Threat Intelligence - Query
Obtém todos os objetos TI para a área de trabalho.
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/threatIntelligence/main/query?api-version=2024-01-01-preview
Parâmetros do URI
Name | Em | Necessário | Tipo | Description |
---|---|---|---|---|
resource
|
path | True |
string |
O nome do grupo de recursos. O nome não é sensível a maiúsculas e minúsculas. |
subscription
|
path | True |
string |
O ID da subscrição de destino. |
ti
|
path | True |
Tipo de TI |
|
workspace
|
path | True |
string |
O nome da área de trabalho. Padrão Regex: |
api-version
|
query | True |
string |
A versão da API a utilizar para esta operação. |
Corpo do Pedido
Name | Tipo | Description |
---|---|---|
condition |
Representa uma condição utilizada para consultar objetos TI. |
|
maxPageSize |
integer |
Representa o tamanho máximo da página que será devolvida da API de consulta. |
minPageSize |
integer |
Representa o tamanho mínimo da página que será devolvida da API de consulta. |
sortBy |
Especifica como ordenar os resultados da consulta. |
Respostas
Name | Tipo | Description |
---|---|---|
200 OK |
OK |
|
Other Status Codes |
Resposta de erro que descreve a razão pela qual a operação falhou. |
Segurança
azure_auth
Fluxo OAuth2 do Azure Active Directory
Tipo:
oauth2
Fluxo:
implicit
URL de Autorização:
https://login.microsoftonline.com/common/oauth2/authorize
Âmbitos
Name | Description |
---|---|
user_impersonation | representar a sua conta de utilizador |
Exemplos
Get TI objects
Pedido de amostra
POST https://management.azure.com/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/threatIntelligence/main/query?api-version=2024-01-01-preview
Resposta da amostra
{
"value": [
{
"id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/threatintelligence/dGxwLW1peGVkVHlwZXMtd2l0aC1SdWxlcy0y---attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"name": "dGxwLW1peGVkVHlwZXMtd2l0aC1SdWxlcy0y---attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"type": "Microsoft.SecurityInsights/threatintelligence",
"kind": "AttackPattern",
"properties": {
"data": {
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
],
"external_references": [
{
"description": "spear phishing",
"external_id": "CAPEC-163",
"hashes": null,
"source_name": "capec",
"url": null
}
],
"granular_markings": [
{
"lang": "en",
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
]
}
],
"confidence": 100,
"lang": "en",
"extensions": {
"sentinel-ext": {
"severity": null
},
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"type": "attack-pattern",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"spec_version": "2.1",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
]
},
"createdBy": {
"objectId": "00000000-0000-0000-0000-000000000000",
"email": "",
"name": ""
},
"source": "mySource",
"firstIngestedTimeUtc": "2024-02-05T22:47:29.4948816",
"lastIngestedTimeUtc": "2024-02-05T22:47:29.4948816",
"ingestionRulesVersion": "00000000-0000-0000-0000-000000000000",
"lastUpdateMethod": "File Import",
"lastModifiedBy": {
"objectId": "00000000-0000-0000-0000-000000000000",
"email": "",
"name": ""
},
"lastUpdatedDateTimeUtc": "2024-02-05T22:47:29.4948816",
"relationshipHints": null
}
}
]
}
Definições
Name | Description |
---|---|
Cloud |
Estrutura de resposta a erros. |
Cloud |
Detalhes do erro. |
Condition |
Representa uma condição utilizada para consultar objetos TI. |
Condition |
Representa uma cláusula única a ser avaliada por uma NormalizedCondition. |
Connective |
Representa conectores booleanos utilizados para associar cláusulas em condições. |
Operator |
Representa um operador numa ConditionClause. |
Query |
Representa uma consulta a executar nos objetos ti na área de trabalho. |
Sort |
Especifica como ordenar os resultados da consulta. |
Sorting |
A direção para ordenar os resultados. |
Threat |
Liste todos os objetos de informações sobre ameaças na área de trabalho que correspondem à consulta fornecida. |
Ti |
Tipo de TI |
CloudError
Estrutura de resposta a erros.
Name | Tipo | Description |
---|---|---|
error |
Dados de erro |
CloudErrorBody
Detalhes do erro.
Name | Tipo | Description |
---|---|---|
code |
string |
Um identificador para o erro. Os códigos são invariantes e destinam-se a ser consumidos programaticamente. |
message |
string |
Uma mensagem que descreve o erro, destinada a ser adequada para ser apresentada numa interface de utilizador. |
Condition
Representa uma condição utilizada para consultar objetos TI.
Name | Tipo | Description |
---|---|---|
clauses |
A lista de cláusulas a avaliar em disjunção ou conjunção base no operador conjuntivo de nível superior especificado. |
|
conditionConnective |
O operador de conector de nível superior para esta condição. |
|
stixObjectType |
string |
O tipo STIX para os objetos devolvidos por esta consulta. |
ConditionClause
Representa uma cláusula única a ser avaliada por uma NormalizedCondition.
Name | Tipo | Description |
---|---|---|
clauseConnective |
A conexão utilizada para associar todos os valores nesta ConditionClause |
|
field |
string |
O nome do campo que é avaliado. |
operator |
Representa um operador numa ConditionClause. |
|
values |
string[] |
O operador de conector de nível superior para esta condição. |
Connective
Representa conectores booleanos utilizados para associar cláusulas em condições.
Name | Tipo | Description |
---|---|---|
And |
string |
"E" conector |
Or |
string |
"Or" connective |
Operator
Representa um operador numa ConditionClause.
Name | Tipo | Description |
---|---|---|
AfterAbsolute |
string |
|
AfterRelative |
string |
|
ArrayContains |
string |
|
ArrayNotContains |
string |
|
BeforeAbsolute |
string |
|
BeforeRelative |
string |
|
Equals |
string |
|
GreaterThan |
string |
|
GreaterThanEqual |
string |
|
IsFalse |
string |
|
IsNull |
string |
|
IsTrue |
string |
|
LessThan |
string |
|
LessThanEqual |
string |
|
NotEquals |
string |
|
OnOrAfterAbsolute |
string |
|
OnOrAfterRelative |
string |
|
OnOrBeforeAbsolute |
string |
|
OnOrBeforeRelative |
string |
|
StringContains |
string |
|
StringEndsWith |
string |
|
StringIsEmpty |
string |
|
StringNotContains |
string |
|
StringNotEndsWith |
string |
|
StringNotStartsWith |
string |
|
StringStartsWith |
string |
Query
Representa uma consulta a executar nos objetos ti na área de trabalho.
Name | Tipo | Description |
---|---|---|
condition |
Representa uma condição utilizada para consultar objetos TI. |
|
maxPageSize |
integer |
Representa o tamanho máximo da página que será devolvida da API de consulta. |
minPageSize |
integer |
Representa o tamanho mínimo da página que será devolvida da API de consulta. |
sortBy |
Especifica como ordenar os resultados da consulta. |
SortBy
Especifica como ordenar os resultados da consulta.
Name | Tipo | Description |
---|---|---|
direction |
A direção para ordenar os resultados. |
|
field |
string |
Representa o campo pelo qual ordenar os resultados. |
SortingDirection
A direção para ordenar os resultados.
Name | Tipo | Description |
---|---|---|
ASC |
string |
Indica que a consulta deve ser ordenada do valor mais baixo para o valor mais alto. |
DESC |
string |
Indica que a consulta deve ser ordenada do valor mais baixo para o valor mais alto. |
ThreatIntelligenceList
Liste todos os objetos de informações sobre ameaças na área de trabalho que correspondem à consulta fornecida.
Name | Tipo | Description |
---|---|---|
nextLink |
string |
URL para obter o próximo conjunto de objetos de informações sobre ameaças. |
value |
TIObject[] |
Matriz de objetos de informações sobre ameaças na área de trabalho que correspondem à consulta fornecida. |
TiType
Tipo de TI
Name | Tipo | Description |
---|---|---|
main |
string |