Segurança do Microsoft Graph (preterido) [PRETERIDO]
O conector Microsoft Graph Security ajuda a conectar diferentes produtos e serviços de segurança da Microsoft e de parceiros, usando um esquema unificado, para simplificar as operações de segurança e melhorar os recursos de proteção, deteção e resposta contra ameaças. Saiba mais sobre a integração com a API de Segurança do Microsoft Graph em https://aka.ms/graphsecuritydocs (preterido)
Este conector está disponível nos seguintes produtos e regiões:
| Serviço | Class | Regiões |
|---|---|---|
| Estúdio Copiloto | Premium | Todas as regiões do Power Automatic , exceto as seguintes: - Governo dos EUA (CCG) - Governo dos EUA (GCC High) - China Cloud operado pela 21Vianet - Departamento de Defesa dos EUA (DoD) |
| Aplicações Lógicas | Standard | Todas as regiões do Logic Apps , exceto as seguintes: - Regiões do Azure Government - Regiões do Azure China - Departamento de Defesa dos EUA (DoD) |
| Aplicações Power | Premium | Todas as regiões do Power Apps , exceto as seguintes: - Governo dos EUA (CCG) - Governo dos EUA (GCC High) - China Cloud operado pela 21Vianet - Departamento de Defesa dos EUA (DoD) |
| Automatize o poder | Premium | Todas as regiões do Power Automatic , exceto as seguintes: - Governo dos EUA (CCG) - Governo dos EUA (GCC High) - China Cloud operado pela 21Vianet - Departamento de Defesa dos EUA (DoD) |
| Contato | |
|---|---|
| Nome | Microsoft |
| URL |
Suporte do Microsoft LogicApps Suporte do Microsoft Power Automate Suporte do Microsoft Power Apps |
| sipsisgdev@microsoft.com |
| Metadados do conector | |
|---|---|
| Editora | Microsoft |
| Sítio Web | https://www.microsoft.com/security/business/graph-security-api |
Pré-requisitos para se conectar com o conector de segurança do Microsoft Graph
Leia mais sobre a API de Segurança do Microsoft Graph.
Para usar a ação do conector de segurança do Microsoft Graph , comece com um gatilho, como o gatilho de recorrência.
Para usar o conector de Segurança do Microsoft Graph, o consentimento do administrador do locatário do Microsoft Entra ID precisa ser fornecido como parte dos requisitos de Autenticação de Segurança do Microsoft Graph.
A ID e o nome do aplicativo do conector do Microsoft Graph Security (para o Microsoft Entra ID em https://portal.azure.com) são os seguintes para o consentimento do administrador do Microsoft Entra ID:
- Nome do aplicativo - MicrosoftGraphSecurityConnector
- ID do aplicativo - c4829704-0edc-4c3d-a347-7c4a67586f3c
- O administrador de locatário pode seguir as etapas descritas na concessão de consentimento de administrador de locatário para aplicativos Microsoft Entra ID para o aplicativo acima mencionado ou pode conceder permissões na execução inicial de um fluxo de trabalho usando o conector de segurança do Microsoft Graph de acordo com a experiência de consentimento do aplicativo.
Agora você está pronto para usar o conector de segurança do Microsoft Graph!
Conector em profundidade
Para obter mais informações sobre o conector, consulte a seção detalhada.
A criar uma ligação
O conector suporta os seguintes tipos de autenticação:
| Predefinição | Parâmetros para criar conexão. | Todas as regiões | Não compartilhável |
Padrão
Aplicável: Todas as regiões
Parâmetros para criar conexão.
Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
Limites de Limitação
| Name | Chamadas | Período de Renovação |
|---|---|---|
| Chamadas de API por conexão | 100 | 60 segundos |
Ações
| Alerta de atualização (preterido) [PRETERIDO] |
Atualizar propriedades específicas de um alerta de segurança (preterido). |
| Atualizar subscrição (preterido) [PRETERIDO] |
Renove uma assinatura de webhook do Microsoft Graph atualizando seu tempo de expiração (preterido). |
|
Atualizar vários ti |
Atualize as propriedades específicas de vários indicadores de inteligência de ameaças. Os campos obrigatórios para cada tiIndicator são: Id, expirationDateTime e targetProduct (preterido). |
| Criar assinaturas (preterido) [PRETERIDO] |
Crie assinaturas de webhook do Microsoft Graph (preteridas). |
|
Criar ti |
Crie um novo indicador de inteligência de ameaças publicando na coleção tiIndicators (preterido). |
|
Enviar vários ti |
Crie novos indicadores de inteligência de ameaças publicando uma coleção tiIndicators. Os campos obrigatórios para cada tiIndicator são: action, azureTenantId, description, expirationDateTime, targetProduct, threatType, tlpLevel (preterido). |
| Excluir assinaturas (preterido) [PRETERIDO] |
Exclua a assinatura específica do Microsoft Graph Webhook (preterida). |
|
Excluir ti |
Exclua um indicador de inteligência de ameaças correspondente ao ID especificado (preterido). |
|
Excluir vários ti |
Exclua vários indicadores de inteligência de ameaças correspondentes aos IDs especificados (preteridos). |
|
Excluir vários ti |
Exclua vários indicadores de inteligência de ameaças correspondentes aos IDs externos especificados (preteridos). |
| Obter alerta por ID (preterido) [PRETERIDO] |
Receba um alerta de segurança correspondente ao ID especificado (preterido). |
| Obter alertas (preterido) [PRETERIDO] |
Obtenha uma lista de alertas de segurança para este locatário do Microsoft Entra ID. Use com diferentes parâmetros de consulta (preterido). |
| Obter subscrições ativas (preterido) [PRETERIDO] |
Obtenha a lista de assinaturas não expiradas para este locatário do Microsoft Entra ID (preterido). |
|
Obter ti |
Obtenha um indicador de inteligência de ameaças correspondente ao ID especificado (preterido). |
|
Obter ti |
Obtenha uma lista de indicadores de inteligência de ameaças para este locatário do Microsoft Entra ID. Use com diferentes parâmetros de consulta (preterido). |
|
Update ti |
Atualize as propriedades específicas de um indicador de inteligência de ameaças. Os campos obrigatórios para o tiIndicator são: Id, expirationDateTime e targetProduct (preterido). |
Alerta de atualização (preterido) [PRETERIDO]
Atualizar propriedades específicas de um alerta de segurança (preterido).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID do alerta
|
alert-id | True | string |
Especifique o ID do alerta. |
|
Atribuído a
|
assignedTo | string |
Especifique o nome do analista ao qual o alerta é atribuído para triagem, investigação ou correção. |
|
|
Data/hora fechada
|
closedDateTime | string |
Especifique a hora em que o alerta foi fechado. O tipo de carimbo de data/hora representa informações de data e hora usando o formato ISO 8601 e está sempre em hora UTC. |
|
|
comments
|
comments | array of string |
Comments |
|
|
Etiquetas
|
tags | array of string |
Especifique quaisquer rótulos definíveis pelo utilizador que possam ser aplicados a um alerta e que possam servir como condições de filtro (por exemplo, "HVA", "SAW", etc.). |
|
|
Feedback
|
feedback | string |
Especifique o feedback do analista sobre o alerta. |
|
|
Situação
|
status | string |
Especifique o status para acompanhar o status do ciclo de vida do alerta (estágio). |
|
|
Nome do fornecedor
|
provider | True | string |
Fornecedor específico (produto/serviço - não empresa fornecedora); por exemplo, WindowsDefenderATP. |
|
Versão do provedor
|
providerVersion | string |
Especifique a versão do provedor ou subprovedor, se existir, que gerou o alerta. |
|
|
Nome do subprovedor
|
subProvider | string |
Subfornecedor específico (sob fornecedor agregador); por exemplo, WindowsDefenderATP.SmartScreen. |
|
|
Nome do fornecedor
|
vendor | True | string |
Especifique o nome do fornecedor do alerta (por exemplo, Microsoft, Dell, FireEye). |
Atualizar subscrição (preterido) [PRETERIDO]
Renove uma assinatura de webhook do Microsoft Graph atualizando seu tempo de expiração (preterido).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da subscrição
|
Subscription Id | True | string |
Especifique a ID da assinatura do Microsoft Graph Webhook. |
|
Hora da data de validade
|
expirationDateTime | string |
Especifique a data e a hora, no formato UTC, de quando a assinatura do webhook do Microsoft Graph expira. O tempo máximo de expiração dos alertas de segurança é de 43200 minutos (menos de 30 dias). |
Devoluções
Uma única entidade de assinatura retornou
- Subscription
- Subscription
Atualizar vários tiIndicators (preterido) [PRETERIDO]
Atualize as propriedades específicas de vários indicadores de inteligência de ameaças. Os campos obrigatórios para cada tiIndicator são: Id, expirationDateTime e targetProduct (preterido).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
id
|
id | True | string |
TiIndicator-id |
|
Ação
|
action | string |
A ação a ser aplicada se o indicador for correspondido a partir da ferramenta de segurança do produto alvo. Valores: (desconhecido, permitir, bloquear, alertar). |
|
|
Nomes de grupos de atividades
|
activityGroupNames | array of string |
O(s) nome(s) de inteligência de ameaças cibernéticas para as partes responsáveis pela atividade maliciosa coberta pelo indicador de ameaça. |
|
|
Informações adicionais
|
additionalInformation | string |
Dados adicionais do indicador não cobertos pelas outras propriedades do tiIndicator podem ser colocados |
|
|
Confiança
|
confidence | integer |
Confiança da lógica de deteção (percentagem entre 0-100). |
|
|
Description
|
description | string |
Descrição do TiIndicator (100 charactes ou menos). |
|
|
Modelo diamante
|
diamondModel | string |
A área do Modelo Diamante em que este indicador existe. Valores: (desconhecido, adversário, capacidade, infraestrutura, vítima). |
|
|
Hora da data de validade
|
expirationDateTime | True | date-time |
Hora em que o Indicador expira (UTC). |
|
Produto Alvo
|
targetProduct | True | string |
Produto de segurança único ao qual o indicador deve ser aplicado. Os valores aceitáveis são: Azure Sentinel, Microsoft Defender ATP. |
|
ID externo
|
externalId | string |
Um número de identificação que liga o indicador ao sistema do fornecedor do indicador (por exemplo, uma chave estrangeira). |
|
|
Está ativo
|
isActive | boolean |
Por padrão, qualquer indicador enviado é definido como ativo. No entanto, os fornecedores podem apresentar indicadores existentes com este conjunto como «Falso» para desativar os indicadores no sistema. |
|
|
Cadeia de abate
|
killChain | array of string |
strings que descrevem qual ponto ou pontos na Kill Chain esse indicador visa. Valores: (Ações, C2, Entrega, Exploração, Instalação, Reconhecimento, Armamento). |
|
|
Falsos positivos conhecidos
|
knownFalsePositives | string |
Cenários em que o indicador pode causar falsos positivos. |
|
|
Última data e hora comunicada
|
lastReportedDateTime | date-time |
A última vez que o indicador foi visto (UTC). |
|
|
Nomes de família de malware
|
malwareFamilyNames | array of string |
O nome de família do malware associado a um indicador, se existir. |
|
|
Apenas passivo
|
passiveOnly | boolean |
Determina se o indicador deve acionar um evento visível para um usuário final. |
|
|
Severity
|
severity | integer |
Gravidade do comportamento malicioso identificado pelos dados dentro do indicador. Os valores são de 0 a 5, sendo 5 o mais grave. O valor padrão é 3. |
|
|
Etiquetas
|
tags | array of string | ||
|
Nível Tlp
|
tlpLevel | string |
Valor do Protocolo de Semáforo para o indicador. Os valores possíveis são: desconhecido, branco, verde, âmbar, vermelho. |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
TiIndicadores
|
value | array of TiIndicator |
Os TiIndicators atualizados |
Criar assinaturas (preterido) [PRETERIDO]
Crie assinaturas de webhook do Microsoft Graph (preteridas).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
URL do Recurso
|
resource | True | string |
Especifique o recurso que será monitorado quanto a alterações. Não inclua o URL base ( |
|
Tipo de alteração
|
changeType | True | string |
Especifique o tipo de propriedade que deve gerar uma notificação quando alterado no recurso inscrito. |
|
Estado do cliente
|
clientState | string |
Especifique o estado do cliente para confirmar a origem da notificação. |
|
|
URL de notificação
|
notificationUrl | True | string |
Especifique uma URL bem formada do ponto de extremidade que receberá notificações. |
|
Hora da data de validade
|
expirationDateTime | True | date-time |
Especifique a data e hora em que a assinatura do webhook expira; precisa ser uma hora de data maior do que a hora atual e dentro de 30 dias. |
Devoluções
Uma única entidade de assinatura retornou
- Subscription
- Subscription
Criar tiIndicator (preterido) [PRETERIDO]
Crie um novo indicador de inteligência de ameaças publicando na coleção tiIndicators (preterido).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Ação
|
action | True | string |
A ação a ser aplicada se o indicador for correspondido a partir da ferramenta de segurança do produto alvo. Valores: (desconhecido, permitir, bloquear, alertar). |
|
Nomes de grupos de atividades
|
activityGroupNames | array of string |
O(s) nome(s) de inteligência de ameaças cibernéticas para as partes responsáveis pela atividade maliciosa coberta pelo indicador de ameaça. |
|
|
Informações adicionais
|
additionalInformation | string |
Dados adicionais do indicador não cobertos pelas outras propriedades do tiIndicator podem ser colocados |
|
|
ID do Locatário do Azure
|
azureTenantId | string |
A ID do locatário do Microsoft Entra ID do cliente de envio. |
|
|
Confiança
|
confidence | integer |
Confiança da lógica de deteção (percentagem entre 0-100). |
|
|
Description
|
description | True | string |
Descrição do TiIndicator (100 charactes ou menos). |
|
Modelo diamante
|
diamondModel | string |
A área do Modelo Diamante em que este indicador existe. Valores: (desconhecido, adversário, capacidade, infraestrutura, vítima). |
|
|
Hora da data de validade
|
expirationDateTime | True | date-time |
Hora em que o Indicador expira (UTC). |
|
ID externo
|
externalId | string |
Um número de identificação que liga o indicador ao sistema do fornecedor do indicador (por exemplo, uma chave estrangeira). |
|
|
Data e hora da ingestão
|
ingestedDateTime | date-time |
Hora em que o Indicador é ingerido (UTC). |
|
|
Está ativo
|
isActive | boolean |
Por padrão, qualquer indicador enviado é definido como ativo. No entanto, os fornecedores podem apresentar indicadores existentes com este conjunto como «Falso» para desativar os indicadores no sistema. |
|
|
Cadeia de abate
|
killChain | array of string |
strings que descrevem qual ponto ou pontos na Kill Chain esse indicador visa. Valores: (Ações, C2, Entrega, Exploração, Instalação, Reconhecimento, Armamento). |
|
|
Falsos positivos conhecidos
|
knownFalsePositives | string |
Cenários em que o indicador pode causar falsos positivos. |
|
|
Última data e hora comunicada
|
lastReportedDateTime | date-time |
A última vez que o indicador foi visto (UTC). |
|
|
Nomes de família de malware
|
malwareFamilyNames | array of string |
O nome de família do malware associado a um indicador, se existir. |
|
|
Apenas passivo
|
passiveOnly | boolean |
Determina se o indicador deve acionar um evento visível para um usuário final. |
|
|
Severity
|
severity | integer |
Gravidade do comportamento malicioso identificado pelos dados dentro do indicador. Os valores são de 0 a 5, sendo 5 o mais grave. O valor padrão é 3. |
|
|
Etiquetas
|
tags | array of string | ||
|
Produto Alvo
|
targetProduct | True | string |
Produto de segurança único ao qual o indicador deve ser aplicado. Os valores aceitáveis são: Azure Sentinel, Microsoft Defender ATP. |
|
Tipo de Ameaça
|
threatType | string |
Cada indicador deve ter um Tipo de Ameaça de Indicador válido. Os valores possíveis são: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, API, WatchList. |
|
|
Nível Tlp
|
tlpLevel | string |
Valor do Protocolo de Semáforo para o indicador. Os valores possíveis são: desconhecido, branco, verde, âmbar, vermelho. |
|
|
Codificação de e-mail
|
emailEncoding | string |
O tipo de codificação de texto usado no e-mail. |
|
|
Idioma do e-mail
|
emailLanguage | string |
O idioma do e-mail. |
|
|
Destinatário do e-mail
|
emailRecipient | string |
Endereço de e-mail do destinatário. |
|
|
Endereço do remetente do e-mail
|
emailSenderAddress | string |
Endereço de e-mail do atacante|vítima. |
|
|
Nome do remetente do e-mail
|
emailSenderName | string |
Nome exibido do atacante|vítima. |
|
|
Domínio de origem do e-mail
|
emailSourceDomain | string |
Domínio usado no e-mail. |
|
|
Endereço IP de origem do e-mail
|
emailSourceIpAddress | string |
Endereço IP de origem do e-mail. |
|
|
assunto Email
|
emailSubject | string |
Linha de assunto do e-mail. |
|
|
E-mail XMailer
|
emailXMailer | string |
Valor X-Mailer usado no e-mail. |
|
|
Data de compilação do arquivo e hora
|
fileCompileDateTime | date-time |
DateTime quando o arquivo foi compilado. |
|
|
Hora da data de criação do ficheiro
|
fileCreatedDateTime | date-time |
DateTime quando o arquivo foi criado. |
|
|
Tipo de hash de arquivo
|
fileHashType | string |
O tipo de hash armazenado em fileHashValue. Os valores possíveis são: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
|
|
Valor de hash do arquivo
|
fileHashValue | string |
O valor de hash do arquivo. |
|
|
Nome do arquivo mutex
|
fileMutexName | string |
Nome Mutex usado em deteções baseadas em arquivos. |
|
|
Nome do ficheiro
|
fileName | string |
Nome do arquivo se o indicador for baseado em arquivo. |
|
|
Empacotador de arquivos
|
filePacker | string |
O empacotador usado para construir o arquivo em questão. |
|
|
Caminho do arquivo
|
filePath | string |
Caminho do arquivo indicando compromisso. Pode ser um caminho no estilo Windows ou *nix. |
|
|
Tamanho do ficheiro
|
fileSize | integer |
Tamanho do ficheiro em bytes. |
|
|
Tipo de ficheiro
|
fileType | string |
Descrição em texto do tipo de ficheiro. Por exemplo, "Documento do Word" ou "Binário". |
|
|
Nome de domínio
|
domainName | string |
Nome de domínio associado a este indicador. |
|
|
Bloco cidr de rede
|
networkCidrBlock | string |
Representação da notação de bloco CIDR da rede referenciada neste indicador. |
|
|
Destino da rede Asn
|
networkDestinationAsn | integer |
O identificador do sistema autónomo de destino da rede referenciada no indicador. |
|
|
Bloco cidr de destino da rede
|
networkDestinationCidrBlock | string |
Representação da notação de bloco CIDR da rede de destino neste indicador. |
|
|
IPv4 de destino da rede
|
networkDestinationIPv4 | string |
Destino do endereço IP IPv4. |
|
|
IPv6 de destino da rede
|
networkDestinationIPv6 | string |
Destino do endereço IP IPv6. |
|
|
Porta de destino da rede
|
networkDestinationPort | integer |
Destino da porta TCP. |
|
|
IPv4 de rede
|
networkIPv4 | string |
Endereço IP IPv4. |
|
|
IPv6 de rede
|
networkIPv6 | string |
Endereço IP IPv6. |
|
|
Porta de rede
|
networkPort | integer |
Porta TCP. |
|
|
Protocolo de rede
|
networkProtocol | integer |
Representação decimal do campo de protocolo no cabeçalho IPv4. |
|
|
Fonte de rede Asn
|
networkSourceAsn | integer |
O identificador do sistema autónomo de origem da rede referenciada no indicador. |
|
|
Bloco cidr de origem de rede
|
networkSourceCidrBlock | string |
Representação da notação de bloco CIDR da rede de origem neste indicador. |
|
|
IPv4 de origem de rede
|
networkSourceIPv4 | string |
Origem do endereço IP IPv4. |
|
|
IPv6 de destino da rede
|
networkSourceIPv6 | string |
Origem do endereço IP IPv6. |
|
|
Porta de origem da rede
|
networkSourcePort | integer |
Origem da porta TCP. |
|
|
Endereço URL
|
url | string |
Localizador uniforme de recursos. |
|
|
Agente de usuário
|
userAgent | string |
User-Agent cadeia de caracteres de uma solicitação da Web que pode indicar comprometimento. |
Devoluções
Uma única entidade TiIndicator retornou
- TiIndicador
- TiIndicator
Enviar vários tiIndicators (preterido) [DEPRECATED]
Crie novos indicadores de inteligência de ameaças publicando uma coleção tiIndicators. Os campos obrigatórios para cada tiIndicator são: action, azureTenantId, description, expirationDateTime, targetProduct, threatType, tlpLevel (preterido).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Ação
|
action | True | string |
A ação a ser aplicada se o indicador for correspondido a partir da ferramenta de segurança do produto alvo. Valores: (desconhecido, permitir, bloquear, alertar). |
|
Nomes de grupos de atividades
|
activityGroupNames | array of string |
O(s) nome(s) de inteligência de ameaças cibernéticas para as partes responsáveis pela atividade maliciosa coberta pelo indicador de ameaça. |
|
|
Informações adicionais
|
additionalInformation | string |
Dados adicionais do indicador não cobertos pelas outras propriedades do tiIndicator podem ser colocados |
|
|
ID do Locatário do Azure
|
azureTenantId | string |
A ID do locatário do Microsoft Entra ID do cliente de envio. |
|
|
Confiança
|
confidence | integer |
Confiança da lógica de deteção (percentagem entre 0-100). |
|
|
Description
|
description | True | string |
Descrição do TiIndicator (100 charactes ou menos). |
|
Modelo diamante
|
diamondModel | string |
A área do Modelo Diamante em que este indicador existe. Valores: (desconhecido, adversário, capacidade, infraestrutura, vítima). |
|
|
Hora da data de validade
|
expirationDateTime | True | date-time |
Hora em que o Indicador expira (UTC). |
|
ID externo
|
externalId | string |
Um número de identificação que liga o indicador ao sistema do fornecedor do indicador (por exemplo, uma chave estrangeira). |
|
|
Data e hora da ingestão
|
ingestedDateTime | date-time |
Hora em que o Indicador é ingerido (UTC). |
|
|
Está ativo
|
isActive | boolean |
Por padrão, qualquer indicador enviado é definido como ativo. No entanto, os fornecedores podem apresentar indicadores existentes com este conjunto como «Falso» para desativar os indicadores no sistema. |
|
|
Cadeia de abate
|
killChain | array of string |
strings que descrevem qual ponto ou pontos na Kill Chain esse indicador visa. Valores: (Ações, C2, Entrega, Exploração, Instalação, Reconhecimento, Armamento). |
|
|
Falsos positivos conhecidos
|
knownFalsePositives | string |
Cenários em que o indicador pode causar falsos positivos. |
|
|
Última data e hora comunicada
|
lastReportedDateTime | date-time |
A última vez que o indicador foi visto (UTC). |
|
|
Nomes de família de malware
|
malwareFamilyNames | array of string |
O nome de família do malware associado a um indicador, se existir. |
|
|
Apenas passivo
|
passiveOnly | boolean |
Determina se o indicador deve acionar um evento visível para um usuário final. |
|
|
Severity
|
severity | integer |
Gravidade do comportamento malicioso identificado pelos dados dentro do indicador. Os valores são de 0 a 5, sendo 5 o mais grave. O valor padrão é 3. |
|
|
Etiquetas
|
tags | array of string | ||
|
Produto Alvo
|
targetProduct | True | string |
Produto de segurança único ao qual o indicador deve ser aplicado. Os valores aceitáveis são: Azure Sentinel, Microsoft Defender ATP. |
|
Tipo de Ameaça
|
threatType | string |
Cada indicador deve ter um Tipo de Ameaça de Indicador válido. Os valores possíveis são: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, API, WatchList. |
|
|
Nível Tlp
|
tlpLevel | string |
Valor do Protocolo de Semáforo para o indicador. Os valores possíveis são: desconhecido, branco, verde, âmbar, vermelho. |
|
|
Codificação de e-mail
|
emailEncoding | string |
O tipo de codificação de texto usado no e-mail. |
|
|
Idioma do e-mail
|
emailLanguage | string |
O idioma do e-mail. |
|
|
Destinatário do e-mail
|
emailRecipient | string |
Endereço de e-mail do destinatário. |
|
|
Endereço do remetente do e-mail
|
emailSenderAddress | string |
Endereço de e-mail do atacante|vítima. |
|
|
Nome do remetente do e-mail
|
emailSenderName | string |
Nome exibido do atacante|vítima. |
|
|
Domínio de origem do e-mail
|
emailSourceDomain | string |
Domínio usado no e-mail. |
|
|
Endereço IP de origem do e-mail
|
emailSourceIpAddress | string |
Endereço IP de origem do e-mail. |
|
|
assunto Email
|
emailSubject | string |
Linha de assunto do e-mail. |
|
|
E-mail XMailer
|
emailXMailer | string |
Valor X-Mailer usado no e-mail. |
|
|
Data de compilação do arquivo e hora
|
fileCompileDateTime | date-time |
DateTime quando o arquivo foi compilado. |
|
|
Hora da data de criação do ficheiro
|
fileCreatedDateTime | date-time |
DateTime quando o arquivo foi criado. |
|
|
Tipo de hash de arquivo
|
fileHashType | string |
O tipo de hash armazenado em fileHashValue. Os valores possíveis são: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
|
|
Valor de hash do arquivo
|
fileHashValue | string |
O valor de hash do arquivo. |
|
|
Nome do arquivo mutex
|
fileMutexName | string |
Nome Mutex usado em deteções baseadas em arquivos. |
|
|
Nome do ficheiro
|
fileName | string |
Nome do arquivo se o indicador for baseado em arquivo. |
|
|
Empacotador de arquivos
|
filePacker | string |
O empacotador usado para construir o arquivo em questão. |
|
|
Caminho do arquivo
|
filePath | string |
Caminho do arquivo indicando compromisso. Pode ser um caminho no estilo Windows ou *nix. |
|
|
Tamanho do ficheiro
|
fileSize | integer |
Tamanho do ficheiro em bytes. |
|
|
Tipo de ficheiro
|
fileType | string |
Descrição em texto do tipo de ficheiro. Por exemplo, "Documento do Word" ou "Binário". |
|
|
Nome de domínio
|
domainName | string |
Nome de domínio associado a este indicador. |
|
|
Bloco cidr de rede
|
networkCidrBlock | string |
Representação da notação de bloco CIDR da rede referenciada neste indicador. |
|
|
Destino da rede Asn
|
networkDestinationAsn | integer |
O identificador do sistema autónomo de destino da rede referenciada no indicador. |
|
|
Bloco cidr de destino da rede
|
networkDestinationCidrBlock | string |
Representação da notação de bloco CIDR da rede de destino neste indicador. |
|
|
IPv4 de destino da rede
|
networkDestinationIPv4 | string |
Destino do endereço IP IPv4. |
|
|
IPv6 de destino da rede
|
networkDestinationIPv6 | string |
Destino do endereço IP IPv6. |
|
|
Porta de destino da rede
|
networkDestinationPort | integer |
Destino da porta TCP. |
|
|
IPv4 de rede
|
networkIPv4 | string |
Endereço IP IPv4. |
|
|
IPv6 de rede
|
networkIPv6 | string |
Endereço IP IPv6. |
|
|
Porta de rede
|
networkPort | integer |
Porta TCP. |
|
|
Protocolo de rede
|
networkProtocol | integer |
Representação decimal do campo de protocolo no cabeçalho IPv4. |
|
|
Fonte de rede Asn
|
networkSourceAsn | integer |
O identificador do sistema autónomo de origem da rede referenciada no indicador. |
|
|
Bloco cidr de origem de rede
|
networkSourceCidrBlock | string |
Representação da notação de bloco CIDR da rede de origem neste indicador. |
|
|
IPv4 de origem de rede
|
networkSourceIPv4 | string |
Origem do endereço IP IPv4. |
|
|
IPv6 de destino da rede
|
networkSourceIPv6 | string |
Origem do endereço IP IPv6. |
|
|
Porta de origem da rede
|
networkSourcePort | integer |
Origem da porta TCP. |
|
|
Endereço URL
|
url | string |
Localizador uniforme de recursos. |
|
|
Agente de usuário
|
userAgent | string |
User-Agent cadeia de caracteres de uma solicitação da Web que pode indicar comprometimento. |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
TiIndicadores
|
value | array of TiIndicator |
Os TiIndicators apresentados |
Excluir assinaturas (preterido) [PRETERIDO]
Exclua a assinatura específica do Microsoft Graph Webhook (preterida).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da subscrição
|
Subscription Id | True | string |
Especifique a ID da Assinatura do Webhook do Microsoft Graph. |
Excluir tiIndicator por ID (preterido) [PRETERIDO]
Exclua um indicador de inteligência de ameaças correspondente ao ID especificado (preterido).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
Especificar ID do indicador de inteligência de ameaças |
Excluir vários tiIndicators por IDs (preterido) [DEPRECATED]
Exclua vários indicadores de inteligência de ameaças correspondentes aos IDs especificados (preteridos).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
valor
|
value | array of string |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
valor
|
value | array of object | |
|
código
|
value.code | integer |
O código do resultado |
|
mensagem
|
value.message | string |
A mensagem |
|
subcódigo
|
value.subcode | integer |
O subcódigo do resultado |
Excluir vários tiIndicators por IDs externos (preterido) [DEPRECATED]
Exclua vários indicadores de inteligência de ameaças correspondentes aos IDs externos especificados (preteridos).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
valor
|
value | array of string |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
valor
|
value | array of object | |
|
código
|
value.code | integer |
O código do resultado |
|
mensagem
|
value.message | string |
A mensagem |
|
subcódigo
|
value.subcode | integer |
O subcódigo do resultado |
Obter alerta por ID (preterido) [PRETERIDO]
Receba um alerta de segurança correspondente ao ID especificado (preterido).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID do alerta
|
alert-id | True | string |
Especifique o ID do alerta. |
Devoluções
Uma única entidade de alerta retornada
- Alert
- Alert
Obter alertas (preterido) [PRETERIDO]
Obtenha uma lista de alertas de segurança para este locatário do Microsoft Entra ID. Use com diferentes parâmetros de consulta (preterido).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Filtrar alertas
|
$filter | string |
Especifique a condição de filtragem para alertas como Severity eq "High". |
|
|
Principais alertas
|
$top | integer |
Especifique o número mais recente de alertas a serem recuperados de cada provedor. |
|
|
Selecionar propriedades de alerta
|
$select | string |
Especifique as propriedades de alerta a serem incluídas nos resultados. |
|
|
Ordem de classificação
|
$orderby | string |
Especifique a ordem de classificação dos resultados. |
|
|
Ignora "n" resultados
|
$skip | integer |
Especifique o número de resultados a ignorar. Útil para paginação. |
|
|
Incluir contagem de alertas retornados
|
$count | string |
Especificar para incluir o número de alertas retornados na resposta |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de alertas
|
@odata.count | integer |
O número de alertas retornados |
|
Alertas
|
value | array of Alert |
Os alertas retornados |
|
Próximo link
|
@odata.nextLink | string |
Um link para obter os próximos resultados, caso haja mais resultados do que o solicitado |
Obter subscrições ativas (preterido) [PRETERIDO]
Obtenha a lista de assinaturas não expiradas para este locatário do Microsoft Entra ID (preterido).
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de subcrições existentes
|
@odata.count | integer |
O número de subcrições devolvidas |
|
Subscription
|
value | array of Subscription |
As entidades de subscrição regressaram |
|
Próximo link
|
@odata.nextLink | string |
Um link para obter os próximos resultados, caso haja mais resultados do que o solicitado |
Obter tiIndicator por ID (preterido) [DEPRECATED]
Obtenha um indicador de inteligência de ameaças correspondente ao ID especificado (preterido).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
Especificar ID do indicador de inteligência de ameaças |
Devoluções
Uma única entidade TiIndicator retornou
- TiIndicador
- TiIndicator
Obter tiIndicators (preterido) [PRETERIDO]
Obtenha uma lista de indicadores de inteligência de ameaças para este locatário do Microsoft Entra ID. Use com diferentes parâmetros de consulta (preterido).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Filtrar tiIndicators
|
$filter | string |
Especificar condição de filtragem para indicadores de inteligência de ameaças, como threatType eq 'WatchList' |
|
|
Top tiIndicadores
|
$top | integer |
Especificar o número máximo recente de indicadores de informações sobre ameaças a serem recuperados |
|
|
Selecionar propriedades tiIndicator
|
$select | string |
Especifique as propriedades do indicador de inteligência de ameaças a serem incluídas nos resultados. |
|
|
Incluir contagem de tiIndicators retornados
|
$count | string |
Especificar para incluir o número de indicadores de inteligência de ameaças retornados na resposta |
|
|
Ignora "n" resultados
|
$skip | integer |
Especifique o número de resultados a ignorar. Útil para paginação. |
|
|
Ordem de classificação
|
$orderby | string |
Especifique a ordem de classificação dos resultados. |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem TiIndicator
|
@odata.count | integer |
O número de TiIndicator retornado |
|
TiIndicadores
|
value | array of TiIndicator |
O TiIndicator retornou |
|
Próximo link
|
@odata.nextLink | string |
Um link para obter os próximos resultados, caso haja mais resultados do que o solicitado |
Update tiIndicator (preterido) [DEPRECATED]
Atualize as propriedades específicas de um indicador de inteligência de ameaças. Os campos obrigatórios para o tiIndicator são: Id, expirationDateTime e targetProduct (preterido).
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
Especifique o ID do indicador de inteligência de ameaças. |
|
Ação
|
action | string |
A ação a ser aplicada se o indicador for correspondido a partir da ferramenta de segurança do produto alvo. Valores: (desconhecido, permitir, bloquear, alertar). |
|
|
Nomes de grupos de atividades
|
activityGroupNames | array of string |
O(s) nome(s) de inteligência de ameaças cibernéticas para as partes responsáveis pela atividade maliciosa coberta pelo indicador de ameaça. |
|
|
Informações adicionais
|
additionalInformation | string |
Dados adicionais do indicador não cobertos pelas outras propriedades do tiIndicator podem ser colocados |
|
|
Confiança
|
confidence | integer |
Confiança da lógica de deteção (percentagem entre 0-100). |
|
|
Description
|
description | string |
Descrição do TiIndicator (100 charactes ou menos). |
|
|
Modelo diamante
|
diamondModel | string |
A área do Modelo Diamante em que este indicador existe. Valores: (desconhecido, adversário, capacidade, infraestrutura, vítima). |
|
|
Hora da data de validade
|
expirationDateTime | True | date-time |
Hora em que o Indicador expira (formato UTC. Por exemplo, 2020-03-01T00:00:00Z). |
|
ID externo
|
externalId | string |
Um número de identificação que liga o indicador ao sistema do fornecedor do indicador (por exemplo, uma chave estrangeira). |
|
|
Está ativo
|
isActive | boolean |
Por padrão, qualquer indicador enviado é definido como ativo. No entanto, os fornecedores podem apresentar indicadores existentes com este conjunto como «Falso» para desativar os indicadores no sistema. |
|
|
Cadeia de abate
|
killChain | array of string |
strings que descrevem qual ponto ou pontos na Kill Chain esse indicador visa. Valores: (Ações, C2, Entrega, Exploração, Instalação, Reconhecimento, Armamento). |
|
|
Falsos positivos conhecidos
|
knownFalsePositives | string |
Cenários em que o indicador pode causar falsos positivos. |
|
|
Última data e hora comunicada
|
lastReportedDateTime | date-time |
A última vez que o indicador foi visto (UTC). |
|
|
Nomes de família de malware
|
malwareFamilyNames | array of string |
O nome de família do malware associado a um indicador, se existir. |
|
|
Apenas passivo
|
passiveOnly | boolean |
Determina se o indicador deve acionar um evento visível para um usuário final. |
|
|
Severity
|
severity | integer |
Gravidade do comportamento malicioso identificado pelos dados dentro do indicador. Os valores são de 0 a 5, sendo 5 o mais grave. O valor padrão é 3. |
|
|
Etiquetas
|
tags | array of string | ||
|
Nível Tlp
|
tlpLevel | string |
Valor do Protocolo de Semáforo para o indicador. Os valores possíveis são: desconhecido, branco, verde, âmbar, vermelho. |
|
|
Produto Alvo
|
targetProduct | True | string |
Produto de segurança único ao qual o indicador deve ser aplicado. Os valores aceitáveis são: Azure Sentinel, Microsoft Defender ATP. |
Acionadores
| Em novos alertas de alta gravidade (preterido) [PRETERIDO] |
Gatilhos em novos alertas de alta gravidade (preteridos) |
| Em todos os novos alertas (preterido) [PRETERIDO] |
Gatilhos em todos os novos alertas (preterido) |
Em novos alertas de alta gravidade (preterido) [PRETERIDO]
Gatilhos em novos alertas de alta gravidade (preteridos)
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de alertas
|
@odata.count | integer |
O número de alertas retornados |
|
Alertas
|
value | array of Alert |
Os alertas retornados |
|
Próximo link
|
@odata.nextLink | string |
Um link para obter os próximos resultados, caso haja mais resultados do que o solicitado |
Em todos os novos alertas (preterido) [PRETERIDO]
Gatilhos em todos os novos alertas (preterido)
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de alertas
|
@odata.count | integer |
O número de alertas retornados |
|
Alertas
|
value | array of Alert |
Os alertas retornados |
|
Próximo link
|
@odata.nextLink | string |
Um link para obter os próximos resultados, caso haja mais resultados do que o solicitado |
Definições
Alert
Uma única entidade de alerta retornada
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Id de subscrição do Azure
|
azureSubscriptionId | string |
ID de assinatura do Azure, presente se esse alerta estiver relacionado a um recurso do Azure. |
|
Etiquetas
|
tags | array of string |
Rótulos definidos pelo utilizador que podem ser aplicados a um alerta e podem servir como condições de filtro (por exemplo, "HVA", "SAW", etc.). |
|
ID
|
id | string |
GUID/identificador exclusivo gerado pelo provedor. |
|
ID do inquilino do Azure
|
azureTenantId | string |
ID do locatário do Microsoft Entra ID. |
|
Nome do grupo de atividades
|
activityGroupName | string |
Nome ou alias do grupo de atividades (atacante) ao qual este alerta é atribuído. |
|
Atribuído a
|
assignedTo | string |
Nome do analista ao qual o alerta é atribuído para triagem, investigação ou correção. |
|
Categoria
|
category | string |
Categoria do alerta (por exemplo, credentialTheft, ransomware, etc.). |
|
Data fechada hora
|
closedDateTime | date-time |
Hora em que o alerta foi fechado (UTC). |
|
Comments
|
comments | array of string |
Comentários fornecidos pelo cliente sobre o alerta (para gerenciamento de alertas do cliente). |
|
Confiança
|
confidence | integer |
Confiança da lógica de deteção (percentagem entre 1-100). |
|
Data de criação e hora
|
createdDateTime | date-time |
Hora em que o alerta foi criado (UTC). |
|
Description
|
description | string |
Descrição do alerta. |
|
Ids de deteção
|
detectionIds | array of string |
Conjunto de alertas relacionados com esta entidade de alerta. |
|
Data do evento, hora
|
eventDateTime | date-time |
Hora em que o(s) evento(s) que serviu(ram) de gatilho para gerar o alerta ocorreu(m) (UTC). |
|
Feedback
|
feedback | string |
Feedback do analista sobre o alerta. Os valores possíveis são: unknown, truePositive, falsePositive, benignPositive. |
|
Data hora da última modificação
|
lastModifiedDateTime | date-time |
Hora em que a entidade de alerta foi modificada pela última vez (UTC). |
|
Ações recomendadas
|
recommendedActions | array of string |
O fornecedor/fornecedor recomendou a(s) ação(ões) a tomar como resultado do alerta (por exemplo, isolar a máquina, enforce2FA, reimage host, etc.). |
|
Severity
|
severity | string |
Severidade do alerta - definida pelo fornecedor/provedor. Valores: (alto, médio, baixo, informativo) onde "informativo" infere que o alerta não é acionável. |
|
Materiais de base
|
sourceMaterials | array of string |
Hiperligações (URIs) para o material de origem relacionado com o alerta, por exemplo, IU de investigação do fornecedor, etc. |
|
Situação
|
status | string |
Status do ciclo de vida do alerta (estágio). Valores: (unknown, newAlert, inProgress, resolved). |
|
Title
|
title | string |
Título do alerta. |
|
Nome do fornecedor
|
vendorInformation.provider | string |
Fornecedor específico (produto/serviço - não empresa fornecedora); por exemplo, WindowsDefenderATP. |
|
Versão do provedor
|
vendorInformation.providerVersion | string |
Versão do provedor ou subprovedor. |
|
Nome do subprovedor
|
vendorInformation.subProvider | string |
Subfornecedor específico (sob fornecedor agregador); por exemplo, WindowsDefenderATP.SmartScreen. |
|
Nome do fornecedor
|
vendorInformation.vendor | string |
Nome do fornecedor do alerta (por exemplo, Microsoft, Dell, FireEye). |
|
Estados da aplicação na nuvem
|
cloudAppStates | array of object |
Informações de estado relacionadas à segurança geradas pelo provedor sobre o(s) aplicativo(s) de nuvem relacionados a esse alerta. |
|
IP do serviço de destino
|
cloudAppStates.destinationServiceIp | string |
Endereço IP de destino da ligação à aplicação/serviço na nuvem. |
|
Nome do serviço de destino
|
cloudAppStates.destinationServiceName | string |
Nome do aplicativo/serviço de nuvem de destino. |
|
Pontuação de risco
|
cloudAppStates.riskScore | string |
Pontuação de risco gerada/calculada pelo provedor do Aplicativo/Serviço na Nuvem. |
|
Estados dos ficheiros
|
fileStates | array of object |
Informações de estado relacionadas à segurança geradas pelo provedor sobre o(s) arquivo(s) relacionado(s) a esse alerta. |
|
Nome
|
fileStates.name | string |
Nome do arquivo (sem caminho). |
|
Caminho
|
fileStates.path | string |
Caminho completo do arquivo/imageFile. |
|
Pontuação de risco
|
fileStates.riskScore | string |
Pontuação de risco gerada/calculada pelo provedor do arquivo de alerta. |
|
Tipo
|
fileStates.fileHash.type | string |
Tipo de hash de arquivo. Os valores possíveis são: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256. |
|
Valor
|
fileStates.fileHash.value | string |
Valor do hash do arquivo. |
|
Estados anfitriões
|
hostStates | array of object |
Informações de estado relacionadas à segurança geradas pelo provedor sobre o(s) host(s) relacionado(s) a esse alerta. |
|
Nome de domínio totalmente qualificado
|
hostStates.fqdn | string |
FQDN do host (nome de domínio totalmente qualificado). |
|
O azureAd aderiu
|
hostStates.isAzureAdJoined | boolean |
True se o host for um domínio associado aos Serviços de Domínio do Microsoft Entra ID. |
|
O azureAd está registrado
|
hostStates.isAzureAdRegistered | boolean |
True se o host registrado com o Microsoft Entra ID Device Registration (por exemplo, BYOD) - não totalmente gerenciado pela empresa. |
|
O domínio azure híbrido ingressou
|
hostStates.isHybridAzureDomainJoined | boolean |
True se o host for um domínio associado a um domínio de ID do Microsoft Entra local. |
|
Nome da rede bios
|
hostStates.netBiosName | string |
Nome de host local sem nome de domínio DNS. |
|
Nome do sistema operacional
|
hostStates.os | string |
Sistema operacional do host. |
|
Endereço IP privado
|
hostStates.privateIpAddress | string |
Endereço IPv4 ou IPv6 privado (não roteável) no momento do alerta. |
|
Endereço IP público
|
hostStates.publicIpAddress | string |
Endereço IPv4 ou IPv6 publicamente roteável no momento do alerta. |
|
Pontuação de risco
|
hostStates.riskScore | string |
Pontuação de risco gerada/calculada pelo provedor do host. |
|
Estados de malware
|
malwareStates | array of object |
Informações de estado relacionadas à segurança geradas pelo provedor sobre o malware relacionado a esse alerta. |
|
Categoria
|
malwareStates.category | string |
Categoria de malware gerada pelo provedor (por exemplo, trojan, ransomware, etc.). |
|
Família
|
malwareStates.family | string |
Família de malware gerada pelo provedor (por exemplo, "wannacry", "notpetya", etc.). |
|
Nome
|
malwareStates.name | string |
Nome da variante de malware gerado pelo provedor (por exemplo, Trojan:Win32/Powessere.H). |
|
Severity
|
malwareStates.severity | string |
Severidade deste malware determinada pelo provedor. |
|
Estava a correr
|
malwareStates.wasRunning | boolean |
Indica se o ficheiro detetado (malware/vulnerabilidade) estava em execução no momento da deteção ou se foi detetado em repouso no disco. |
|
Ligações de rede
|
networkConnections | array of object |
Informações de estado relacionadas à segurança geradas pelo provedor sobre o(s) arquivo(s) relacionado(s) a esse alerta. |
|
Nome do aplicativo
|
networkConnections.applicationName | string |
Nome da aplicação que gere a ligação de rede (por exemplo, Facebook, SMTP, etc.). |
|
Endereço de destino
|
networkConnections.destinationAddress | string |
Endereço IP de destino da conexão de rede. |
|
Domínio de destino
|
networkConnections.destinationDomain | string |
Parte do domínio de destino do URL de destino. (por exemplo, "www.contoso.com"). |
|
Porta de destino
|
networkConnections.destinationPort | string |
Porta de destino da conexão de rede. |
|
URL de destino
|
networkConnections.destinationUrl | string |
Cadeia de caracteres URL/URI de conexão de rede - excluindo parâmetros. |
|
Direction
|
networkConnections.direction | string |
Direção da conexão de rede. Os valores possíveis são: desconhecido, entrada, saída. |
|
Data/hora registada no domínio
|
networkConnections.domainRegisteredDateTime | date-time |
Data em que o domínio de destino foi registado (UTC). |
|
Nome dns local
|
networkConnections.localDnsName | string |
A resolução de nomes DNS locais tal como aparece na cache DNS local do anfitrião (por exemplo, no caso de o ficheiro "hosts" ter sido adulterado). |
|
Nat endereço de destino
|
networkConnections.natDestinationAddress | string |
Endereço IP de destino da Conversão de Endereço de Rede. |
|
Nat porto de destino
|
networkConnections.natDestinationPort | string |
Porta de destino da Conversão de Endereço de Rede. |
|
Nat endereço de origem
|
networkConnections.natSourceAddress | string |
Endereço IP de origem da Tradução de Endereço de Rede. |
|
Porta de origem Nat
|
networkConnections.natSourcePort | string |
Porta de origem da Conversão de Endereço de Rede. |
|
Protocolo
|
networkConnections.protocol | string |
Protocolo de rede. Os valores possíveis são: unknown, ip, icmp, igmp, ggp, ipv4, tcp, pup, udp, idp, ipv6, ipv6RoutingHeader, ipv6FragmentHeader, ipSecEncapsulatingSecurityPayload, ipSecAuthenticationHeader, icmpV6, ipv6NoNextHeader, ipv6DestinationOptions, nd, raw, ipx, spx, spxII. |
|
Pontuação de risco
|
networkConnections.riskScore | string |
Pontuação de risco gerada/calculada pelo provedor da conexão de rede. |
|
Endereço de origem
|
networkConnections.sourceAddress | string |
Endereço IP de origem (ou seja, origem) da ligação de rede. |
|
Porta de origem
|
networkConnections.sourcePort | string |
Porta IP de origem (ou seja, origem) da ligação de rede. |
|
Situação
|
networkConnections.status | string |
Status da conexão de rede. Os valores possíveis são: desconhecido, tentado, bem-sucedido, bloqueado, falhado. |
|
Parâmetros de url
|
networkConnections.urlParameters | string |
Parâmetros (sufixo) da URL de destino como uma cadeia de caracteres. |
|
Processes
|
processes | array of object |
Informações de estado relacionadas à segurança geradas pelo provedor sobre o processo ou processos relacionados a esse alerta. |
|
Nome da conta
|
processes.accountName | string |
Identificador de conta de utilizador (contexto da conta de utilizador em que o processo foi executado), por exemplo, AccountName, SID, etc. |
|
Linha de comandos
|
processes.commandLine | string |
A linha de comando de invocação de processo completo, incluindo todos os parâmetros. |
|
Data de criação e hora
|
processes.createdDateTime | date-time |
DateTime em que o processo pai foi iniciado (UTC). |
|
Nível de integridade
|
processes.integrityLevel | string |
O nível de integridade do processo. Os valores possíveis são: desconhecido, não confiável, baixo, médio, alto, sistema. |
|
Está elevado
|
processes.isElevated | boolean |
Verdadeiro se o processo for elevado. |
|
Nome
|
processes.name | string |
O nome do arquivo de imagem do processo. |
|
Hora da data criada do processo pai
|
processes.parentProcessCreatedDateTime | date-time |
Hora em que o processo foi iniciado (UTC). |
|
ID do processo pai
|
processes.parentProcessId | integer |
A ID do processo (PID) do processo pai. |
|
Nome do processo pai
|
processes.parentProcessName | string |
O nome do arquivo de imagem do processo pai. |
|
Caminho
|
processes.path | string |
Caminho completo, incluindo nome do arquivo. |
|
ID do processo
|
processes.processId | integer |
A ID do processo (PID) do processo. |
|
Tipo
|
processes.fileHash.type | string |
Tipo de hash de arquivo. Os valores possíveis são: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256. |
|
Valor
|
processes.fileHash.value | string |
Valor do hash do arquivo. |
|
Estados da chave do Registro
|
registryKeyStates | array of object |
Informações de estado relacionadas à segurança geradas pelo provedor sobre as chaves do Registro relacionadas a esse alerta. |
|
Processo
|
registryKeyStates.process | string |
ID do processo (PID) do processo que modificou a chave do Registro (os detalhes do processo aparecerão na coleção "processos" de alerta). |
|
Funcionamento
|
registryKeyStates.operation | string |
Operação que alterou o nome e/ou valor da chave de registo (adicionar, modificar, eliminar). |
|
Tipo de valor
|
registryKeyStates.valueType | string |
Tipo de valor da chave do Registro. Os valores possíveis são: unknown, binary, dword, dwordLittleEndian, dwordBigEndian, expandSz, link, multiSz, none, qword, qwordlittleEndian, sz. |
|
Colmeia de registro
|
registryKeyStates.hive | string |
Colmeia de registro do Windows. Os valores possíveis são: unknown, currentConfig, currentUser, localMachineSam, localMachineSamSoftware, localMachineSystem, usersDefault. |
|
Key
|
registryKeyStates.key | string |
Chave de registo atual (ou seja, alterada) (exclui o VIH). |
|
Nome do valor
|
registryKeyStates.valueName | string |
Nome atual (ou seja, alterado) do valor da chave do Registro. |
|
Dados valiosos
|
registryKeyStates.valueData | string |
Dados atuais (ou seja, alterados) do valor da chave do Registro (conteúdo). |
|
Chave antiga
|
registryKeyStates.oldKey | string |
Chave de registo anterior (ou seja, antes alterada) (exclui o VIH). |
|
Nome do valor antigo
|
registryKeyStates.oldValueName | string |
Nome do valor da chave de registo anterior (ou seja, antes alterado). |
|
Dados de valor antigos
|
registryKeyStates.oldValueData | string |
Dados anteriores (ou seja, antes alterados) do valor da chave de registo (conteúdo). |
|
Acionadores
|
triggers | array of object |
Informações relacionadas à segurança sobre as propriedades específicas que dispararam o alerta (propriedades que aparecem no alerta). Os alertas podem conter informações sobre vários usuários, hosts, arquivos, endereços IP. Este campo indica quais propriedades acionaram a geração de alerta. |
|
Nome
|
triggers.name | string |
Nome da propriedade que serve como um gatilho de deteção. |
|
Tipo
|
triggers.type | string |
Tipo do atributo no par chave:valor para interpretação, por exemplo, String, Booleano, etc. |
|
Valor
|
triggers.value | string |
Valor do atributo que serve como um gatilho de deteção. |
|
Estados do utilizador
|
userStates | array of object |
Informações de estado relacionadas à segurança geradas pelo provedor sobre o(s) usuário(s) conectado(s) relacionado a esse alerta. |
|
ID de usuário do Microsoft Entra ID
|
userStates.aadUserId | string |
Microsoft Entra ID User object identifier (GUID) - representa a entidade de usuário física/multi-conta. |
|
Nome da conta
|
userStates.accountName | string |
Nome da conta de usuário (sem Microsoft Entra ID Domain ou DNS Domain) - (também chamado de "mailNickName"). |
|
Nome de domínio
|
userStates.domainName | string |
NetBIOS/Microsoft Entra ID Domínio da conta de usuário (ou seja, domínio\formato de conta). |
|
Função de e-mail
|
userStates.emailRole | string |
Para alertas relacionados a e-mail - função de e-mail da conta de usuário. |
|
É vpn
|
userStates.isVpn | boolean |
Indica se o usuário fez logon por meio de uma VPN. |
|
Data de início de sessão, hora
|
userStates.logonDateTime | date-time |
Hora em que ocorreu o início de sessão (UTC). |
|
ID de início de sessão
|
userStates.logonId | string |
ID de início de sessão do utilizador. |
|
IP de início de sessão
|
userStates.logonIp | string |
Endereço IP a partir do qual a solicitação de logon foi originalizada. |
|
Local de logon
|
userStates.logonLocation | string |
Localização (por mapeamento de endereço IP) associada a um evento de início de sessão do utilizador por este utilizador. |
|
Tipo de logon
|
userStates.logonType | string |
Método de login do usuário. Os valores possíveis são: unknown, interactive, remoteInteractive, network, batch, service. |
|
Identificador de segurança local
|
userStates.onPremisesSecurityIdentifier | string |
Microsoft Entra ID (local) Security Identifier (SID) do usuário. |
|
Pontuação de risco
|
userStates.riskScore | string |
Pontuação de risco gerada/calculada pelo provedor da conta de usuário. |
|
Tipo de conta de utilizador
|
userStates.userAccountType | string |
Tipo de conta de usuário (associação de grupo), por definição do Windows. Os valores possíveis são: desconhecido, padrão, potência, administrador. |
|
Nome principal do usuário
|
userStates.userPrincipalName | string |
Nome de início de sessão do utilizador - formato Internet: <nome> da conta de utilizador@<nome de domínio DNS da> conta de utilizador. |
|
Estados de vulnerabilidade
|
vulnerabilityStates | array of object |
Informações sobre ameaças relativas a uma ou mais vulnerabilidades relacionadas com este alerta. |
|
Cve
|
vulnerabilityStates.cve | string |
Vulnerabilidades e exposições comuns (CVE) para a vulnerabilidade. |
|
Estava a correr
|
vulnerabilityStates.wasRunning | boolean |
Indica se a vulnerabilidade detetada (arquivo) estava em execução no momento da deteção ou se o arquivo foi detetado em repouso no disco. |
|
Severity
|
vulnerabilityStates.severity | string |
Pontuação de gravidade básica do CVSS (Common Vulnerability Scoring System) para esta vulnerabilidade. |
Subscription
Uma única entidade de assinatura retornou
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
ID
|
id | string |
Identificador exclusivo da assinatura. |
|
Resource
|
resource | string |
Especifica o recurso que será monitorado quanto a alterações. |
|
ID do aplicativo
|
applicationId | string |
Identificador do aplicativo usado para criar a assinatura. |
|
Tipo de alteração
|
changeType | string |
Indica o tipo de alteração no recurso inscrito que gerará uma notificação. |
|
Estado do cliente
|
clientState | string |
Especifica o valor da propriedade clientState enviada pelo serviço em cada notificação. O comprimento máximo é de 128 caracteres. O cliente pode verificar se a notificação veio do serviço comparando o valor da propriedade clientState enviada com a assinatura com o valor da propriedade clientState recebida com cada notificação. |
|
URL de notificação
|
notificationUrl | string |
A URL do ponto de extremidade que receberá as notificações. Este URL deve fazer uso do protocolo HTTPS. |
|
Hora da data de validade
|
expirationDateTime | string |
Especifica a data e a hora em que a assinatura do webhook expira (UTC). |
|
ID do criador
|
creatorId | string |
Identificador do usuário ou entidade de serviço que criou a assinatura. Se o aplicativo usou permissões delegadas para criar a assinatura, esse campo conterá a id do usuário conectado ao qual o aplicativo chamou em nome. Se o aplicativo usou permissões de aplicativo, esse campo conterá a id da entidade de serviço correspondente ao aplicativo. |
TiIndicador
Uma única entidade TiIndicator retornou
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Ação
|
action | string |
A ação a ser aplicada se o indicador for correspondido a partir da ferramenta de segurança do produto alvo. Valores: (desconhecido, permitir, bloquear, alertar). |
|
Nomes de grupos de atividades
|
activityGroupNames | array of string |
O(s) nome(s) de inteligência de ameaças cibernéticas para as partes responsáveis pela atividade maliciosa coberta pelo indicador de ameaça. |
|
Informações adicionais
|
additionalInformation | string |
Dados adicionais do indicador não cobertos pelas outras propriedades do tiIndicator podem ser colocados |
|
ID do Locatário do Azure
|
azureTenantId | string |
A ID do locatário do Microsoft Entra ID do cliente de envio. |
|
Confiança
|
confidence | integer |
Confiança da lógica de deteção (percentagem entre 0-100). |
|
Description
|
description | string |
Descrição do TiIndicator (100 charactes ou menos). |
|
Modelo diamante
|
diamondModel | string |
A área do Modelo Diamante em que este indicador existe. Valores: (desconhecido, adversário, capacidade, infraestrutura, vítima). |
|
Hora da data de validade
|
expirationDateTime | date-time |
Hora em que o Indicador expira (UTC). |
|
ID externo
|
externalId | string |
Um número de identificação que liga o indicador ao sistema do fornecedor do indicador (por exemplo, uma chave estrangeira). |
|
ID
|
id | string |
Criado pelo sistema quando o indicador é ingerido. GUID/identificador exclusivo gerado. |
|
Data e hora da ingestão
|
ingestedDateTime | date-time |
Hora em que o Indicador é ingerido (UTC). |
|
Está ativo
|
isActive | boolean |
Por padrão, qualquer indicador enviado é definido como ativo. No entanto, os fornecedores podem apresentar indicadores existentes com este conjunto como «Falso» para desativar os indicadores no sistema. |
|
Cadeia de abate
|
killChain | array of string |
strings que descrevem qual ponto ou pontos na Kill Chain esse indicador visa. Valores: (Ações, C2, Entrega, Exploração, Instalação, Reconhecimento, Armamento). |
|
Falsos positivos conhecidos
|
knownFalsePositives | string |
Cenários em que o indicador pode causar falsos positivos. |
|
Última data e hora comunicada
|
lastReportedDateTime | date-time |
A última vez que o indicador foi visto (UTC). |
|
Nomes de família de malware
|
malwareFamilyNames | array of string |
O nome de família do malware associado a um indicador, se existir. |
|
Apenas passivo
|
passiveOnly | boolean |
Determina se o indicador deve acionar um evento visível para um usuário final. |
|
Severity
|
severity | integer |
Gravidade do comportamento malicioso identificado pelos dados dentro do indicador. Os valores são de 0 a 5, sendo 5 o mais grave. O valor padrão é 3. |
|
Etiquetas
|
tags | array of string | |
|
Produto Alvo
|
targetProduct | string |
Produto de segurança único ao qual o indicador deve ser aplicado. Os valores aceitáveis são: Azure Sentinel, Microsoft Defender ATP. |
|
Tipo de Ameaça
|
threatType | string |
Cada indicador deve ter um Tipo de Ameaça de Indicador válido. Os valores possíveis são: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, API, WatchList. |
|
Nível Tlp
|
tlpLevel | string |
Valor do Protocolo de Semáforo para o indicador. Os valores possíveis são: desconhecido, branco, verde, âmbar, vermelho. |
|
Codificação de e-mail
|
emailEncoding | string |
O tipo de codificação de texto usado no e-mail. |
|
Idioma do e-mail
|
emailLanguage | string |
O idioma do e-mail. |
|
Destinatário do e-mail
|
emailRecipient | string |
Endereço de e-mail do destinatário. |
|
Endereço do remetente do e-mail
|
emailSenderAddress | string |
Endereço de e-mail do atacante|vítima. |
|
Nome do remetente do e-mail
|
emailSenderName | string |
Nome exibido do atacante|vítima. |
|
Domínio de origem do e-mail
|
emailSourceDomain | string |
Domínio usado no e-mail. |
|
Endereço IP de origem do e-mail
|
emailSourceIpAddress | string |
Endereço IP de origem do e-mail. |
|
assunto Email
|
emailSubject | string |
Linha de assunto do e-mail. |
|
E-mail XMailer
|
emailXMailer | string |
Valor X-Mailer usado no e-mail. |
|
Data de compilação do arquivo e hora
|
fileCompileDateTime | date-time |
DateTime quando o arquivo foi compilado. |
|
Hora da data de criação do ficheiro
|
fileCreatedDateTime | date-time |
DateTime quando o arquivo foi criado. |
|
Tipo de hash de arquivo
|
fileHashType | string |
O tipo de hash armazenado em fileHashValue. Os valores possíveis são: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
|
Valor de hash do arquivo
|
fileHashValue | string |
O valor de hash do arquivo. |
|
Nome do arquivo mutex
|
fileMutexName | string |
Nome Mutex usado em deteções baseadas em arquivos. |
|
Nome do ficheiro
|
fileName | string |
Nome do arquivo se o indicador for baseado em arquivo. |
|
Empacotador de arquivos
|
filePacker | string |
O empacotador usado para construir o arquivo em questão. |
|
Caminho do arquivo
|
filePath | string |
Caminho do arquivo indicando compromisso. Pode ser um caminho no estilo Windows ou *nix. |
|
Tamanho do ficheiro
|
fileSize | integer |
Tamanho do ficheiro em bytes. |
|
Tipo de ficheiro
|
fileType | string |
Descrição em texto do tipo de ficheiro. Por exemplo, "Documento do Word" ou "Binário". |
|
Nome de domínio
|
domainName | string |
Nome de domínio associado a este indicador. |
|
Bloco cidr de rede
|
networkCidrBlock | string |
Representação da notação de bloco CIDR da rede referenciada neste indicador. |
|
Destino da rede Asn
|
networkDestinationAsn | integer |
O identificador do sistema autónomo de destino da rede referenciada no indicador. |
|
Bloco cidr de destino da rede
|
networkDestinationCidrBlock | string |
Representação da notação de bloco CIDR da rede de destino neste indicador. |
|
IPv4 de destino da rede
|
networkDestinationIPv4 | string |
Destino do endereço IP IPv4. |
|
IPv6 de destino da rede
|
networkDestinationIPv6 | string |
Destino do endereço IP IPv6. |
|
Porta de destino da rede
|
networkDestinationPort | integer |
Destino da porta TCP. |
|
IPv4 de rede
|
networkIPv4 | string |
Endereço IP IPv4. |
|
IPv6 de rede
|
networkIPv6 | string |
Endereço IP IPv6. |
|
Porta de rede
|
networkPort | integer |
Porta TCP. |
|
Protocolo de rede
|
networkProtocol | integer |
Representação decimal do campo de protocolo no cabeçalho IPv4. |
|
Fonte de rede Asn
|
networkSourceAsn | integer |
O identificador do sistema autónomo de origem da rede referenciada no indicador. |
|
Bloco cidr de origem de rede
|
networkSourceCidrBlock | string |
Representação da notação de bloco CIDR da rede de origem neste indicador. |
|
IPv4 de origem de rede
|
networkSourceIPv4 | string |
Origem do endereço IP IPv4. |
|
IPv6 de destino da rede
|
networkSourceIPv6 | string |
Origem do endereço IP IPv6. |
|
Porta de origem da rede
|
networkSourcePort | integer |
Origem da porta TCP. |
|
Endereço URL
|
url | string |
Localizador uniforme de recursos. |
|
Agente de usuário
|
userAgent | string |
User-Agent cadeia de caracteres de uma solicitação da Web que pode indicar comprometimento. |