tiIndicator resource type (preterido)
Namespace: microsoft.graph
Importante
As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Observação
A entidade tiIndicator foi preterida e será removida até abril de 2026.
Representa os dados utilizados para identificar atividades maliciosas.
Se a sua organização trabalhar com indicadores de ameaças ao gerar os seus próprios indicadores, ao obtê-los a partir de feeds código aberto, partilhar com organizações ou comunidades parceiras ou ao comprar feeds de dados, poderá querer utilizar estes indicadores em várias ferramentas de segurança para fazer a correspondência com os dados de registo. A entidade tiIndicators permite-lhe carregar os indicadores de ameaça para as ferramentas de segurança da Microsoft para as ações de permitir, bloquear ou alertar.
Os indicadores de ameaças carregados através do tiIndicator são utilizados com informações sobre ameaças da Microsoft para fornecer uma solução de segurança personalizada para a sua organização. Ao utilizar a entidade tiIndicator , especifique a solução de segurança da Microsoft que pretende utilizar os indicadores através da propriedade targetProduct e especifique a ação (permitir, bloquear ou alertar) à qual a solução de segurança deve aplicar os indicadores através da propriedade de ação .
Atualmente, o TargetProduct suporta os seguintes produtos:
Microsoft Defender para Ponto de Extremidade – suporta os seguintes métodos tiIndicators:
Observação
Os seguintes tipos de indicador são suportados pelo Microsoft Defender para Ponto de Extremidade targetProduct:
- Arquivos
- Endereços IP: Microsoft Defender para Ponto de Extremidade suporta apenas propriedades IPv4/IPv6 de destino – defina a propriedade em networkDestinationIPv4 ou networkDestinationIPv6 no Microsoft Graph API de Segurança tiIndicator.
- URLs/domínios
Existe um limite de 15.000 indicadores por inquilino para Microsoft Defender para Ponto de Extremidade.
Microsoft Sentinel – apenas os clientes existentes podem utilizar a API tiIndicator para enviar indicadores de informações sobre ameaças para o Microsoft Sentinel. Para obter as instruções detalhadas mais atualizadas sobre como enviar indicadores inteligentes de ameaças para o Microsoft Sentinel, consulte Ligar a plataforma de informações sobre ameaças ao Microsoft Sentinel.
Para mais detalhes sobre os tipos de indicadores com suporte e limites de contagens de indicadores por locatário, confira Gerenciar indicadores.
Métodos
| Método | Tipo de retorno | Descrição |
|---|---|---|
| Get | tiIndicator | Ler propriedades e relações do objeto tiIndicator. |
| Create | tiIndicator | Create um novo tiIndicator ao publicar na coleção tiIndicators. |
| List | coleção tiIndicator | Obter uma coleção de objetos tiIndicator. |
| Atualizar | tiIndicator | Atualizar o objeto tiIndicator. |
| Delete | Nenhum | Elimine o objeto tiIndicator. |
| Excluir várias tarefas | Nenhum | Elimine vários objetos tiIndicator. |
| Excluir várias pelo ID externo | Nenhum | Elimine vários objetos tiIndicator pela externalId propriedade . |
| Enviar várias | coleção tiIndicator | Create novos tiIndicators ao publicar uma coleção tiIndicators. |
| Atualizar várias | coleção tiIndicator | Atualize vários objetos tiIndicator. |
Métodos suportados por cada produto de destino
| Método | Azure Sentinel | Microsoft Defender para Ponto de Extremidade |
|---|---|---|
| Criar tiIndicator | Os campos obrigatórios são: action, , azureTenantIddescription, expirationDateTime, , targetProduct, threatType, tlpLevele, pelo menos, um e-mail, rede ou ficheiro observáveis. |
Os campos obrigatórios são: actione um dos seguintes valores: domainName, url, networkDestinationIPv4, , networkDestinationIPv6( fileHashValue tem de fornecer fileHashType em caso de fileHashValue). |
| Enviar tiIndicators | Veja o método Create tiIndicator para obter os campos necessários para cada tiIndicator. Existe um limite de 100 tiIndicators por pedido. | Veja o método Create tiIndicator para obter os campos necessários para cada tiIndicator. Existe um limite de 100 tiIndicators por pedido. |
| Atualizar tiIndicator | Os campos obrigatórios são: id, , expirationDateTimetargetProduct. Os campos editáveis são: action, , activityGroupNamesadditionalInformation, confidence, description, diamondModel, expirationDateTime, externalId, isActive, killChain, , knownFalsePositives, lastReportedDateTime, malwareFamilyNames, , passiveOnly, , severity, , tagstlpLevel. |
Os campos obrigatórios são: id, , expirationDateTimetargetProduct. Os campos editáveis são: expirationDateTime, severity, description. |
| Atualizar tiIndicators | Veja o método Update tiIndicator para obter os campos necessários e editáveis para cada tiIndicator. | |
| Excluir tiIndicator | O campo obrigatório é: id. |
O campo obrigatório é: id. |
| Eliminar tiIndicators | Veja o método Delete tiIndicator acima para obter o campo necessário para cada tiIndicator. |
Propriedades
| Propriedade | Tipo | Descrição |
|---|---|---|
| ação | string | A ação a aplicar se o indicador for correspondido a partir da ferramenta de segurança TargetProduct. Os valores possíveis são: unknown, allow, block, alert.
Obrigatório. |
| activityGroupNames | Coleção de cadeias de caracteres | Os nomes das informações sobre ameaças cibernéticas para as partes responsáveis pela atividade maliciosa abrangida pelo indicador de ameaça. |
| additionalInformation | Cadeia de caracteres | Uma área catchall para dados adicionais do indicador que não é especificamente abrangida por outras propriedades tiIndicator. Normalmente, a ferramenta de segurança especificada pelo TargetProduct não utiliza estes dados. |
| azureTenantId | String | Carimbado pelo sistema quando o indicador é ingerido. O ID de inquilino Microsoft Entra do cliente de submissão. Obrigatório. |
| confidence | Int32 | Um número inteiro que representa a confiança dos dados no indicador identifica com precisão comportamentos maliciosos. Os valores aceitáveis são 0 – 100, sendo 100 o valor mais alto. |
| description | Cadeia de caracteres | Breve descrição (100 carateres ou menos) da ameaça representada pelo indicador. Obrigatório. |
| diamondModel | diamondModel | A área do Modelo Losango no qual este indicador existe. Os valores possíveis são: unknown, adversary, capability, infrastructure, victim. |
| expirationDateTime | DateTimeOffset | Cadeia DateTime que indica quando o Indicador expira. Todos os indicadores têm de ter uma data de expiração para evitar que os indicadores obsoletos persistam no sistema. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z.
Obrigatório. |
| externalId | Cadeia de caracteres | Um número de identificação que liga o indicador ao sistema do fornecedor de indicadores (por exemplo, uma chave externa). |
| id | Cadeia de caracteres | Criado pelo sistema quando o indicador é ingerido. GUID gerado/identificador exclusivo. Somente leitura. |
| ingestedDateTime | DateTimeOffset | Carimbado pelo sistema quando o indicador é ingerido. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z |
| isActive | Booliano | Utilizado para desativar indicadores no sistema. Por predefinição, qualquer indicador submetido é definido como ativo. No entanto, os fornecedores podem submeter indicadores existentes com este conjunto como "Falso" para desativar indicadores no sistema. |
| killChain | coleção killChain | Uma matriz JSON de cadeias que descreve qual o ponto ou pontos na Cadeia de Eliminação que este indicador procura. Veja "valores killChain" abaixo para obter os valores exatos. |
| knownFalsePositives | Cadeia de caracteres | Cenários em que o indicador pode causar falsos positivos. Deve ser texto legível por humanos. |
| lastReportedDateTime | DateTimeOffset | A última vez que o indicador foi visto. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z |
| malwareFamilyNames | Coleção String | O nome da família de software maligno associado a um indicador, se existir. A Microsoft prefere o nome da família de software maligno da Microsoft, se possível, que possa ser encontrado através da enciclopédia de ameaças das Informações de Segurança do Windows Defender. |
| passiveOnly | Booliano | Determina se o indicador deve acionar um evento que está visível para um utilizador final. Quando definidas como 'true', as ferramentas de segurança não notificam o utilizador final de que ocorreu um 'hit'. Esta situação é geralmente tratada como auditoria ou modo silencioso por produtos de segurança onde irão simplesmente registar que ocorreu uma correspondência, mas não efetuam a ação. O valor padrão é falso. |
| severity | Int32 | Um número inteiro que representa a gravidade do comportamento malicioso identificado pelos dados no indicador. Os valores aceitáveis são 0 – 5, em que 5 é o mais grave e zero não é grave. O valor predefinido é 3. |
| tags | Coleção String | Uma matriz JSON de cadeias que armazena etiquetas/palavras-chave arbitrárias. |
| targetProduct | Cadeia de caracteres | Um valor de cadeia que representa um único produto de segurança ao qual o indicador deve ser aplicado. Os valores aceitáveis são: Azure Sentinel, Microsoft Defender ATP.
Required |
| threatType | threatType | Cada indicador tem de ter um Tipo de Ameaça de Indicador válido. Os valores possíveis são: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList.
Obrigatório. |
| tlpLevel | tlpLevel | Valor do Protocolo de Semáforo para o indicador. Os valores possíveis são: unknown, white, green, amber, red.
Obrigatório. |
Indicador observáveis - e-mail
| Propriedade | Tipo | Descrição |
|---|---|---|
| emailEncoding | Cadeia de caracteres | O tipo de codificação de texto utilizado no e-mail. |
| emailLanguage | Cadeia de caracteres | O idioma do e-mail. |
| emailRecipient | Cadeia de caracteres | Endereço de e-mail do destinatário. |
| emailSenderAddress | Cadeia de caracteres | Email endereço do atacante|vítima. |
| emailSenderName | Cadeia de caracteres | Nome apresentado do atacante|vítima. |
| emailSourceDomain | Cadeia de caracteres | Domínio utilizado no e-mail. |
| emailSourceIpAddress | Cadeia de caracteres | Endereço IP de origem do e-mail. |
| emailSubject | Cadeia de caracteres | Assunto do e-mail. |
| emailXMailer | Cadeia de caracteres | Valor X-Mailer utilizado no e-mail. |
Indicador observáveis - ficheiro
| Propriedade | Tipo | Descrição |
|---|---|---|
| fileCompileDateTime | DateTimeOffset | DateTime quando o ficheiro foi compilado. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z |
| fileCreatedDateTime | DateTimeOffset | DateTime quando o ficheiro foi criado. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z |
| fileHashType | cadeia de caracteres | O tipo de hash armazenado em fileHashValue. Os valores possíveis são: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
| fileHashValue | Cadeia de caracteres | O valor hash do ficheiro. |
| fileMutexName | Cadeia de caracteres | Nome mutex utilizado em deteções baseadas em ficheiros. |
| fileName | Cadeia de caracteres | Nome do ficheiro se o indicador for baseado em ficheiros. Vários nomes de ficheiro podem ser delimitados por vírgulas. |
| filePacker | Cadeia de caracteres | O packer costumava criar o ficheiro em questão. |
| filePath | Cadeia de caracteres | Caminho do ficheiro que indica o comprometimento. Pode ser um caminho de estilo Windows ou *nix. |
| fileSize | Int64 | Tamanho do ficheiro em bytes. |
| fileType | Cadeia de caracteres | Descrição do texto do tipo de ficheiro. Por exemplo, "Word Documento" ou "Binário". |
Indicador observáveis - rede
| Propriedade | Tipo | Descrição |
|---|---|---|
| domainName | Cadeia de caracteres | Nome de domínio associado a este indicador. Deve ser do formato subdomínio.domain.topleveldomain (por exemplo, baddomain.domain.net) |
| networkCidrBlock | Cadeia de caracteres | Representação da notação do Bloco CIDR da rede referenciada neste indicador. Utilize apenas se a Origem e o Destino não puderem ser identificados. |
| networkDestinationAsn | Int32 | O identificador de sistema autónomo de destino da rede referenciada no indicador. |
| networkDestinationCidrBlock | Cadeia de caracteres | Representação da notação do Bloco CIDR da rede de destino neste indicador. |
| networkDestinationIPv4 | Cadeia de caracteres | Destino do endereço IP IPv4. |
| networkDestinationIPv6 | Cadeia de caracteres | Destino do endereço IP IPv6. |
| networkDestinationPort | Int32 | Destino da porta TCP. |
| networkIPv4 | Cadeia de caracteres | Endereço IP IPv4. Utilize apenas se a Origem e o Destino não puderem ser identificados. |
| networkIPv6 | Cadeia de caracteres | Endereço IP IPv6. Utilize apenas se a Origem e o Destino não puderem ser identificados. |
| networkPort | Int32 | Porta TCP. Utilize apenas se a Origem e o Destino não puderem ser identificados. |
| networkProtocol | Int32 | Representação decimal do campo de protocolo no cabeçalho IPv4. |
| networkSourceAsn | Int32 | O identificador de sistema autónomo de origem da rede referenciada no indicador. |
| networkSourceCidrBlock | Cadeia de caracteres | Representação da notação do Bloco CIDR da rede de origem neste indicador |
| networkSourceIPv4 | Cadeia de caracteres | Origem do Endereço IP IPv4. |
| networkSourceIPv6 | Cadeia de caracteres | Origem do Endereço IP IPv6. |
| networkSourcePort | Int32 | Origem da porta TCP. |
| url | Cadeia de caracteres | Localizador de Recursos Uniforme. Este URL tem de estar em conformidade com o RFC 1738. |
| userAgent | Cadeia de caracteres | User-Agent cadeia de carateres de um pedido Web que pode indicar um compromisso. |
valores diamondModel
Para obter informações sobre este modelo, veja O Modelo Losango.
| Membro | Valor | Descrição |
|---|---|---|
| desconhecido | 0 | |
| adversário | 1 | O indicador descreve o adversário. |
| capacidade | 2 | O indicador é uma capacidade do adversário. |
| infraestrutura | 3 | O indicador descreve a infraestrutura do adversário. |
| vítima | 4 | O indicador descreve a vítima do adversário. |
| unknownFutureValue | 127 |
valores killChain
| Member | Descrição |
|---|---|
| Ações | Indica que o atacante está a utilizar o sistema comprometido para efetuar ações como um ataque denial of service distribuído. |
| C2 | Representa o canal de controlo através do qual um sistema comprometido é manipulado. |
| Entrega | O processo de distribuição do código de exploração às vítimas (por exemplo, USB, e-mail, sites). |
| Exploração | O código de exploração a tirar partido de vulnerabilidades (por exemplo, execução de código). |
| Instalação | Instalar software maligno depois de uma vulnerabilidade ter sido explorada. |
| Reconhecimento | Indicador é a prova de que um grupo de atividades recolhe informações a serem utilizadas num ataque futuro. |
| Armamento | Transformar uma vulnerabilidade em código de exploração (por exemplo, software maligno). |
valores threatType
| Member | Descrição |
|---|---|
| Botnet | O indicador está a detalhar um nó/membro do botnet. |
| C2 | O indicador está a detalhar um nó Comando & Controlo de uma botnet. |
| CryptoMining | O tráfego que envolve este endereço/URL de rede é uma indicação de CyrptoMining/Abuso de recursos. |
| Darknet | Indicador é o de um nó/rede Darknet. |
| DDoS | Indicadores relacionados com uma campanha DDoS ativa ou futura. |
| MaliciousUrl | URL que está a servir software maligno. |
| Malware | Indicador que descreve ficheiros ou ficheiros maliciosos. |
| Phishing | Indicadores relacionados com uma campanha de phishing. |
| Proxy | Indicador é o de um serviço proxy. |
| PUA | Aplicação Potencialmente Indesejada. |
| Lista de Observação | Este é o registo genérico para indicadores para os quais a ameaça não pode ser determinada ou que requerem interpretação manual. Os parceiros que submetem dados para o sistema não devem utilizar esta propriedade. |
valores tlpLevel
Cada indicador também tem de ter um valor de Protocolo de Semáforo quando é submetido. Este valor representa o âmbito de confidencialidade e partilha de um determinado indicador.
| Member | Descrição |
|---|---|
| Branco | Âmbito de partilha: ilimitado. Os indicadores podem ser partilhados livremente, sem restrições. |
| Verde | Âmbito de partilha: Comunidade. Os indicadores podem ser partilhados com a comunidade de segurança. |
| Âmbar | Âmbito de partilha: limitado. Esta é a predefinição para indicadores e restringe a partilha apenas para aqueles com uma "necessidade de saber" ser 1) Serviços e operadores de serviço que implementam informações sobre ameaças 2) Clientes cujos sistemas apresentam um comportamento consistente com o indicador. |
| Vermelho | Âmbito de partilha: Pessoal. Estes indicadores devem ser partilhados diretamente e, preferencialmente, pessoalmente. Normalmente, os indicadores TLP Vermelho não são ingeridos devido às restrições predefinidas. Se os indicadores TLP Red forem submetidos, a propriedade "PassiveOnly" também deve ser definida como True . |
Relações
Nenhum
Representação JSON
A representação JSON seguinte mostra o tipo de recurso.
{
"action": "string",
"activityGroupNames": ["String"],
"additionalInformation": "String",
"azureTenantId": "String",
"confidence": 1024,
"description": "String",
"diamondModel": "string",
"domainName": "String",
"emailEncoding": "String",
"emailLanguage": "String",
"emailRecipient": "String",
"emailSenderAddress": "String",
"emailSenderName": "String",
"emailSourceDomain": "String",
"emailSourceIpAddress": "String",
"emailSubject": "String",
"emailXMailer": "String",
"expirationDateTime": "String (timestamp)",
"externalId": "String",
"fileCompileDateTime": "String (timestamp)",
"fileCreatedDateTime": "String (timestamp)",
"fileHashType": "string",
"fileHashValue": "String",
"fileMutexName": "String",
"fileName": "String",
"filePacker": "String",
"filePath": "String",
"fileSize": 1024,
"fileType": "String",
"id": "String (identifier)",
"ingestedDateTime": "String (timestamp)",
"isActive": true,
"killChain": ["String"],
"knownFalsePositives": "String",
"lastReportedDateTime": "String (timestamp)",
"malwareFamilyNames": ["String"],
"networkCidrBlock": "String",
"networkDestinationAsn": 1024,
"networkDestinationCidrBlock": "String",
"networkDestinationIPv4": "String",
"networkDestinationIPv6": "String",
"networkDestinationPort": 1024,
"networkIPv4": "String",
"networkIPv6": "String",
"networkPort": 1024,
"networkProtocol": 1024,
"networkSourceAsn": 1024,
"networkSourceCidrBlock": "String",
"networkSourceIPv4": "String",
"networkSourceIPv6": "String",
"networkSourcePort": 1024,
"passiveOnly": true,
"severity": 1024,
"tags": ["String"],
"targetProduct": "String",
"threatType": "String",
"tlpLevel": "string",
"url": "String",
"userAgent": "String"
}