |
返された TiIndicator の数 |
|
TiIndicators
|
value | array of TiIndicator |
返された TiIndicator |
|
次のリンク
|
@odata.nextLink | string |
要求したよりも多くの結果がある場合に次の結果を取得するためのリンク |
アクティブ サブスクリプションを取得する
Microsoft Entra ID テナントの有効期限が切れていないサブスクリプションのリストを取得します。
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
既存のサブスクリプション数
|
@odata.count | integer |
返されたサブスクリプションの数 |
|
サブスクリプション
|
value | array of Subscription |
返されたサブスクリプション エンティティ |
|
次のリンク
|
@odata.nextLink | string |
要求したよりも多くの結果がある場合に次の結果を取得するためのリンク |
アラートを取得する
Microsoft Entra ID テナントのセキュリティ アラートのリストを取得します。 さまざまなクエリ パラメーターで使用します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
アラートのフィルタリング
|
$filter | string |
Severity eq "High" などのアラートのフィルター条件を指定します。 |
|
|
トップ アラート
|
$top | integer |
各プロバイダーから取得するアラートの最新の上位数を指定します。 |
|
|
アラート プロパティを選択する
|
$select | string |
結果に含めるアラート プロパティを指定します。 |
|
|
並べ替え順
|
$orderby | string |
結果の並べ替え順を指定します。 |
|
|
「n」の結果をスキップする
|
$skip | integer |
スキップする結果の数を指定します。 改ページに役立ちます。 |
|
|
返されたアラートの数を含める
|
$count | string |
応答に返されたアラートの数を含めるように指定します |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
アラート数
|
@odata.count | integer |
返されたアラートの数 |
|
アラート
|
value | array of Alert |
返されたアラートの数 |
|
次のリンク
|
@odata.nextLink | string |
要求したよりも多くの結果がある場合に次の結果を取得するためのリンク |
アラートを更新する
セキュリティ アラートの特定のプロパティを更新します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
アラート ID
|
alert-id | True | string |
アラート ID を指定します。 |
|
割り当て先
|
assignedTo | string |
トリアージ、調査、または修復のためにアラートが割り当てられている通知アラートの名前を指定します。 |
|
|
クローズ dateTime
|
closedDateTime | string |
アラートが閉じられた時刻を指定します。 このタイムスタンプの種類は、日時の情報を ISO 8601 形式で表し、常に UTC 時間です。 |
|
|
comments
|
comments | array of string |
Comments |
|
|
Tags
|
tags | array of string |
通知に適用してフィルター条件として機能するユーザー定義可能なラベル (例: "HVA"、"SAW") を指定します。 |
|
|
Feedback
|
feedback | string |
アラートに関するアナリストのフィードバックを指定します。 |
|
|
Status
|
status | string |
ステータスを指定して、アラートのライフサイクル ステータス (ステージ) を追跡します。 |
|
|
プロバイダー名
|
provider | True | string |
特定のプロバイダー (製品/サービス - ベンダーの会社ではありません); たとえば、WindowsDefenderATP。 |
|
プロバイダー バージョン
|
providerVersion | string |
アラートを生成したプロバイダーまたはサブプロバイダー (存在する場合) のバージョンを指定します。 |
|
|
サブ プロバイダー名
|
subProvider | string |
特定のサブプロバイダー (集約プロバイダーの下); たとえば、WindowsDefenderATP.SmartScreen。 |
|
|
ベンダー名
|
vendor | True | string |
アラート ベンダーの名前を指定します (たとえば、Microsoft、Dell、FireEye)。 |
サブスクリプションを作成する
Microsoft Graph webhook サブスクリプションを作成します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
リソース URL
|
resource | True | string |
変更を監視するリソースを指定します。 基本 URL (https://graph.microsoft.com/v1.0/) を組み込みません。 セキュリティ/アラートの後に odata クエリを含めます。 たとえば、security/alerts?$filter=status eq �New� |
|
種類の変更
|
changeType | True | string |
サブスクライブされたリソースで変更されたときに通知を生成するプロパティの種類を指定します。 |
|
クライアントの状態
|
clientState | string |
クライアントの状態を指定して、通知の発信元を確認します。 |
|
|
通知 URL
|
notificationUrl | True | string |
通知を受信するエンドポイントの URL を正しい形式で指定します。 |
|
有効期限
|
expirationDateTime | True | date-time |
webhook サブスクリプションの有効期限が切れる日時を指定します。現在の時刻よりも大きく、30 日以内の日時である必要があります。 |
戻り値
1 つのサブスクリプション エンティティが返されました
- サブスクリプション
- Subscription
サブスクリプションを削除する
特定の Microsoft Graph Webhook サブスクリプションを削除します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID
|
Subscription Id | True | string |
Microsoft Graph Webhook サブスクリプション ID を指定します。 |
サブスクリプションを更新
Microsoft Graph Webhook サブスクリプションの有効期限を更新して延長してください。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
サブスクリプション ID
|
Subscription Id | True | string |
Microsoft Graph Webhook サブスクリプション ID を指定します。 |
|
有効期限
|
expirationDateTime | string |
Microsoft Graph Webhook サブスクリプションの有効期限が切れる日時を UTC 形式で指定します。 セキュリティ アラートの最大有効期限は 43200 分 (30 日未満) です。 |
戻り値
1 つのサブスクリプション エンティティが返されました
- サブスクリプション
- Subscription
外部 ID で複数の tiIndicator を削除する
指定された外部 ID に対応する複数の脅威インテリジェンス インジケーターを削除します。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
値
|
value | array of string |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
値
|
value | array of object | |
|
コード
|
value.code | integer |
結果コード |
|
メッセージ
|
value.message | string |
メッセージ |
|
subcode
|
value.subcode | integer |
結果サブ コード |
複数の tiIndicators を更新する
複数の脅威インテリジェンス インジケーターの特定のプロパティを更新します。 各 tiIndicator の必須フィールドは、Id、expirationDateTime、および targetProduct です。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
ID
|
id | True | string |
TiIndicator-id |
|
操作
|
action | string |
targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (unknown、allow、block、alert)。 |
|
|
活動グループ名
|
activityGroupNames | array of string |
脅威インジケーターの対象となる悪意のある活動の責任者のサイバー脅威インテリジェンス名。 |
|
|
追加情報
|
additionalInformation | string |
他の tiIndicator プロパティでカバーされていないインジケーターからの追加データが配置される場合がある |
|
|
信頼度
|
confidence | integer |
検出ロジックの信頼度 (0 〜 100 の パーセンテージ)。 |
|
|
内容
|
description | string |
TiIndicator の説明 (100 文字以下)。 |
|
|
ダイヤモンド モデル
|
diamondModel | string |
このインジケーターが存在するダイヤモンド モデルの領域。 値: (unknown、adversary、capability、infrastructure、victim)。 |
|
|
有効期限
|
expirationDateTime | True | date-time |
インジケーターの有効期限が切れる時刻 (UTC)。 |
|
対象製品
|
targetProduct | True | string |
インジケーターを適用する必要のある単一のセキュリティ製品。 許容値は、Azure Sentinel、Microsoft Defender ATP です。 |
|
外部 ID
|
externalId | string |
インジケーターをインジケーター プロバイダーのシステムに結び付ける識別番号 (例: 外部キー)。 |
|
|
アクティブかどうか
|
isActive | boolean |
既定では、送信されたインジケーターはすべてアクティブとして設定されます。 ただし、プロバイダーは、これを「False」に設定して既存のインジケーターを送信し、システムのインジケーターを非アクティブ化することができます。 |
|
|
キル チェーン
|
killChain | array of string |
このインジケーターがターゲットとするキル チェーン上のポイントを説明する文字列。 値: (Actions、C2、Delivery、Exploitation、Installation、Reconnaissance、Weaponization)。 |
|
|
既知の誤検知
|
knownFalsePositives | string |
インジケーターが誤検知を引き起こす可能性があるシナリオ。 |
|
|
最終報告日時
|
lastReportedDateTime | date-time |
インジケーターが最後に表示された時刻です (UTC)。 |
|
|
マルウェアの家族名
|
malwareFamilyNames | array of string |
インジケーターに関連付けられているマルウェアの家族名 (存在する場合)。 |
|
|
パッシブのみ
|
passiveOnly | boolean |
インジケーターがエンドユーザーに表示されるイベントをトリガーするかどうかを決定します。 |
|
|
重要度
|
severity | integer |
インジケーター内のデータによって識別される悪意のある動作の重要度。 値は 0 〜 5 で、5 が最も重大です。 既定値は 3 です。 |
|
|
タグ
|
tags | array of string | ||
|
Tlp レベル
|
tlpLevel | string |
インジケータの Traffic Light Protocol 値。 指定できる値: unknown、white、green、amber、red。 |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
TiIndicators
|
value | array of TiIndicator |
更新された TiIndicators |
複数の tiIndicators を送信する
tiIndicators コレクションを投稿して、新しい脅威インテリジェンス インジケーターを作成します。 各 tiIndicator の必須フィールドは、action、azureTenantId、description、expirationDateTime、targetProduct、threatType、tlpLevel です。
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
操作
|
action | True | string |
targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (unknown、allow、block、alert)。 |
|
活動グループ名
|
activityGroupNames | array of string |
脅威インジケーターの対象となる悪意のある活動の責任者のサイバー脅威インテリジェンス名。 |
|
|
追加情報
|
additionalInformation | string |
他の tiIndicator プロパティでカバーされていないインジケーターからの追加データが配置される場合がある |
|
|
Azure テナント ID
|
azureTenantId | string |
送信クライアントの Microsoft Entra ID テナント。 |
|
|
信頼度
|
confidence | integer |
検出ロジックの信頼度 (0 〜 100 の パーセンテージ)。 |
|
|
内容
|
description | True | string |
TiIndicator の説明 (100 文字以下)。 |
|
ダイヤモンド モデル
|
diamondModel | string |
このインジケーターが存在するダイヤモンド モデルの領域。 値: (unknown、adversary、capability、infrastructure、victim)。 |
|
|
有効期限
|
expirationDateTime | True | date-time |
インジケーターの有効期限が切れる時刻 (UTC)。 |
|
外部 ID
|
externalId | string |
インジケーターをインジケーター プロバイダーのシステムに結び付ける識別番号 (例: 外部キー)。 |
|
|
取り込み日時
|
ingestedDateTime | date-time |
インジケーターが取り込まれる時刻です (UTC)。 |
|
|
アクティブかどうか
|
isActive | boolean |
既定では、送信されたインジケーターはすべてアクティブとして設定されます。 ただし、プロバイダーは、これを「False」に設定して既存のインジケーターを送信し、システムのインジケーターを非アクティブ化することができます。 |
|
|
キル チェーン
|
killChain | array of string |
このインジケーターがターゲットとするキル チェーン上のポイントを説明する文字列。 値: (Actions、C2、Delivery、Exploitation、Installation、Reconnaissance、Weaponization)。 |
|
|
既知の誤検知
|
knownFalsePositives | string |
インジケーターが誤検知を引き起こす可能性があるシナリオ。 |
|
|
最終報告日時
|
lastReportedDateTime | date-time |
インジケーターが最後に表示された時刻です (UTC)。 |
|
|
マルウェアの家族名
|
malwareFamilyNames | array of string |
インジケーターに関連付けられているマルウェアの家族名 (存在する場合)。 |
|
|
パッシブのみ
|
passiveOnly | boolean |
インジケーターがエンドユーザーに表示されるイベントをトリガーするかどうかを決定します。 |
|
|
重要度
|
severity | integer |
インジケーター内のデータによって識別される悪意のある動作の重要度。 値は 0 〜 5 で、5 が最も重大です。 既定値は 3 です。 |
|
|
タグ
|
tags | array of string | ||
|
対象製品
|
targetProduct | True | string |
インジケーターを適用する必要のある単一のセキュリティ製品。 許容値は、Azure Sentinel、Microsoft Defender ATP です。 |
|
脅威の種類
|
threatType | string |
各インジケーターには、有効なインジケーター脅威の種類が必要です。 指定できる値は、Botnet、C2、CryptoMining、Darknet、DDoS、MaliciousUrl、Malware、Phishing、Proxy、PUA、WatchList です。 |
|
|
Tlp レベル
|
tlpLevel | string |
インジケータの Traffic Light Protocol 値。 指定できる値: unknown、white、green、amber、red。 |
|
|
メールのエンコード
|
emailEncoding | string |
メールで使用されるテキスト エンコードの種類。 |
|
|
メールの言語
|
emailLanguage | string |
メールの言語。 |
|
|
メール受信者
|
emailRecipient | string |
受信者メール アドレス。 |
|
|
メール送信者アドレス
|
emailSenderAddress | string |
攻撃者|犠牲者のメール アドレス。 |
|
|
メール送信者名
|
emailSenderName | string |
攻撃者|被害者の表示名。 |
|
|
メール ソース ドメイン
|
emailSourceDomain | string |
メールで使用されているドメイン。 |
|
|
メール ソース IP アドレス
|
emailSourceIpAddress | string |
メールのソース IP アドレス。 |
|
|
メールの件名
|
emailSubject | string |
メールの件名行。 |
|
|
メール XMailer
|
emailXMailer | string |
メールで使用される X-Mailer 値。 |
|
|
ファイル コンパイル日時
|
fileCompileDateTime | date-time |
ファイルがコンパイルされた DateTime。 |
|
|
ファイル作成日時
|
fileCreatedDateTime | date-time |
ファイルが作成された DateTime。 |
|
|
ファイル ハッシュの種類
|
fileHashType | string |
fileHashValue に格納されているハッシュの種類。 指定できる値は、unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph です。 |
|
|
ファイル ハッシュ値
|
fileHashValue | string |
ファイル ハッシュ値。 |
|
|
ファイル ミューテックス名
|
fileMutexName | string |
ファイル ベースの検出で使用されるミューテックス名。 |
|
|
ファイル名
|
fileName | string |
インジケーターがファイル ベースの場合のファイルの名前。 |
|
|
ファイル パッカー
|
filePacker | string |
問題のファイルをビルドするために使用されたパッカー。 |
|
|
ファイル パス
|
filePath | string |
侵害を示すファイルのパス。 Windows または *nix スタイルのパスである可能性があります。 |
|
|
ファイル サイズ
|
fileSize | integer |
ファイルのサイズ (バイト数)。 |
|
|
ファイルの種類
|
fileType | string |
ファイルの種類のテキスト説明。 たとえば、「Word 文書」や「バイナリ」などです。 |
|
|
ドメイン名
|
domainName | string |
このインジケーターに関連付けられているドメイン名。 |
|
|
ネットワーク CIDR ブロック
|
networkCidrBlock | string |
このインジケーターで参照されるネットワークの CIDR ブロック表記表現。 |
|
|
ネットワーク宛先 Asn
|
networkDestinationAsn | integer |
インジケーターで参照されているネットワークの宛先自律システム識別子。 |
|
|
ネットワーク宛先 CIDR ブロック
|
networkDestinationCidrBlock | string |
このインジケーターの宛先ネットワークの CIDR ブロック表記表現。 |
|
|
ネットワーク宛先 IPv4
|
networkDestinationIPv4 | string |
IPv4 IP アドレスの宛先。 |
|
|
ネットワーク宛先 IPv6
|
networkDestinationIPv6 | string |
IPv6 IP アドレスの宛先。 |
|
|
ネットワーク宛先ポート
|
networkDestinationPort | integer |
TCP ポート先。 |
|
|
ネットワーク IPv4
|
networkIPv4 | string |
IPv4 IP アドレス。 |
|
|
ネットワーク IPv6
|
networkIPv6 | string |
IPv6 IP アドレス。 |
|
|
ネットワーク ポート
|
networkPort | integer |
TCP ポート。 |
|
|
ネットワーク プロトコル
|
networkProtocol | integer |
IPv4 ヘッダーのプロトコル フィールドの 10 進数表現。 |
|
|
ネットワーク ソース Asn
|
networkSourceAsn | integer |
インジケーターで参照されているネットワークのソース自律システム識別子。 |
|
|
ネットワーク ソース CIDR ブロック
|
networkSourceCidrBlock | string |
このインジケーターのソース ネットワークの CIDR ブロック表記表現。 |
|
|
ネットワーク ソース IPv4
|
networkSourceIPv4 | string |
IPv4 IP アドレス ソース。 |
|
|
ネットワーク宛先 IPv6
|
networkSourceIPv6 | string |
IPv6 IP アドレス ソース。 |
|
|
ネットワーク ソース ポート
|
networkSourcePort | integer |
TCP ポート ソース。 |
|
|
URL
|
url | string |
Uniform Resource Locator。 |
|
|
ユーザー エージェント
|
userAgent | string |
侵害を示す可能性のある Web 要求からのユーザー エージェント文字列。 |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
TiIndicators
|
value | array of TiIndicator |
送信された TiIndicators |
トリガー
| すべての新しいアラートについて |
すべての新しいアラートでトリガーする |
| 新しい重大度アラートについて |
新しい重大度アラートでトリガーする |
すべての新しいアラートについて
すべての新しいアラートでトリガーする
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
アラート数
|
@odata.count | integer |
返されたアラートの数 |
|
アラート
|
value | array of Alert |
返されたアラートの数 |
|
次のリンク
|
@odata.nextLink | string |
要求したよりも多くの結果がある場合に次の結果を取得するためのリンク |
新しい重大度アラートについて
新しい重大度アラートでトリガーする
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
アラート数
|
@odata.count | integer |
返されたアラートの数 |
|
アラート
|
value | array of Alert |
返されたアラートの数 |
|
次のリンク
|
@odata.nextLink | string |
要求したよりも多くの結果がある場合に次の結果を取得するためのリンク |
定義
Alert
単一のアラート エンティティが返された
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
Azure サブスクリプション ID
|
azureSubscriptionId | string |
Azure サブスクリプション ID。このアラートが Azure リソースに関連している場合に表示されます。 |
|
タグ
|
tags | array of string |
アラートに適用でき、フィルター条件として機能できるユーザー定義可能なラベル (例: 「HVA」、「SAW」など)。 |
|
ID
|
id | string |
プロバイダーが生成した GUID/一意識別子。 |
|
Azure テナント ID
|
azureTenantId | string |
Microsoft Entra ID のテナント ID。 |
|
活動グループ名
|
activityGroupName | string |
このアラートの原因となる活動グループ (攻撃者) の名前またはエイリアス。 |
|
割り当て先
|
assignedTo | string |
トリアージ、調査、または修復のためにアラートが割り当てられているアナリストの名前。 |
|
カテゴリ
|
category | string |
アラートのカテゴリ (例: credentialTheft、ランサムウェアなど)。 |
|
クローズ日時
|
closedDateTime | date-time |
アラートが閉じられた時刻 (UTC)。 |
|
コメント
|
comments | array of string |
顧客が提供したアラートに関するコメント (顧客アラート管理)。 |
|
信頼度
|
confidence | integer |
検出ロジックの信頼度 (1 〜 100 の パーセンテージ)。 |
|
作成日時
|
createdDateTime | date-time |
アラートが作成された時刻 (UTC)。 |
|
内容
|
description | string |
アラートの説明。 |
|
検出 ID
|
detectionIds | array of string |
このアラート エンティティに関連するアラートのセット。 |
|
イベント日時
|
eventDateTime | date-time |
アラートを生成するためのトリガーとして機能したイベントが発生した時刻 (UTC)。 |
|
フィードバック
|
feedback | string |
アラートに関するアナリストのフィードバック。 指定できる値: unknown、truePositive、falsePositive、benignPositive。 |
|
最終更新日時
|
lastModifiedDateTime | date-time |
アラート エンティティが最後に修正されたときの時刻 (UTC)。 |
|
推奨されるアクション
|
recommendedActions | array of string |
アラートの結果として実行するベンダー/プロバイダーの推奨アクション (例: コンピューターを隔離、enforce2FA、ホストの再イメージ化など)。 |
|
重要度
|
severity | string |
アラートの重大度 - ベンダー/プロバイダーによって設定されます。 値: (high、medium、low、Informational) 「情報」は、アラートがアクション可能ではないと推測します。 |
|
ソース資料
|
sourceMaterials | array of string |
アラートに関連するソース資料へのハイパーリンク (URI)、(例: プロバイダー調査 UI など)。 |
|
ステータス
|
status | string |
アラート ライフサイクル ステータス (ステージ)。 値: (unknown、newAlert、inProgress、resolved)。 |
|
敬称
|
title | string |
アラートのタイトル。 |
|
プロバイダー名
|
vendorInformation.provider | string |
特定のプロバイダー (製品/サービス - ベンダーの会社ではありません); たとえば、WindowsDefenderATP。 |
|
プロバイダー バージョン
|
vendorInformation.providerVersion | string |
プロバイダーまたはサブプロバイダーのバージョン。 |
|
サブ プロバイダー名
|
vendorInformation.subProvider | string |
特定のサブプロバイダー (集約プロバイダーの下); たとえば、WindowsDefenderATP.SmartScreen。 |
|
ベンダー名
|
vendorInformation.vendor | string |
アラート ベンダーの名前 (たとえば、Microsoft、Dell、FireEye)。 |
|
Cloud App の状態
|
cloudAppStates | array of object |
このアラートに関連するクラウド アプリケーションに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。 |
|
宛先サービス IP
|
cloudAppStates.destinationServiceIp | string |
クラウドアプリ/サービスへの接続の宛先 IP アドレス。 |
|
宛先サービス名
|
cloudAppStates.destinationServiceName | string |
宛先クラウド アプリ/サービス名。 |
|
リスク スコア
|
cloudAppStates.riskScore | string |
クラウド アプリケーション/サービスのプロバイダー生成/計算されたリスク スコア。 |
|
ファイルの状態
|
fileStates | array of object |
このアラートに関連するファイルに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。 |
|
件名
|
fileStates.name | string |
ファイル名 (パスなし)。 |
|
パス
|
fileStates.path | string |
ファイルの完全なファイル パス/imageFile。 |
|
リスク スコア
|
fileStates.riskScore | string |
アラート ファイルのプロバイダー生成/計算されたリスク スコア。 |
|
タイプ
|
fileStates.fileHash.type | string |
ファイル ハッシュの種類。 指定できる値: unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph、peSha1、peSha256。 |
|
値
|
fileStates.fileHash.value | string |
ファイル ハッシュの値。 |
|
ホストの状態
|
hostStates | array of object |
このアラートに関連するホストに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。 |
|
完全修飾ドメイン名 (FQDN)
|
hostStates.fqdn | string |
ホスト FQDN (完全修飾ドメイン FQDN 名)。 |
|
azureAd が参加していますか
|
hostStates.isAzureAdJoined | boolean |
ホストが Microsoft Entra ID ドメイン サービスに参加している場合は True。 |
|
azureAd は登録されていますか
|
hostStates.isAzureAdRegistered | boolean |
ホストが Microsoft Entra ID デバイス登録 (例: BYOD) で登録されている場合は True - エンタープライズによって完全に管理されていません。 |
|
ハイブリッド Azure ドメインが参加していますか
|
hostStates.isHybridAzureDomainJoined | boolean |
ホストがオンプレミスの Microsoft Entra ID ドメインにドメイン参加している場合は True。 |
|
ネット バイオス名
|
hostStates.netBiosName | string |
DNS ドメイン名のないローカル ホスト名。 |
|
オペレーティング システム名
|
hostStates.os | string |
ホスト オペレーティング システム。 |
|
プライベート IP アドレス
|
hostStates.privateIpAddress | string |
アラート時のプライベート (ルーティング不可) IPv4 または IPv6 アドレス。 |
|
パブリック IP アドレス
|
hostStates.publicIpAddress | string |
アラート時の公開ルーティング可能な IPv4 または IPv6 アドレス。 |
|
リスク スコア
|
hostStates.riskScore | string |
ホストのプロバイダー生成/計算されたリスク スコア。 |
|
マルウェアの状態
|
malwareStates | array of object |
このアラートに関連するマルウェアに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。 |
|
カテゴリ
|
malwareStates.category | string |
プロバイダーが生成したマルウェア カテゴリ (例: トロイ、ランサムウェアなど)。 |
|
家族
|
malwareStates.family | string |
プロバイダーが生成したマルウェア家族 (例: 「wannacry」、「notpetya」など)。 |
|
件名
|
malwareStates.name | string |
プロバイダーが生成したマルウェアのバリアント名 (例: Trojan:Win32/Powessere.H)。 |
|
重要度
|
malwareStates.severity | string |
このマルウェアのプロバイダーが決定した重大度。 |
|
実行していました
|
malwareStates.wasRunning | boolean |
検出されたファイル (マルウェア/脆弱性) が検出時に実行されていたか、ディスク上で保存中に検出されたかを示します。 |
|
ネットワーク接続
|
networkConnections | array of object |
このアラートに関連するファイルに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。 |
|
アプリケーション名
|
networkConnections.applicationName | string |
ネットワーク接続を管理するアプリケーションの名前 (例: Facebook、SMTP など)。 |
|
宛先アドレス
|
networkConnections.destinationAddress | string |
ネットワーク接続の宛先 IP アドレス。 |
|
宛先ドメイン
|
networkConnections.destinationDomain | string |
宛先 URL の宛先ドメイン部分。(例: 「www.contoso.com」)。 |
|
宛先ポート
|
networkConnections.destinationPort | string |
ネットワーク接続の宛先ポート。 |
|
宛先 URL
|
networkConnections.destinationUrl | string |
ネットワーク接続 URL/URI 文字列 - パラメータを除く。 |
|
通信方向
|
networkConnections.direction | string |
ネットワーク接続方向。 指定できる値: unknown、inbound、outbound。 |
|
ドメイン登録 dateTime
|
networkConnections.domainRegisteredDateTime | date-time |
宛先ドメインが登録された日付 (UTC)。 |
|
ローカル DNS 名
|
networkConnections.localDnsName | string |
ホストのローカル DNS キャッシュに表示されるローカル DNS 名解決 (例: 「hosts」ファイルが改ざんされた場合)。 |
|
NAT 宛先アドレス
|
networkConnections.natDestinationAddress | string |
ネットワーク アドレス変換の宛先 IP アドレス。 |
|
NAT 宛先ポート
|
networkConnections.natDestinationPort | string |
ネットワーク アドレス変換の宛先ポート。 |
|
NAT ソース アドレス
|
networkConnections.natSourceAddress | string |
ネットワーク アドレス変換のソース IP アドレス。 |
|
NAT ソース ポート
|
networkConnections.natSourcePort | string |
ネットワーク アドレス変換のソース ポート。 |
|
プロトコル
|
networkConnections.protocol | string |
ネットワーク プロトコル。 指定できる値: unknown、ip、icmp、igmp、ggp、ipv4、tcp、pup、udp、idp、ipv6、ipv6RoutingHeader、ipv6FragmentHeader、 ipSecEncapsulatingSecurityPayload、ipSecAuthenticationHeader、icmpV6、ipv6NoNextHeader、ipv6DestinationOptions、nd、raw、ipx、spx、spxII。 |
|
リスク スコア
|
networkConnections.riskScore | string |
ネットワーク接続のプロバイダー生成/計算されたリスク スコア。 |
|
ソース アドレス
|
networkConnections.sourceAddress | string |
ネットワーク接続のソース (例: 発生元) IP アドレス。 |
|
ソース ポート
|
networkConnections.sourcePort | string |
ネットワーク接続のソース (例: 発生元) IP ポート。 |
|
ステータス
|
networkConnections.status | string |
ネットワーク接続の状態。 指定できる値: unknown、attempted、succeeded、blocked、failed。 |
|
URL パラメーター
|
networkConnections.urlParameters | string |
文字列としての宛先 URL のパラメーター (接尾辞)。 |
|
プロセス
|
processes | array of object |
このアラートに関連するプロセスに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。 |
|
アカウント名
|
processes.accountName | string |
ユーザー アカウント識別子 (プロセスが実行されたユーザー アカウント コンテキスト) (例: AccountName、SID など)。 |
|
コマンド ライン
|
processes.commandLine | string |
すべてのパラメーターを含む完全なプロセス呼び出しコマンドライン。 |
|
作成日時
|
processes.createdDateTime | date-time |
親プロセスが開始された DateTime (UTC)。 |
|
整合性レベル
|
processes.integrityLevel | string |
プロセスの整合性レベル。 指定できる値: unknown、untrusted、low、medium、high、system。 |
|
上昇
|
processes.isElevated | boolean |
プロセスが上昇されている場合は True。 |
|
件名
|
processes.name | string |
プロセスの画像ファイルの名前。 |
|
親プロセスが日時を作成
|
processes.parentProcessCreatedDateTime | date-time |
プロセスが開始された時刻 (UTC)。 |
|
親プロセス ID
|
processes.parentProcessId | integer |
親プロセスのプロセス ID (PID)。 |
|
親プロセス名
|
processes.parentProcessName | string |
親プロセスの画像ファイルの名前。 |
|
パス
|
processes.path | string |
filename 名を含む完全なパス。 |
|
プロセス ID
|
processes.processId | integer |
プロセスのプロセス ID (PID)。 |
|
タイプ
|
processes.fileHash.type | string |
ファイル ハッシュの種類。 指定できる値: unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph、peSha1、peSha256。 |
|
値
|
processes.fileHash.value | string |
ファイル ハッシュの値。 |
|
レジストリ キーの状態
|
registryKeyStates | array of object |
このアラートに関連するレジストリ キーに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。 |
|
プロセス
|
registryKeyStates.process | string |
レジストリ キーを変更したプロセスのプロセスID (PID) (プロセスの詳細はアラート「プロセス」コレクションに表示されます)。 |
|
操作
|
registryKeyStates.operation | string |
レジストリ キーの名前や値を変更した操作 (追加、変更、削除)。 |
|
値の種類
|
registryKeyStates.valueType | string |
レジストリ キーの値の種類。 指定できる値: unknown、binary、dword、dwordLittleEndian、dwordBigEndian、expandSz、link、multiSz、none、qword、qwordlittleEndian、sz。 |
|
レジストリ ハイブ
|
registryKeyStates.hive | string |
Windows レジストリ ハイブ。 指定できる値: unknown、currentConfig、currentUser、localMachineSam、localMachineSamSoftware、localMachineSystem、usersDefault。 |
|
キー
|
registryKeyStates.key | string |
現在の (変更された) レジストリ キー (HIVE を除く)。 |
|
値の名前
|
registryKeyStates.valueName | string |
現在の (変更された) レジストリ キー値の名前。 |
|
値のデータ
|
registryKeyStates.valueData | string |
現在の (変更された) レジストリ キー値のデータ (コンテンツ)。 |
|
古いキー
|
registryKeyStates.oldKey | string |
以前の (変更前の) レジストリ キー (HIVE を除く)。 |
|
古い値の名前
|
registryKeyStates.oldValueName | string |
以前の (変更前の) レジストリ キー値の名前。 |
|
古い値のデータ
|
registryKeyStates.oldValueData | string |
以前の (変更前の) レジストリ キー値のデータ (コンテンツ)。 |
|
トリガー
|
triggers | array of object |
アラートをトリガーした特定のプロパティ (アラートに表示されるプロパティ) に関するセキュリティ関連の情報。 アラートには、複数のユーザー、ホスト、ファイル、IP アドレスに関する情報が含まれる場合があります。 このフィールドは、アラートの生成をトリガーしたプロパティを示します。 |
|
件名
|
triggers.name | string |
検出トリガーとして機能するプロパティの名前。 |
|
タイプ
|
triggers.type | string |
解釈のためのキーと値のペアの属性の種類 (例: String、Boolean など)。 |
|
値
|
triggers.value | string |
検出トリガーとして機能する属性の値。 |
|
ユーザーの状態
|
userStates | array of object |
このアラートに関連するログオン中のユーザーに関してプロバイダーによって生成されたセキュリティ関連のステートフル情報。 |
|
Microsoft Entra ID ユーザー ID
|
userStates.aadUserId | string |
Microsoft Entra ID ユーザー オブジェクト識別子 (GUID) - 物理/複数アカウント ユーザー エンティティを表します。 |
|
アカウント名
|
userStates.accountName | string |
ユーザーアカウントのアカウント名 (Microsoft Entra ID ドメインまたは DNS ドメインなし) - ("mailNickName" とも呼ばれます)。 |
|
ドメイン名
|
userStates.domainName | string |
ユーザー アカウントの Microsoft Entra ID ドメイン �(例: domain\account 形式)。 |
|
メールのロール
|
userStates.emailRole | string |
メール関連のアラートの場合 - ユーザー アカウントのメールのロール。 |
|
VPN
|
userStates.isVpn | boolean |
ユーザーが VPN を通じてログオンしたかどうかを示します。 |
|
ログオン日時
|
userStates.logonDateTime | date-time |
ログオンが発生したときの時刻 (UTC)。 |
|
ログオン ID
|
userStates.logonId | string |
ユーザー サインイン ID。 |
|
ログオン IP
|
userStates.logonIp | string |
発信元のログオン要求の IP アドレス。 |
|
ログオン場所
|
userStates.logonLocation | string |
このユーザーによるユーザー サインイン イベントに関連付けられた場所 (IP アドレス マッピングによる)。 |
|
ログオンの種類
|
userStates.logonType | string |
ユーザー サインインの方法。 指定できる値: unknown、interactive、remoteInteractive、network、batch、service。 |
|
オンプレミスのセキュリティ識別子
|
userStates.onPremisesSecurityIdentifier | string |
ユーザーの Microsoft Entra ID (オンプレミス) セキュリティ識別子 (SID)。 |
|
リスク スコア
|
userStates.riskScore | string |
ユーザー アカウントのプロバイダー生成/計算されたリスク スコア。 |
|
ユーザー アカウントの種類
|
userStates.userAccountType | string |
Windows 定義ごとのユーザー アカウントの種類 (グループ メンバーシップ)。 指定できる値: unknown、standard、power、administrator。 |
|
ユーザー プリンシパル名
|
userStates.userPrincipalName | string |
ユーザー サインイン名 - インターネット形式: @。 |
|
脆弱性の状態
|
vulnerabilityStates | array of object |
このアラートに関連する 1 つ以上の脆弱性に関連する脅威インテリジェンス。 |
|
CVE
|
vulnerabilityStates.cve | string |
脆弱性の一般的な脆弱性と脅威 (CVE)。 |
|
実行していました
|
vulnerabilityStates.wasRunning | boolean |
検出された脆弱性 (ファイル) が検出時に実行されていたか、ディスク上で保存中にファイルが検出されたかを示します。 |
|
重要度
|
vulnerabilityStates.severity | string |
この脆弱性の基本共通脆弱性評価システム (CVSS) 重大度スコア。 |
サブスクリプション
1 つのサブスクリプション エンティティが返されました
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
ID
|
id | string |
サブスクリプションの一意識別子。 |
|
リソース
|
resource | string |
変更を監視するリソースを指定します。 |
|
アプリケーション ID
|
applicationId | string |
サブスクリプションの作成に使用されるアプリケーションの識別子。 |
|
種類の変更
|
changeType | string |
通知を発生させるサブスクライブされたリソースの変更の種類を示します。 |
|
クライアントの状態
|
clientState | string |
各通知でサービスによって送信される clientState プロパティの値を指定します。 最大長は 128 文字です。 クライアントは、サブスクリプションで送信された clientState プロパティの値を、各通知で受信された clientState プロパティの値と比較することにより、通知がサービスから送信されたことを確認できます。 |
|
通知 URL
|
notificationUrl | string |
通知を受信するエンドポイントの URL。 この URL は HTTPS プロトコルを使用する必要があります。 |
|
有効期限
|
expirationDateTime | string |
webhook サブスクリプションの有効期限が切れる日時 (UTC) を指定します。 |
|
作成者 ID
|
creatorId | string |
サブスクリプションを作成したユーザーまたはサービス プリンシパルの識別子。 アプリが委任されたアクセス許可を使用してサブスクリプションを作成した場合、このフィールドには、アプリが代わりに呼び出したサインインしたユーザーの ID が含まれます。 アプリがアプリケーションのアクセス許可を使用している場合、このフィールドには、アプリに対応するサービス プリンシパルの ID が含まれます。 |
TiIndicator
単一の TiIndicator エンティティが返された
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
操作
|
action | string |
targetProduct セキュリティ ツール内からインジケーターが一致した場合に適用するアクション。 値: (unknown、allow、block、alert)。 |
|
活動グループ名
|
activityGroupNames | array of string |
脅威インジケーターの対象となる悪意のある活動の責任者のサイバー脅威インテリジェンス名。 |
|
追加情報
|
additionalInformation | string |
他の tiIndicator プロパティでカバーされていないインジケーターからの追加データが配置される場合がある |
|
Azure テナント ID
|
azureTenantId | string |
送信クライアントの Microsoft Entra ID テナント。 |
|
信頼度
|
confidence | integer |
検出ロジックの信頼度 (0 〜 100 の パーセンテージ)。 |
|
内容
|
description | string |
TiIndicator の説明 (100 文字以下)。 |
|
ダイヤモンド モデル
|
diamondModel | string |
このインジケーターが存在するダイヤモンド モデルの領域。 値: (unknown、adversary、capability、infrastructure、victim)。 |
|
有効期限
|
expirationDateTime | date-time |
インジケーターの有効期限が切れる時刻 (UTC)。 |
|
外部 ID
|
externalId | string |
インジケーターをインジケーター プロバイダーのシステムに結び付ける識別番号 (例: 外部キー)。 |
|
ID
|
id | string |
インジケーターが取り込まれたときにシステムによって作成されます。 生成された GUID/一意識別子。 |
|
取り込み日時
|
ingestedDateTime | date-time |
インジケーターが取り込まれる時刻です (UTC)。 |
|
アクティブかどうか
|
isActive | boolean |
既定では、送信されたインジケーターはすべてアクティブとして設定されます。 ただし、プロバイダーは、これを「False」に設定して既存のインジケーターを送信し、システムのインジケーターを非アクティブ化することができます。 |
|
キル チェーン
|
killChain | array of string |
このインジケーターがターゲットとするキル チェーン上のポイントを説明する文字列。 値: (Actions、C2、Delivery、Exploitation、Installation、Reconnaissance、Weaponization)。 |
|
既知の誤検知
|
knownFalsePositives | string |
インジケーターが誤検知を引き起こす可能性があるシナリオ。 |
|
最終報告日時
|
lastReportedDateTime | date-time |
インジケーターが最後に表示された時刻です (UTC)。 |
|
マルウェアの家族名
|
malwareFamilyNames | array of string |
インジケーターに関連付けられているマルウェアの家族名 (存在する場合)。 |
|
パッシブのみ
|
passiveOnly | boolean |
インジケーターがエンドユーザーに表示されるイベントをトリガーするかどうかを決定します。 |
|
重要度
|
severity | integer |
インジケーター内のデータによって識別される悪意のある動作の重要度。 値は 0 〜 5 で、5 が最も重大です。 既定値は 3 です。 |
|
タグ
|
tags | array of string | |
|
対象製品
|
targetProduct | string |
インジケーターを適用する必要のある単一のセキュリティ製品。 許容値は、Azure Sentinel、Microsoft Defender ATP です。 |
|
脅威の種類
|
threatType | string |
各インジケーターには、有効なインジケーター脅威の種類が必要です。 指定できる値は、Botnet、C2、CryptoMining、Darknet、DDoS、MaliciousUrl、Malware、Phishing、Proxy、PUA、WatchList です。 |
|
Tlp レベル
|
tlpLevel | string |
インジケータの Traffic Light Protocol 値。 指定できる値: unknown、white、green、amber、red。 |
|
メールのエンコード
|
emailEncoding | string |
メールで使用されるテキスト エンコードの種類。 |
|
メールの言語
|
emailLanguage | string |
メールの言語。 |
|
メール受信者
|
emailRecipient | string |
受信者メール アドレス。 |
|
メール送信者アドレス
|
emailSenderAddress | string |
攻撃者|犠牲者のメール アドレス。 |
|
メール送信者名
|
emailSenderName | string |
攻撃者|被害者の表示名。 |
|
メール ソース ドメイン
|
emailSourceDomain | string |
メールで使用されているドメイン。 |
|
メール ソース IP アドレス
|
emailSourceIpAddress | string |
メールのソース IP アドレス。 |
|
メールの件名
|
emailSubject | string |
メールの件名行。 |
|
メール XMailer
|
emailXMailer | string |
メールで使用される X-Mailer 値。 |
|
ファイル コンパイル日時
|
fileCompileDateTime | date-time |
ファイルがコンパイルされた DateTime。 |
|
ファイル作成日時
|
fileCreatedDateTime | date-time |
ファイルが作成された DateTime。 |
|
ファイル ハッシュの種類
|
fileHashType | string |
fileHashValue に格納されているハッシュの種類。 指定できる値は、unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph です。 |
|
ファイル ハッシュ値
|
fileHashValue | string |
ファイル ハッシュ値。 |
|
ファイル ミューテックス名
|
fileMutexName | string |
ファイル ベースの検出で使用されるミューテックス名。 |
|
ファイル名
|
fileName | string |
インジケーターがファイル ベースの場合のファイルの名前。 |
|
ファイル パッカー
|
filePacker | string |
問題のファイルをビルドするために使用されたパッカー。 |
|
ファイル パス
|
filePath | string |
侵害を示すファイルのパス。 Windows または *nix スタイルのパスである可能性があります。 |
|
ファイル サイズ
|
fileSize | integer |
ファイルのサイズ (バイト数)。 |
|
ファイルの種類
|
fileType | string |
ファイルの種類のテキスト説明。 たとえば、「Word 文書」や「バイナリ」などです。 |
|
ドメイン名
|
domainName | string |
このインジケーターに関連付けられているドメイン名。 |
|
ネットワーク CIDR ブロック
|
networkCidrBlock | string |
このインジケーターで参照されるネットワークの CIDR ブロック表記表現。 |
|
ネットワーク宛先 Asn
|
networkDestinationAsn | integer |
インジケーターで参照されているネットワークの宛先自律システム識別子。 |
|
ネットワーク宛先 CIDR ブロック
|
networkDestinationCidrBlock | string |
このインジケーターの宛先ネットワークの CIDR ブロック表記表現。 |
|
ネットワーク宛先 IPv4
|
networkDestinationIPv4 | string |
IPv4 IP アドレスの宛先。 |
|
ネットワーク宛先 IPv6
|
networkDestinationIPv6 | string |
IPv6 IP アドレスの宛先。 |
|
ネットワーク宛先ポート
|
networkDestinationPort | integer |
TCP ポート先。 |
|
ネットワーク IPv4
|
networkIPv4 | string |
IPv4 IP アドレス。 |
|
ネットワーク IPv6
|
networkIPv6 | string |
IPv6 IP アドレス。 |
|
ネットワーク ポート
|
networkPort | integer |
TCP ポート。 |
|
ネットワーク プロトコル
|
networkProtocol | integer |
IPv4 ヘッダーのプロトコル フィールドの 10 進数表現。 |
|
ネットワーク ソース Asn
|
networkSourceAsn | integer |
インジケーターで参照されているネットワークのソース自律システム識別子。 |
|
ネットワーク ソース CIDR ブロック
|
networkSourceCidrBlock | string |
このインジケーターのソース ネットワークの CIDR ブロック表記表現。 |
|
ネットワーク ソース IPv4
|
networkSourceIPv4 | string |
IPv4 IP アドレス ソース。 |
|
ネットワーク宛先 IPv6
|
networkSourceIPv6 | string |
IPv6 IP アドレス ソース。 |
|
ネットワーク ソース ポート
|
networkSourcePort | integer |
TCP ポート ソース。 |
|
URL
|
url | string |
Uniform Resource Locator。 |
|
ユーザー エージェント
|
userAgent | string |
侵害を示す可能性のある Web 要求からのユーザー エージェント文字列。 |