V2 futuro registrado
O Conector Futuro Registrado permite o acesso à Inteligência Futura Gravada. O conector tem ações dedicadas para efetuar pull de indicadores futuros registrados (IP, Domínio, URL, Hash) e contexto associado (Pontuação de Risco, Regras de Risco, Link de Cartão de Inteligência e Links Baseados em Evidências de Alta Confiança), Vulnerabilidades, Alertas Futuros Registrados e habilita o acesso à API soar e arquivos de fusão futuros registrados
Esse conector está disponível nos seguintes produtos e regiões:
| Service | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Todas as regiões do Power Automate |
| Aplicativos Lógicos | Standard | Todas as regiões de Aplicativos Lógicos |
| Power Apps | Premium | Todas as regiões do Power Apps |
| Power Automate | Premium | Todas as regiões do Power Automate |
| Contato | |
|---|---|
| Nome | Suporte futuro registrado |
| URL | https://support.recordedfuture.com |
| support@recordedfuture.com |
| Metadados do conector | |
|---|---|
| Publicador | Futuro Registrado |
| Website | https://www.recordedfuture.com |
| Política de Privacidade | https://www.recordedfuture.com/privacy-policy/ |
| Categorias | IA; Dados |
V2 futuro registrado
A integração Do Futuro Gravado permite que a inteligência de segurança em tempo real seja integrada a serviços populares da Microsoft, como Sentinel, Defender ATP e outros. Isso capacita nossos clientes a maximizar seus investimentos em segurança existentes, garantindo que eles tenham inteligência em tempo real para proteger seus ambientes de nuvem e reduzir o risco para a organização. O conector Futuro Registrado para Microsoft Azure permite acesso a ações dedicadas para extrair indicadores futuros registrados (IP, domínio, URL, hash, vulnerabilidades), contexto associado (Pontuação de Risco, Regras de Risco, Links de Alta Confiança e um Link de Cartão de Inteligência), Alertas Futuros Registrados, Alertas de Guias Estratégicos, Mapa de Ameaças, Indicadores de Ameaças e Regras de Detecção.
Publicador: Futuro Registrado
Novidades?
- Mapa de ameaças do ator de ameaça do futuro gravado
- Mapa de ameaças de malware do futuro registrado
- Indicadores de ameaça do futuro gravados para atores
- Indicadores de ameaça do futuro registrados para malware
Pré-requisitos
Para habilitar a integração do Futuro Registrado para o Microsoft Azure, os usuários devem ser provisionados em um token de API Futura Registrado. Entre em contato com o gerente de conta para obter o token de API necessário.
Como obter credenciais
O Futuro Registrado requer chaves de API para se comunicar com nossa API. Para obter chaves de API: inicie uma avaliação gratuita de 30 dias do Futuro Registrado para Microsoft Sentinel ou visite Tokens de API de Solicitação Futura Registrados (Exigir Logon Futuro Registrado) e solicite token de API para Recorded Future for Microsoft Sentinel ou/e Recorded Future Sandbox for Microsoft Sentinel.
Operações com suporte
Esse conector é usado para efetuar pull de indicadores, alertas, alertas de guia estratégico, mapa de ameaças, indicadores de ameaça e regras de detecção:
- Listas de risco futuras registradas e download do SCF – Baixar listas de risco futuras registradas e feeds de controle de segurança
- Enriquecimento de IP – Enriquecer um IP com dados futuros registrados.
- Enriquecimento de Domínio – Enriquecer um domínio com dados futuros registrados.
- Enriquecimento de URL – Enriquecer uma URL com dados futuros registrados.
- Enriquecimento de Hash – Enriquecer um hash com dados futuros registrados.
- Enriquecimento de vulnerabilidade – Enriquecer uma vulnerabilidade com dados futuros registrados.
- API SOAR – Enriquecimento multi-entidade – Enriquecer várias entidades ao mesmo tempo (o acesso específico é necessário)
- Pesquisar alertas disparados – listar notificações de alerta por um conjunto de parâmetros de pesquisa.
- Obter alertas disparados por ID – Obter os detalhes do alerta de um alerta disparado
- Regras de alerta de pesquisa – listar regras de alerta por nome
- Notificação de alerta de pesquisa (preterida) – Preterida
- Obter notificação de alerta por ID (preterido) – Preterido
- Pesquisar alertas do guia estratégico – Listar alertas de guia estratégico com base em um conjunto de parâmetros de pesquisa
- Obter o Alerta do Guia Estratégico por ID – Obter os detalhes do alerta de um alerta de guia estratégico
- Buscar atores do Mapa de Ameaças – Buscar dados do Mapa de Ameaças para a organização primária da empresa com filtros.
- Buscar malware do Mapa de Ameaças – Buscar dados do Mapa de Ameaças para a organização primária da empresa com filtros.
- Buscar indicadores de ameaça para atores no formato STIX – Buscar indicadores de ameaça para atores no formato STIX.
- Buscar indicadores de ameaça para malware no formato STIX – Buscar indicadores de ameaça para malware no formato STIX.
- Regras de detecção de pesquisa (versão prévia) – Obter regras de detecção correspondentes a um filtro de pesquisa
Exemplos de soluções para o Microsoft Sentinel
Guia de instalação de soluções usando este conector: Soluções futuras registradas para o Microsoft Sentinel
Problemas e limitações conhecidos
N/A
Criando uma conexão
O conector dá suporte aos seguintes tipos de autenticação:
| Default | Parâmetros para criar conexão. | Todas as regiões | Não compartilhável |
Padrão
Aplicável: todas as regiões
Parâmetros para criar conexão.
Essa não é uma conexão compartilhável. Se o aplicativo de energia for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
| Nome | Tipo | Description | Obrigatório |
|---|---|---|---|
| Chave de API | secureString | A chave de API para esta api | Verdade |
Limitações
| Nome | Chamadas | Período de renovação |
|---|---|---|
| Chamadas à API por conexão | 100 | 60 segundos |
Ações
| API SOAR – Enriquecimento multi-entitiy |
Enriquecer várias entidades ao mesmo tempo (o acesso específico é necessário) |
| Buscar atores do Mapa de Ameaças |
Buscar dados do Mapa de Ameaças para a organização primária da empresa com filtros. |
| Buscar indicadores de ameaça para atores no formato STIX |
Buscar indicadores de ameaça para atores no formato STIX. |
| Buscar indicadores de ameaça para malware no formato STIX |
Buscar indicadores de ameaça para malware no formato STIX. |
| Buscar malware do Mapa de Ameaças |
Buscar dados do Mapa de Ameaças para a organização primária da empresa com filtros. |
| Enriquecimento de domínio |
Enriquecer um domínio com dados futuros registrados |
| Enriquecimento de hash |
Enriquecer um hash com dados futuros registrados |
| Enriquecimento de IP |
Enriquecer um IP com dados futuros registrados |
| Enriquecimento de URL |
Enriquecer uma URL com dados futuros registrados |
| Enriquecimento de vulnerabilidades |
Enriquecer uma vulnerabilidade com dados futuros registrados |
| Listas de Risco Futuras Registradas e Download do SCF |
Baixar listas de risco futuras registradas e feeds de controle de segurança |
| Notificações de alerta de pesquisa (preteridas) |
Preterido, use /v2/alerts. Listar notificações de alerta por um conjunto de parâmetros de pesquisa |
| Obter alerta de guia estratégico por ID |
Obter os detalhes de alerta de um alerta de guia estratégico |
| Obter alertas disparados por ID |
Obter os detalhes do alerta de um alerta disparado |
| Obter notificação de alerta por ID (preterido) |
Preterido, use /v2/alerts/{id} em vez disso. Obter os detalhes do alerta de um alerta disparado |
| Pesquisar alertas disparados |
Listar notificações de alerta por um conjunto de parâmetros de pesquisa |
| Pesquisar alertas do guia estratégico |
Listar alertas de guia estratégico com base em um conjunto de parâmetros de pesquisa |
| Regras de alerta de pesquisa |
Listar regras de alerta por nome |
| Regras de detecção de pesquisa |
Obter regras de detecção correspondentes a um filtro de pesquisa |
API SOAR – Enriquecimento multi-entitiy
Enriquecer várias entidades ao mesmo tempo (o acesso específico é necessário)
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
IP
|
ip | array of string |
Ip |
|
|
url
|
url | array of string |
URL |
|
|
domínio
|
domain | array of string |
Domínio |
|
|
hash
|
hash | array of string |
Hash |
|
|
vulnerabilidade
|
vulnerability | array of string |
Vulnerabilidade |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
devolvido
|
counts.returned | integer | |
|
total
|
counts.total | integer | |
|
results
|
data.results | array of object | |
|
id
|
data.results.entity.id | string | |
|
nome
|
data.results.entity.name | string | |
|
tipo
|
data.results.entity.type | string | |
|
contexto
|
data.results.risk.context | object | |
|
nível
|
data.results.risk.level | number | |
|
regra
|
data.results.risk.rule | object | |
|
pontuação
|
data.results.risk.score | number |
Buscar atores do Mapa de Ameaças
Buscar dados do Mapa de Ameaças para a organização primária da empresa com filtros.
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Atores
|
actors | True | array of string |
Lista de atores |
|
categories
|
categories | True | array of string |
Lista de categorias |
|
watchlists
|
watchlists | True | array of string |
Lista de watchlists |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
dados
|
data | ThreatMapActors |
Buscar indicadores de ameaça para atores no formato STIX
Buscar indicadores de ameaça para atores no formato STIX.
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Atores
|
actors | array of string | ||
|
categories
|
categories | array of string | ||
|
watchlists
|
watchlists | array of string | ||
|
trigger_score_ip
|
trigger_score_ip | integer | ||
|
trigger_score_url
|
trigger_score_url | integer | ||
|
trigger_score_domain
|
trigger_score_domain | integer | ||
|
trigger_score_hash
|
trigger_score_hash | integer | ||
|
valid_until_delta_hours
|
valid_until_delta_hours | integer | ||
|
threat_hunt_description
|
threat_hunt_description | string |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
dados
|
data | ThreatHuntActors |
Buscar indicadores de ameaça para malware no formato STIX
Buscar indicadores de ameaça para malware no formato STIX.
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
malware
|
malware | array of string | ||
|
categories
|
categories | array of string | ||
|
watchlists
|
watchlists | array of string | ||
|
trigger_score_ip
|
trigger_score_ip | integer | ||
|
trigger_score_url
|
trigger_score_url | integer | ||
|
trigger_score_domain
|
trigger_score_domain | integer | ||
|
trigger_score_hash
|
trigger_score_hash | integer | ||
|
valid_until_delta_hours
|
valid_until_delta_hours | integer | ||
|
threat_hunt_description
|
threat_hunt_description | string |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
dados
|
data | ThreatHuntMalware |
Buscar malware do Mapa de Ameaças
Buscar dados do Mapa de Ameaças para a organização primária da empresa com filtros.
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
malware
|
malware | True | array of string |
Lista de malware |
|
categories
|
categories | True | array of string |
Lista de categorias |
|
watchlists
|
watchlists | True | array of string |
Lista de watchlists |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
dados
|
data | ThreatMapMalware |
Enriquecimento de domínio
Enriquecer um domínio com dados futuros registrados
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Entrada de domínio
|
domain | True | string |
O domínio a ser pesquisado. Deve ser um único domínio |
|
Fields
|
fields | True | string |
Lista separada por vírgulas de campos a serem retornados na resposta |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Compartilhe correlações e aprimoramentos de dados com a Nuvem de Inteligência Futura Registrada. Valor padrão: true |
|
|
Resposta HTML
|
htmlresponse | boolean |
Incluir um modelo HTML na resposta |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
IntelCard
|
data.intelCard | string |
Link do Cartão do Future Intelligence gravado |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Nível de criticidade do indicador futuro registrado |
|
pontuação
|
data.risk.score | integer |
Pontuação de risco de indicador futuro registrada |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Detalhes da evidência |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Detalhes da evidência de regras de risco futuras registradas |
|
regra
|
data.risk.evidenceDetails.rule | string |
Regras de risco de indicador futuro registradas |
|
riskSummary
|
data.risk.riskSummary | string |
Resumo das regras de risco futuras registradas |
|
links
|
data.links | Links |
Links baseados em evidências de alta confiança |
|
html_response
|
data.html_response | string |
Enriquecimento de hash
Enriquecer um hash com dados futuros registrados
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Entrada HASH
|
hash | True | string |
O HASH a ser pesquisado. Deve ser um único HASH |
|
Fields
|
fields | True | string |
Lista separada por vírgulas de campos a serem retornados na resposta |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Compartilhe correlações e aprimoramentos de dados com a Nuvem de Inteligência Futura Registrada. Valor padrão: true |
|
|
Resposta HTML
|
htmlresponse | boolean |
Incluir um modelo HTML na resposta |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
IntelCard
|
data.intelCard | string |
Link do Cartão do Future Intelligence gravado |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Nível de criticidade do indicador futuro registrado |
|
pontuação
|
data.risk.score | integer |
Pontuação de risco de indicador futuro registrada |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Detalhes da evidência |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Detalhes da evidência de regras de risco futuras registradas |
|
regra
|
data.risk.evidenceDetails.rule | string |
Regras de risco de indicador futuro registradas |
|
riskSummary
|
data.risk.riskSummary | string |
Resumo das regras de risco futuras registradas |
|
links
|
data.links | Links |
Links baseados em evidências de alta confiança |
|
html_response
|
data.html_response | string |
Enriquecimento de IP
Enriquecer um IP com dados futuros registrados
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Entrada de IP
|
ip | True | string |
O endereço IP a ser pesquisado. Deve ser um único endereço IP |
|
Fields
|
fields | True | string |
Lista separada por vírgulas de campos a serem retornados na resposta |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Compartilhe correlações e aprimoramentos de dados com a Nuvem de Inteligência Futura Registrada. Valor padrão: true |
|
|
Resposta HTML
|
htmlresponse | boolean |
Incluir um modelo HTML na resposta |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
IntelCard
|
data.intelCard | string |
Link do Cartão do Future Intelligence gravado |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Nível de criticidade do indicador futuro registrado |
|
pontuação
|
data.risk.score | integer |
Pontuação de risco de indicador futuro registrada |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Detalhes da evidência |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Detalhes da evidência de regras de risco futuras registradas |
|
regra
|
data.risk.evidenceDetails.rule | string |
Regras de risco de indicador futuro registradas |
|
riskSummary
|
data.risk.riskSummary | string |
Resumo das regras de risco futuras registradas |
|
links
|
data.links | Links |
Links baseados em evidências de alta confiança |
|
html_response
|
data.html_response | string |
Enriquecimento de URL
Enriquecer uma URL com dados futuros registrados
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Entrada de URL
|
url | True | string |
A URL a ser pesquisada. Deve ser uma única URL |
|
Fields
|
fields | True | string |
Lista separada por vírgulas de campos a serem retornados na resposta |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Compartilhe correlações e aprimoramentos de dados com a Nuvem de Inteligência Futura Registrada. Valor padrão: true |
|
|
Resposta HTML
|
htmlresponse | boolean |
Incluir um modelo HTML na resposta |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Nível de criticidade do indicador futuro registrado |
|
pontuação
|
data.risk.score | integer |
Pontuação de risco de indicador futuro registrada |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Detalhes da evidência |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Detalhes da evidência de regras de risco futuras registradas |
|
regra
|
data.risk.evidenceDetails.rule | string |
Regras de risco de indicador futuro registradas |
|
riskSummary
|
data.risk.riskSummary | string |
Resumo das regras de risco futuras registradas |
|
links
|
data.links | Links |
Links baseados em evidências de alta confiança |
|
html_response
|
data.html_response | string |
Enriquecimento de vulnerabilidades
Enriquecer uma vulnerabilidade com dados futuros registrados
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Entrada de ID de vulnerabilidade (CVE, nome)
|
id | True | string |
A ID de Vulnerabilidade (CVE, nome) a ser pesquisada. Deve ser uma única ID de Vulnerabilidade (CVE, nome) |
|
Fields
|
fields | True | string |
Lista separada por vírgulas de campos a serem retornados na resposta |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Compartilhe correlações e aprimoramentos de dados com a Nuvem de Inteligência Futura Registrada. Valor padrão: true |
|
|
Resposta HTML
|
htmlresponse | boolean |
Incluir um modelo HTML na resposta |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
IntelCard
|
data.intelCard | string |
Link do Cartão do Future Intelligence gravado |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Nível de crítica de vulnerabilidade futura registrado |
|
pontuação
|
data.risk.score | integer |
Pontuação de risco de vulnerabilidade futura registrada |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Detalhes da evidência |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Detalhes da evidência de regras de risco futuras registradas |
|
regra
|
data.risk.evidenceDetails.rule | string |
Regras de risco de vulnerabilidade futuras registradas |
|
riskSummary
|
data.risk.riskSummary | string |
Resumo das regras de risco futuras registradas |
|
links
|
data.links | Links |
Links baseados em evidências de alta confiança |
|
html_response
|
data.html_response | string |
Listas de Risco Futuras Registradas e Download do SCF
Baixar listas de risco futuras registradas e feeds de controle de segurança
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Caminho para o arquivo
|
path | True | string |
Caminho para o arquivo |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
|
array of object | ||
|
Nome
|
Name | string | |
|
Risco
|
Risk | integer | |
|
RiskString
|
RiskString | string | |
|
EvidenceDetails
|
EvidenceDetails.EvidenceDetails | array of object | |
|
Regra
|
EvidenceDetails.EvidenceDetails.Rule | string | |
|
EvidenceString
|
EvidenceDetails.EvidenceDetails.EvidenceString | string | |
|
CriticalityLabel
|
EvidenceDetails.EvidenceDetails.CriticalityLabel | string | |
|
Timestamp
|
EvidenceDetails.EvidenceDetails.Timestamp | integer | |
|
MitigationString
|
EvidenceDetails.EvidenceDetails.MitigationString | string | |
|
Criticidade
|
EvidenceDetails.EvidenceDetails.Criticality | integer |
Notificações de alerta de pesquisa (preteridas)
Preterido, use /v2/alerts. Listar notificações de alerta por um conjunto de parâmetros de pesquisa
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Disparado
|
triggered | string |
Todos os formatos de data compatíveis com o Elasticsearch são válidos. |
|
|
ID da regra de alerta
|
alertRule | True | string |
ID da regra de alerta |
|
Número máximo de registros
|
limit | integer |
Número máximo de registros |
|
|
Registros do deslocamento
|
from | integer |
Registros do deslocamento |
Retornos
- Corpo
- AlertSearch
Obter alerta de guia estratégico por ID
Obter os detalhes de alerta de um alerta de guia estratégico
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID de alerta do guia estratégico
|
id | True | string |
A ID de Alerta do Guia Estratégico |
Retornos
- Corpo
- PlaybookAlertLookup
Obter alertas disparados por ID
Obter os detalhes do alerta de um alerta disparado
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID de Notificação de Alerta
|
id | True | string |
ID de Notificação de Alerta |
|
Campos a serem incluídos
|
fields | string |
Campo(s) para incluir, por exemplo, "id, hits". Retorna tudo se não for especificado. |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
dados
|
data | AlertSearchV2 |
Obter notificação de alerta por ID (preterido)
Preterido, use /v2/alerts/{id} em vez disso. Obter os detalhes do alerta de um alerta disparado
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
ID de Notificação de Alerta
|
id | True | string |
ID de Notificação de Alerta |
Retornos
- Corpo
- AlertLookup
Pesquisar alertas disparados
Listar notificações de alerta por um conjunto de parâmetros de pesquisa
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Disparado
|
triggered | string |
O período para o qual incluir alertas disparados. Por exemplo, -24h ou -2d |
|
|
ID da regra de alerta
|
alertRule | string |
Retornar apenas alertas disparados para a ID da regra de alerta especificada. |
|
|
Número máximo de registros
|
limit | integer |
Limita o número de alertas retornados. |
|
|
Registros do deslocamento
|
from | integer |
Registros do deslocamento |
|
|
Campos a serem incluídos
|
fields | string |
Campo(s) para incluir, por exemplo, "id, hits". Retorna tudo se não for especificado. |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
dados
|
data | array of AlertSearchV2 | |
|
devolvido
|
counts.returned | integer | |
|
total
|
counts.total | integer |
Pesquisar alertas do guia estratégico
Listar alertas de guia estratégico com base em um conjunto de parâmetros de pesquisa
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Limit
|
limit | string |
Limitar o número de alertas de guia estratégico retornados |
|
|
entities
|
entities | array of string |
Uma lista de entidades |
|
|
statuses
|
statuses | array of string |
Uma lista de status de alerta |
|
|
Prioridades
|
priorities | array of string |
Uma lista de prioridades de alerta |
|
|
categories
|
categories | array of string |
Uma lista de categorias de alerta |
|
|
Relativo criado com base em
|
created_from_relative | string |
Limite a resposta aos alertas de guia estratégico criados no máximo nestes muitos minutos, horas ou dias atrás. O padrão é de todos os tempos. |
|
|
Relativo criado até
|
created_until_relative | string |
Limite a resposta aos alertas de guia estratégico criados no mais recente destes muitos minutos, horas ou dias atrás. O padrão é '-0' (agora). |
|
|
Relativo atualizado de
|
updated_from_relative | string |
Limite a resposta a alertas de guia estratégico atualizados no máximo nestes muitos minutos, horas ou dias no passado. O padrão é '-1d' (um dia atrás). |
|
|
Relativo atualizado até
|
updated_until_relative | string |
Limite a resposta aos alertas de guia estratégico atualizados nos últimos minutos, horas ou dias no passado. O padrão é '-0' (agora). |
Retornos
Alertas do guia estratégico que correspondem aos critérios de pesquisa
- Itens
- PlaybookAlertSearch
Regras de alerta de pesquisa
Listar regras de alerta por nome
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Pesquisa de texto livre
|
freetext | string |
Pesquisa de texto livre para o nome da regra de alerta |
|
|
Número máximo de registros
|
limit | integer |
Número máximo de registros |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
results
|
data.results | array of object |
Results |
|
Título da regra de alerta
|
data.results.title | string |
Title |
|
ID da regra de alerta
|
data.results.id | string |
ID |
|
Número retornado de regras de alerta
|
counts.returned | integer |
Retornado |
|
Número total de regras de alerta
|
counts.total | integer |
Total |
Regras de detecção de pesquisa
Obter regras de detecção correspondentes a um filtro de pesquisa
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
Tipos
|
types | array of string |
Lista de tipos de regra de detecção a serem incluídos na resposta |
|
|
entities
|
entities | array of string |
Lista de entidades às quais as regras de detecção devem estar relacionadas |
|
|
before
|
before | date-time |
Limite a resposta às regras de detecção criadas antes dessa data. Exemplo: 2023-06-01T18:00:00Z |
|
|
after
|
after | date-time |
Limitar a resposta às regras de detecção criadas após esta data |
|
|
Limit
|
limit | integer |
Limitar o número de regras de detecção retornadas |
Retornos
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de regras de detecção
|
count | integer |
Contagem |
|
Regras de detecção
|
result | array of object |
Regras de detecção |
|
id
|
result.id | string | |
|
tipo
|
result.type | string | |
|
title
|
result.title | string | |
|
descrição
|
result.description | string | |
|
regras
|
result.rules | array of object | |
|
nome
|
result.rules.name | string | |
|
descrição
|
result.rules.description | string | |
|
nome_do_arquivo
|
result.rules.file_name | string | |
|
entities
|
result.rules.entities | array of object | |
|
id
|
result.rules.entities.id | string | |
|
tipo
|
result.rules.entities.type | string | |
|
nome
|
result.rules.entities.name | string | |
|
display_name
|
result.rules.entities.display_name | string | |
|
conteúdo
|
result.rules.content | string | |
|
criadas
|
result.created | string | |
|
atualizado
|
result.updated | string |
Definições
Links
Links baseados em evidências de alta confiança
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
startDate
|
technical.start_date | string |
Data de início do link |
|
stopDate
|
technical.stop_date | string |
Data de parada do link |
|
entities
|
technical.entities | array of LinkEntities |
Entidades relacionadas |
|
startDate
|
research.start_date | string |
Data de início do link |
|
stopDate
|
research.stop_date | string |
Data de parada do link |
|
entities
|
research.entities | array of LinkEntities |
Entidades relacionadas |
LinkEntities
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
tipo
|
type | string |
Tipo de enitidade |
|
nome
|
name | string |
Nome da entidade |
|
pontuação
|
score | integer |
Pontuação de risco |
|
categoria
|
category | string |
Categoria de entidade |
AlertSearchV2
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
análise
|
review | AlertReviewV2 | |
|
owner_organisation_details
|
owner_organisation_details | AlertOwnerV2 | |
|
url
|
url | AlertURLV2 | |
|
regra
|
rule | AlertRuleV2 | |
|
alert_id
|
id | AlertID | |
|
Hits
|
hits | AlertHitsV2 | |
|
log
|
log | AlertLogV2 | |
|
title
|
title | AlertTitle | |
|
tipo
|
type | AlertType | |
|
ai_insights
|
ai_insights | AlertAiV2 |
AlertAiV2
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
comentário
|
comment | string | |
|
enviar SMS
|
text | string |
AlertHitsV2
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
entities
|
entities | array of object | |
|
id
|
entities.id | string | |
|
nome
|
entities.name | string | |
|
tipo
|
entities.type | string | |
|
source_id
|
document.source.id | string | |
|
nome
|
document.source.name | string | |
|
tipo
|
document.source.type | string | |
|
title
|
document.title | string | |
|
url
|
document.url | string | |
|
autores
|
document.authors | array of object | |
|
id
|
document.authors.id | string | |
|
nome
|
document.authors.name | string | |
|
tipo
|
document.authors.type | string | |
|
fragmento
|
fragment | string | |
|
id
|
id | string | |
|
linguagem
|
language | string | |
|
id
|
primary_entity.id | string | |
|
nome
|
primary_entity.name | string | |
|
tipo
|
primary_entity.type | string | |
|
analyst_note
|
analyst_note | string |
AlertSearch
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
results
|
data.results | array of object | |
|
análise
|
data.results.review | AlertReview | |
|
url
|
data.results.url | AlertURL | |
|
regra
|
data.results.rule | AlertRule | |
|
Acionado
|
data.results.triggered | AlertTriggered | |
|
alert_id
|
data.results.id | AlertID | |
|
title
|
data.results.title | AlertTitle | |
|
tipo
|
data.results.type | AlertType | |
|
devolvido
|
counts.returned | integer | |
|
total
|
counts.total | integer |
AlertLookup
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
análise
|
data.review | AlertReview | |
|
entities
|
data.entities | AlertEntities | |
|
url
|
data.url | AlertURL | |
|
regra
|
data.rule | AlertRule | |
|
Acionado
|
data.triggered | AlertTriggered | |
|
alert_id
|
data.id | AlertID | |
|
Referências
|
data.counts.references | integer | |
|
entities
|
data.counts.entities | integer | |
|
Documentos
|
data.counts.documents | integer | |
|
title
|
data.title | AlertTitle | |
|
tipo
|
data.type | AlertType |
AlertLogV2
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
note_author
|
note_author | string | |
|
note_date
|
note_date | date-time | |
|
status_date
|
status_date | string | |
|
Acionado
|
triggered | string | |
|
status_change_by
|
status_change_by | string |
AlertOwnerV2
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
organizações
|
organisations | array of object | |
|
ID de organização
|
organisations.organisation_id | string | |
|
organisation_name
|
organisations.organisation_name | string | |
|
enterprise_id
|
enterprise_id | string | |
|
enterprise_name
|
enterprise_name | string |
AlertReviewV2
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
destinatário
|
assignee | string | |
|
status
|
status | string | |
|
status_in_portal
|
status_in_portal | string | |
|
nota
|
note | string |
AlertReview
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
destinatário
|
assignee | string | |
|
status
|
status | string | |
|
noteDate
|
noteDate | string | |
|
noteAuthor
|
noteAuthor | string | |
|
nota
|
note | string |
AlertEntities
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
tendência
|
trend | object | |
|
Documentos
|
documents | array of object | |
|
Referências
|
documents.references | array of object | |
|
fragmento
|
documents.references.fragment | string | |
|
entities
|
documents.references.entities | array of object | |
|
id
|
documents.references.entities.id | string | |
|
nome
|
documents.references.entities.name | string | |
|
tipo
|
documents.references.entities.type | string | |
|
linguagem
|
documents.references.language | string | |
|
id
|
documents.source.id | string | |
|
nome
|
documents.source.name | string | |
|
tipo
|
documents.source.type | string | |
|
title
|
documents.title | string | |
|
url
|
documents.url | string | |
|
risco
|
risk | object | |
|
id
|
entity.id | string | |
|
nome
|
entity.name | string | |
|
tipo
|
entity.type | string |
AlertURL
AlertRule
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
nome
|
name | string | |
|
id
|
id | string | |
|
url
|
url | string |
AlertURLV2
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
api
|
api | string | |
|
portal
|
portal | string |
AlertRuleV2
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
nome
|
name | string | |
|
rule_id
|
id | string | |
|
portal
|
url.portal | string |
AlertTriggered
AlertID
- alert_id
- string
AlertTitle
AlertType
PlaybookAlertSearch
Alertas do guia estratégico que correspondem aos critérios de pesquisa
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
playbook_alert_id
|
playbook_alert_id | string | |
|
criadas
|
created | string | |
|
atualizado
|
updated | string | |
|
status
|
status | string | |
|
categoria
|
category | string | |
|
priority
|
priority | string | |
|
title
|
title | string | |
|
owner_id
|
owner_id | string | |
|
owner_name
|
owner_name | string | |
|
ID de organização
|
organisation_id | string | |
|
organistaion_name
|
organistaion_name | string | |
|
organizações
|
owner_organisation_details.organisations | array of object | |
|
ID de organização
|
owner_organisation_details.organisations.organisation_id | string | |
|
organisation_name
|
owner_organisation_details.organisations.organisation_name | string | |
|
enterprise_id
|
owner_organisation_details.enterprise_id | string | |
|
enterprise_name
|
owner_organisation_details.enterprise_name | string |
PlaybookAlertLookup
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
title
|
title | string | |
|
id
|
id | string | |
|
categoria
|
category | string | |
|
rule_label
|
rule_label | string | |
|
status
|
status | string | |
|
priority
|
priority | string | |
|
targets
|
targets | string | |
|
created_date
|
created_date | string | |
|
updated_date
|
updated_date | string | |
|
evidence_summary
|
evidence_summary | string | |
|
link
|
link | string | |
|
json_alert
|
json_alert | string |
ThreatMapActors
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
threat_map
|
data.threat_map | array of object | |
|
id
|
data.threat_map.id | string | |
|
nome
|
data.threat_map.name | string | |
|
alias
|
data.threat_map.alias | array of string | |
|
categories
|
data.threat_map.categories | array of object | |
|
id
|
data.threat_map.categories.id | string | |
|
nome
|
data.threat_map.categories.name | string | |
|
intenção
|
data.threat_map.intent | integer | |
|
oportunidade
|
data.threat_map.opportunity | integer | |
|
log_entries
|
data.threat_map.log_entries | array of object | |
|
id
|
data.threat_map.log_entries.watchlist.id | string | |
|
nome
|
data.threat_map.log_entries.watchlist.name | string | |
|
id
|
data.threat_map.log_entries.entity.id | string | |
|
nome
|
data.threat_map.log_entries.entity.name | string | |
|
severidade
|
data.threat_map.log_entries.severity | integer | |
|
eixo
|
data.threat_map.log_entries.axis | string | |
|
date
|
data.threat_map.log_entries.date | date-time | |
|
date
|
data.date | date-time |
ThreatHuntActors
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
confiança
|
confidence | integer | |
|
descrição
|
description | string | |
|
id
|
id | string | |
|
indicator_types
|
indicator_types | array of string | |
|
labels
|
labels | array of string | |
|
nome
|
name | string | |
|
padrão
|
pattern | string | |
|
pattern_type
|
pattern_type | string | |
|
spec_version
|
spec_version | string | |
|
tipo
|
type | string | |
|
criadas
|
created | string | |
|
modified
|
modified | string | |
|
valid_from
|
valid_from | string | |
|
valid_until
|
valid_until | string | |
|
external_references
|
external_references | array of object | |
|
source_name
|
external_references.source_name | string | |
|
descrição
|
external_references.description | string | |
|
external_id
|
external_references.external_id | string | |
|
url
|
external_references.url | string |
ThreatMapMalware
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
threat_map
|
data.threat_map | array of object | |
|
id
|
data.threat_map.id | string | |
|
nome
|
data.threat_map.name | string | |
|
alias
|
data.threat_map.alias | array of string | |
|
categories
|
data.threat_map.categories | array of object | |
|
id
|
data.threat_map.categories.id | string | |
|
nome
|
data.threat_map.categories.name | string | |
|
intenção
|
data.threat_map.intent | integer | |
|
oportunidade
|
data.threat_map.opportunity | integer | |
|
log_entries
|
data.threat_map.log_entries | array of object | |
|
id
|
data.threat_map.log_entries.watchlist.id | string | |
|
nome
|
data.threat_map.log_entries.watchlist.name | string | |
|
id
|
data.threat_map.log_entries.entity.id | string | |
|
nome
|
data.threat_map.log_entries.entity.name | string | |
|
severidade
|
data.threat_map.log_entries.severity | integer | |
|
eixo
|
data.threat_map.log_entries.axis | string | |
|
date
|
data.threat_map.log_entries.date | date-time | |
|
date
|
data.date | date-time |
ThreatHuntMalware
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
confiança
|
confidence | integer | |
|
descrição
|
description | string | |
|
id
|
id | string | |
|
indicator_types
|
indicator_types | array of string | |
|
labels
|
labels | array of string | |
|
nome
|
name | string | |
|
padrão
|
pattern | string | |
|
pattern_type
|
pattern_type | string | |
|
spec_version
|
spec_version | string | |
|
tipo
|
type | string | |
|
criadas
|
created | string | |
|
modified
|
modified | string | |
|
valid_from
|
valid_from | string | |
|
valid_until
|
valid_until | string | |
|
external_references
|
external_references | array of object | |
|
source_name
|
external_references.source_name | string | |
|
descrição
|
external_references.description | string | |
|
external_id
|
external_references.external_id | string | |
|
url
|
external_references.url | string |