Partilhar via


Threat Intelligence - Query

Obtém todos os objetos TI para a área de trabalho.

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/threatIntelligence/main/query?api-version=2024-01-01-preview

Parâmetros do URI

Name Em Necessário Tipo Description
resourceGroupName
path True

string

O nome do grupo de recursos. O nome não é sensível a maiúsculas e minúsculas.

subscriptionId
path True

string

O ID da subscrição de destino.

tiType
path True

TiType

Tipo de TI

workspaceName
path True

string

O nome da área de trabalho.

Padrão Regex: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$

api-version
query True

string

A versão da API a utilizar para esta operação.

Corpo do Pedido

Name Tipo Description
condition

Condition

Representa uma condição utilizada para consultar objetos TI.

maxPageSize

integer

Representa o tamanho máximo da página que será devolvida da API de consulta.

minPageSize

integer

Representa o tamanho mínimo da página que será devolvida da API de consulta.

sortBy

SortBy

Especifica como ordenar os resultados da consulta.

Respostas

Name Tipo Description
200 OK

ThreatIntelligenceList

OK

Other Status Codes

CloudError

Resposta de erro que descreve a razão pela qual a operação falhou.

Segurança

azure_auth

Fluxo OAuth2 do Azure Active Directory

Tipo: oauth2
Fluxo: implicit
URL de Autorização: https://login.microsoftonline.com/common/oauth2/authorize

Âmbitos

Name Description
user_impersonation representar a sua conta de utilizador

Exemplos

Get TI objects

Pedido de amostra

POST https://management.azure.com/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/threatIntelligence/main/query?api-version=2024-01-01-preview

Resposta da amostra

{
  "value": [
    {
      "id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/threatintelligence/dGxwLW1peGVkVHlwZXMtd2l0aC1SdWxlcy0y---attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
      "name": "dGxwLW1peGVkVHlwZXMtd2l0aC1SdWxlcy0y---attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
      "type": "Microsoft.SecurityInsights/threatintelligence",
      "kind": "AttackPattern",
      "properties": {
        "data": {
          "name": "Attack Pattern 2.1",
          "description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
          "kill_chain_phases": [
            {
              "kill_chain_name": "mandiant-attack-lifecycle-model",
              "phase_name": "initial-compromise"
            }
          ],
          "aliases": [
            "alias_1",
            "alias_2"
          ],
          "external_references": [
            {
              "description": "spear phishing",
              "external_id": "CAPEC-163",
              "hashes": null,
              "source_name": "capec",
              "url": null
            }
          ],
          "granular_markings": [
            {
              "lang": "en",
              "marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
              "selectors": [
                "description",
                "labels"
              ]
            }
          ],
          "confidence": 100,
          "lang": "en",
          "extensions": {
            "sentinel-ext": {
              "severity": null
            },
            "extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
              "extension_type": "property-extension",
              "rank": 5,
              "toxicity": 8
            }
          },
          "type": "attack-pattern",
          "id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
          "created": "2015-05-15T09:12:16.432Z",
          "modified": "2015-05-20T09:12:16.432Z",
          "spec_version": "2.1",
          "created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
          "object_marking_refs": [
            "marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
          ],
          "revoked": true,
          "labels": [
            "heartbleed",
            "has-logo"
          ]
        },
        "createdBy": {
          "objectId": "00000000-0000-0000-0000-000000000000",
          "email": "",
          "name": ""
        },
        "source": "mySource",
        "firstIngestedTimeUtc": "2024-02-05T22:47:29.4948816",
        "lastIngestedTimeUtc": "2024-02-05T22:47:29.4948816",
        "ingestionRulesVersion": "00000000-0000-0000-0000-000000000000",
        "lastUpdateMethod": "File Import",
        "lastModifiedBy": {
          "objectId": "00000000-0000-0000-0000-000000000000",
          "email": "",
          "name": ""
        },
        "lastUpdatedDateTimeUtc": "2024-02-05T22:47:29.4948816",
        "relationshipHints": null
      }
    }
  ]
}

Definições

Name Description
CloudError

Estrutura de resposta a erros.

CloudErrorBody

Detalhes do erro.

Condition

Representa uma condição utilizada para consultar objetos TI.

ConditionClause

Representa uma cláusula única a ser avaliada por uma NormalizedCondition.

Connective

Representa conectores booleanos utilizados para associar cláusulas em condições.

Operator

Representa um operador numa ConditionClause.

Query

Representa uma consulta a executar nos objetos ti na área de trabalho.

SortBy

Especifica como ordenar os resultados da consulta.

SortingDirection

A direção para ordenar os resultados.

ThreatIntelligenceList

Liste todos os objetos de informações sobre ameaças na área de trabalho que correspondem à consulta fornecida.

TiType

Tipo de TI

CloudError

Estrutura de resposta a erros.

Name Tipo Description
error

CloudErrorBody

Dados de erro

CloudErrorBody

Detalhes do erro.

Name Tipo Description
code

string

Um identificador para o erro. Os códigos são invariantes e destinam-se a ser consumidos programaticamente.

message

string

Uma mensagem que descreve o erro, destinada a ser adequada para ser apresentada numa interface de utilizador.

Condition

Representa uma condição utilizada para consultar objetos TI.

Name Tipo Description
clauses

ConditionClause[]

A lista de cláusulas a avaliar em disjunção ou conjunção base no operador conjuntivo de nível superior especificado.

conditionConnective

Connective

O operador de conector de nível superior para esta condição.

stixObjectType

string

O tipo STIX para os objetos devolvidos por esta consulta.

ConditionClause

Representa uma cláusula única a ser avaliada por uma NormalizedCondition.

Name Tipo Description
clauseConnective

Connective

A conexão utilizada para associar todos os valores nesta ConditionClause

field

string

O nome do campo que é avaliado.

operator

Operator

Representa um operador numa ConditionClause.

values

string[]

O operador de conector de nível superior para esta condição.

Connective

Representa conectores booleanos utilizados para associar cláusulas em condições.

Name Tipo Description
And

string

"E" conector

Or

string

"Or" connective

Operator

Representa um operador numa ConditionClause.

Name Tipo Description
AfterAbsolute

string

AfterRelative

string

ArrayContains

string

ArrayNotContains

string

BeforeAbsolute

string

BeforeRelative

string

Equals

string

GreaterThan

string

GreaterThanEqual

string

IsFalse

string

IsNull

string

IsTrue

string

LessThan

string

LessThanEqual

string

NotEquals

string

OnOrAfterAbsolute

string

OnOrAfterRelative

string

OnOrBeforeAbsolute

string

OnOrBeforeRelative

string

StringContains

string

StringEndsWith

string

StringIsEmpty

string

StringNotContains

string

StringNotEndsWith

string

StringNotStartsWith

string

StringStartsWith

string

Query

Representa uma consulta a executar nos objetos ti na área de trabalho.

Name Tipo Description
condition

Condition

Representa uma condição utilizada para consultar objetos TI.

maxPageSize

integer

Representa o tamanho máximo da página que será devolvida da API de consulta.

minPageSize

integer

Representa o tamanho mínimo da página que será devolvida da API de consulta.

sortBy

SortBy

Especifica como ordenar os resultados da consulta.

SortBy

Especifica como ordenar os resultados da consulta.

Name Tipo Description
direction

SortingDirection

A direção para ordenar os resultados.

field

string

Representa o campo pelo qual ordenar os resultados.

SortingDirection

A direção para ordenar os resultados.

Name Tipo Description
ASC

string

Indica que a consulta deve ser ordenada do valor mais baixo para o valor mais alto.

DESC

string

Indica que a consulta deve ser ordenada do valor mais baixo para o valor mais alto.

ThreatIntelligenceList

Liste todos os objetos de informações sobre ameaças na área de trabalho que correspondem à consulta fornecida.

Name Tipo Description
nextLink

string

URL para obter o próximo conjunto de objetos de informações sobre ameaças.

value

TIObject[]

Matriz de objetos de informações sobre ameaças na área de trabalho que correspondem à consulta fornecida.

TiType

Tipo de TI

Name Tipo Description
main

string