Безопасность Microsoft Graph (не рекомендуется) [DEPRECATED]
Соединитель безопасности Microsoft Graph помогает подключать различные продукты и службы безопасности партнеров Майкрософт, используя единую схему, для упрощения операций безопасности и повышения защиты от угроз, обнаружения и реагирования. Дополнительные сведения об интеграции с API https://aka.ms/graphsecuritydocs безопасности Microsoft Graph см. в этой версии.
Этот соединитель доступен в следующих продуктах и регионах:
| Услуга | Class | Регионы |
|---|---|---|
| Copilot Studio | Премия | Все регионы Power Automate , кроме следующих: - Правительство США (GCC) - Правительство США (GCC High) — Облако Китая, управляемое 21Vianet - Министерство обороны США (DoD) |
| Логические приложения | Стандарт | Все регионы Logic Apps , кроме следующих: — Регионы Azure для государственных организаций — Регионы Azure Для Китая - Министерство обороны США (DoD) |
| Power Apps | Премия | Все регионы Power Apps , кроме следующих: - Правительство США (GCC) - Правительство США (GCC High) — Облако Китая, управляемое 21Vianet - Министерство обороны США (DoD) |
| Power Automate | Премия | Все регионы Power Automate , кроме следующих: - Правительство США (GCC) - Правительство США (GCC High) — Облако Китая, управляемое 21Vianet - Министерство обороны США (DoD) |
| Контакт | |
|---|---|
| Имя | Microsoft |
| URL |
Поддержка Microsoft LogicApps Поддержка Microsoft Power Automate Поддержка Microsoft Power Apps |
| Адрес электронной почты | sipsisgdev@microsoft.com |
| Метаданные соединителя | |
|---|---|
| Publisher | Microsoft |
| Веб-сайт | https://www.microsoft.com/security/business/graph-security-api |
Предварительные требования для подключения к соединителю безопасности Microsoft Graph
Дополнительные сведения об API безопасности Microsoft Graph.
Чтобы использовать действие соединителя безопасности Microsoft Graph , начните с триггера, например триггер повторения.
Чтобы использовать соединитель безопасности Microsoft Graph, необходимо предоставить согласие администратора клиента Microsoft Entra ID в рамках требований проверки подлинности безопасности Microsoft Graph.
Идентификатор и имя приложения соединителя безопасности Microsoft Graph (для идентификатора Microsoft Entra id in https://portal.azure.com) приведены следующим образом для согласия администратора Microsoft Entra ID:
- Имя приложения — MicrosoftGraphSecurityConnector
- Идентификатор приложения — c4829704-0edc-4c3d-a37-a37-7c4a67586f3c
- Администратор клиента может выполнить действия, описанные в предоставлении согласия администратора клиента для приложений идентификатора Microsoft Entra для указанного выше приложения или предоставить разрешения при первоначальном запуске рабочего процесса с помощью соединителя безопасности Microsoft Graph для каждого интерфейса согласия приложения.
Теперь вы готовы использовать соединитель безопасности Microsoft Graph!
Подробное описание соединителя
Дополнительные сведения о соединителе см. в подробном разделе.
Создание подключения
Соединитель поддерживает следующие типы проверки подлинности:
| По умолчанию | Параметры для создания подключения. | Все регионы | Недоступен для совместного использования |
По умолчанию
Применимо: все регионы
Параметры для создания подключения.
Это недоступно для общего доступа. Если приложение power предоставляется другому пользователю, пользователю будет предложено явно создать новое подключение.
Ограничения регулирования
| Имя | Вызовы | Период обновления |
|---|---|---|
| Вызовы API для каждого подключения | 100 | 60 секунд |
Действия
|
Обновление ti |
Обновите определенные свойства индикатора аналитики угроз. Обязательные поля для tiIndicator: Id, expirationDateTime и targetProduct (не рекомендуется). |
|
Обновление нескольких ti |
Обновите определенные свойства нескольких индикаторов аналитики угроз. Обязательные поля для каждого tiIndicator: Id, expirationDateTime и targetProduct (не рекомендуется). |
| Обновление оповещений (не рекомендуется) [DEPRECATED] |
Обновите определенные свойства оповещений системы безопасности (не рекомендуется). |
| Обновление подписки (не рекомендуется) [DEPRECATED] |
Обновите подписку веб-перехватчика Microsoft Graph, обновив срок действия (не рекомендуется). |
|
Отправка нескольких ti |
Создайте новые индикаторы аналитики угроз, разместив коллекцию tiIndicator. Обязательные поля для каждого tiIndicator: action, azureTenantId, description, expirationDateTime, targetProduct, threatType, tlpLevel (не рекомендуется). |
|
Получение ti |
Получите список индикаторов аналитики угроз для этого клиента Microsoft Entra ID. Используется с различными параметрами запроса (не рекомендуется). |
|
Получение ti |
Получите индикатор аналитики угроз, соответствующий указанному идентификатору (не рекомендуется). |
| Получение активных подписок (не рекомендуется) [DEPRECATED] |
Получите список необъявленных подписок для этого клиента Идентификатора Microsoft Entra (не рекомендуется). |
| Получение оповещений (не рекомендуется) [DEPRECATED] |
Получите список оповещений системы безопасности для этого клиента Идентификатора Microsoft Entra. Используется с различными параметрами запроса (не рекомендуется). |
| Получение оповещений по идентификатору (не рекомендуется) [DEPRECATED] |
Получите оповещение системы безопасности, соответствующее указанному идентификатору (не рекомендуется). |
|
Создание ti |
Создайте новый индикатор аналитики угроз, разместив коллекцию tiIndicator (не рекомендуется). |
| Создание подписок (не рекомендуется) [DEPRECATED] |
Создание подписок веб-перехватчика Microsoft Graph (не рекомендуется). |
|
Удаление ti |
Удалите индикатор аналитики угроз, соответствующий указанному идентификатору (не рекомендуется). |
| Удаление нескольких тидикатов внешними идентификаторами (не рекомендуется) [DEPRECATED] |
Удалите несколько индикаторов аналитики угроз, соответствующих указанным внешним идентификаторам (не рекомендуется). |
| Удаление нескольких тидикатов идентификаторами (не рекомендуется) [DEPRECATED] |
Удалите несколько индикаторов аналитики угроз, соответствующих указанным идентификаторам (не рекомендуется). |
| Удаление подписок (не рекомендуется) [DEPRECATED] |
Удалите определенную подписку веб-перехватчика Microsoft Graph (не рекомендуется). |
Обновление tiIndicator (не рекомендуется) [DEPRECATED]
Обновите определенные свойства индикатора аналитики угроз. Обязательные поля для tiIndicator: Id, expirationDateTime и targetProduct (не рекомендуется).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор TiIndicator
|
indicator-id | True | string |
Укажите идентификатор индикатора аналитики угроз. |
|
Действие
|
action | string |
Действие, применяемое, если индикатор соответствует в средстве безопасности targetProduct. Значения: (неизвестно, разрешить, блокировать, оповещение). |
|
|
Имена групп действий
|
activityGroupNames | array of string |
Имена аналитики киберугрызов для сторон, ответственных за вредоносные действия, охваченные индикатором угрозы. |
|
|
Дополнительные сведения
|
additionalInformation | string |
Дополнительные данные индикатора, не охваченные другими свойствами tiIndicator, могут быть помещены |
|
|
Достоверность
|
confidence | integer |
Достоверность логики обнаружения (процент от 0 до 100). |
|
|
Description
|
description | string |
Описание TiIndicator (100 символов или меньше). |
|
|
Модель алмаза
|
diamondModel | string |
Область модели алмазов, в которой существует этот индикатор. Значения: (неизвестные, злоумышленники, возможности, инфраструктура, жертва). |
|
|
Время окончания срока действия
|
expirationDateTime | True | date-time |
Время истечения срока действия индикатора (формат UTC). Например, 2020-03-01T00:00:00Z). |
|
Внешний идентификатор
|
externalId | string |
Идентификационный номер, который связывает индикатор обратно с системой поставщика индикатора (например, внешний ключ). |
|
|
Активен
|
isActive | boolean |
По умолчанию любой индикатор, отправленный, устанавливается как активный. Однако поставщики могут отправлять существующие индикаторы с таким набором значение False, чтобы отключить индикаторы в системе. |
|
|
Убить цепочку
|
killChain | array of string |
строки, описывающие точку или точки в цепочке убийств, целевые объекты этого индикатора. Значения: (Действия, C2, доставка, эксплуатация, установка, разведка, оружие). |
|
|
Известные ложные срабатывания
|
knownFalsePositives | string |
Сценарии, в которых индикатор может вызвать ложные срабатывания. |
|
|
Время последней даты
|
lastReportedDateTime | date-time |
При последнем просмотре индикатора (UTC). |
|
|
Имена семейств вредоносных программ
|
malwareFamilyNames | array of string |
Имя семейства вредоносных программ, связанное с индикатором, если оно существует. |
|
|
Только пассивный
|
passiveOnly | boolean |
Определяет, должен ли индикатор активировать событие, видимое для конечного пользователя. |
|
|
Severity
|
severity | integer |
Серьезность вредоносного поведения, определяемого данными в индикаторе. Значения имеют значение от 0 до 5 с наибольшим значением 5. Значение по умолчанию — 3. |
|
|
Метки
|
tags | array of string | ||
|
Уровень Tlp
|
tlpLevel | string |
Значение протокола светофора для индикатора. Возможные значения: неизвестные, белые, зеленые, янтарные, красные. |
|
|
Целевой продукт
|
targetProduct | True | string |
Один продукт безопасности, к которому должен применяться индикатор. Допустимые значения: Azure Sentinel, ATP в Microsoft Defender. |
Обновление нескольких tiIndicator (не рекомендуется) [DEPRECATED]
Обновите определенные свойства нескольких индикаторов аналитики угроз. Обязательные поля для каждого tiIndicator: Id, expirationDateTime и targetProduct (не рекомендуется).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
id
|
id | True | string |
TiIndicator-id |
|
Действие
|
action | string |
Действие, применяемое, если индикатор соответствует в средстве безопасности targetProduct. Значения: (неизвестно, разрешить, блокировать, оповещение). |
|
|
Имена групп действий
|
activityGroupNames | array of string |
Имена аналитики киберугрызов для сторон, ответственных за вредоносные действия, охваченные индикатором угрозы. |
|
|
Дополнительные сведения
|
additionalInformation | string |
Дополнительные данные индикатора, не охваченные другими свойствами tiIndicator, могут быть помещены |
|
|
Достоверность
|
confidence | integer |
Достоверность логики обнаружения (процент от 0 до 100). |
|
|
Description
|
description | string |
Описание TiIndicator (100 символов или меньше). |
|
|
Модель алмаза
|
diamondModel | string |
Область модели алмазов, в которой существует этот индикатор. Значения: (неизвестные, злоумышленники, возможности, инфраструктура, жертва). |
|
|
Время окончания срока действия
|
expirationDateTime | True | date-time |
Время истечения срока действия индикатора (UTC). |
|
Целевой продукт
|
targetProduct | True | string |
Один продукт безопасности, к которому должен применяться индикатор. Допустимые значения: Azure Sentinel, ATP в Microsoft Defender. |
|
Внешний идентификатор
|
externalId | string |
Идентификационный номер, который связывает индикатор обратно с системой поставщика индикатора (например, внешний ключ). |
|
|
Активен
|
isActive | boolean |
По умолчанию любой индикатор, отправленный, устанавливается как активный. Однако поставщики могут отправлять существующие индикаторы с таким набором значение False, чтобы отключить индикаторы в системе. |
|
|
Убить цепочку
|
killChain | array of string |
строки, описывающие точку или точки в цепочке убийств, целевые объекты этого индикатора. Значения: (Действия, C2, доставка, эксплуатация, установка, разведка, оружие). |
|
|
Известные ложные срабатывания
|
knownFalsePositives | string |
Сценарии, в которых индикатор может вызвать ложные срабатывания. |
|
|
Время последней даты
|
lastReportedDateTime | date-time |
При последнем просмотре индикатора (UTC). |
|
|
Имена семейств вредоносных программ
|
malwareFamilyNames | array of string |
Имя семейства вредоносных программ, связанное с индикатором, если оно существует. |
|
|
Только пассивный
|
passiveOnly | boolean |
Определяет, должен ли индикатор активировать событие, видимое для конечного пользователя. |
|
|
Severity
|
severity | integer |
Серьезность вредоносного поведения, определяемого данными в индикаторе. Значения имеют значение от 0 до 5 с наибольшим значением 5. Значение по умолчанию — 3. |
|
|
Метки
|
tags | array of string | ||
|
Уровень Tlp
|
tlpLevel | string |
Значение протокола светофора для индикатора. Возможные значения: неизвестные, белые, зеленые, янтарные, красные. |
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
TiIndicator
|
value | array of TiIndicator |
Обновленные tiIndicator |
Обновление оповещений (не рекомендуется) [DEPRECATED]
Обновите определенные свойства оповещений системы безопасности (не рекомендуется).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор оповещения
|
alert-id | True | string |
Укажите идентификатор оповещения. |
|
Кому назначено:
|
assignedTo | string |
Укажите имя аналитика, которому назначается оповещение для рассмотрения, исследования или исправления. |
|
|
Закрытое dateTime
|
closedDateTime | string |
Укажите время закрытия оповещения. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). |
|
|
comments
|
comments | array of string |
Comments |
|
|
Метки
|
tags | array of string |
Укажите любые определяемые пользователем метки, которые могут применяться к оповещению и могут служить условиями фильтра (например, HVA, SAW и т. д.). |
|
|
Feedback
|
feedback | string |
Укажите отзыв аналитика об оповещении. |
|
|
Состояние
|
status | string |
Укажите состояние для отслеживания состояния жизненного цикла оповещений (этап). |
|
|
Имя поставщика
|
provider | True | string |
Конкретный поставщик (продукт или услуга — не компания-поставщик); Например, WindowsDefenderATP. |
|
Версия поставщика
|
providerVersion | string |
Укажите версию поставщика или подпровидера, если она существует, которая вызвала оповещение. |
|
|
Имя поставщика подзаготовок
|
subProvider | string |
Конкретный подпровидер (в разделе агрегирования поставщика); Например, WindowsDefenderATP.SmartScreen. |
|
|
Имя поставщика
|
vendor | True | string |
Укажите имя поставщика оповещений (например, Microsoft, Dell, FireEye). |
Обновление подписки (не рекомендуется) [DEPRECATED]
Обновите подписку веб-перехватчика Microsoft Graph, обновив срок действия (не рекомендуется).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
ID подписки
|
Subscription Id | True | string |
Укажите идентификатор подписки веб-перехватчика Microsoft Graph. |
|
Время окончания срока действия
|
expirationDateTime | string |
Укажите дату и время в формате UTC, когда истекает срок действия подписки на веб-перехватчик Microsoft Graph. Максимальное время окончания срока действия оповещений системы безопасности составляет 43200 минут (в течение 30 дней). |
Возвращаемое значение
Возвращаемая одна сущность подписки
- Subscription
- Subscription
Отправка нескольких tiIndicator (не рекомендуется) [DEPRECATED]
Создайте новые индикаторы аналитики угроз, разместив коллекцию tiIndicator. Обязательные поля для каждого tiIndicator: action, azureTenantId, description, expirationDateTime, targetProduct, threatType, tlpLevel (не рекомендуется).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Действие
|
action | True | string |
Действие, применяемое, если индикатор соответствует в средстве безопасности targetProduct. Значения: (неизвестно, разрешить, блокировать, оповещение). |
|
Имена групп действий
|
activityGroupNames | array of string |
Имена аналитики киберугрызов для сторон, ответственных за вредоносные действия, охваченные индикатором угрозы. |
|
|
Дополнительные сведения
|
additionalInformation | string |
Дополнительные данные индикатора, не охваченные другими свойствами tiIndicator, могут быть помещены |
|
|
Идентификатор клиента Azure
|
azureTenantId | string |
Идентификатор клиента Microsoft Entra ID для отправки клиента. |
|
|
Достоверность
|
confidence | integer |
Достоверность логики обнаружения (процент от 0 до 100). |
|
|
Description
|
description | True | string |
Описание TiIndicator (100 символов или меньше). |
|
Модель алмаза
|
diamondModel | string |
Область модели алмазов, в которой существует этот индикатор. Значения: (неизвестные, злоумышленники, возможности, инфраструктура, жертва). |
|
|
Время окончания срока действия
|
expirationDateTime | True | date-time |
Время истечения срока действия индикатора (UTC). |
|
Внешний идентификатор
|
externalId | string |
Идентификационный номер, который связывает индикатор обратно с системой поставщика индикатора (например, внешний ключ). |
|
|
Время приема даты
|
ingestedDateTime | date-time |
Время приема индикатора (UTC). |
|
|
Активен
|
isActive | boolean |
По умолчанию любой индикатор, отправленный, устанавливается как активный. Однако поставщики могут отправлять существующие индикаторы с таким набором значение False, чтобы отключить индикаторы в системе. |
|
|
Убить цепочку
|
killChain | array of string |
строки, описывающие точку или точки в цепочке убийств, целевые объекты этого индикатора. Значения: (Действия, C2, доставка, эксплуатация, установка, разведка, оружие). |
|
|
Известные ложные срабатывания
|
knownFalsePositives | string |
Сценарии, в которых индикатор может вызвать ложные срабатывания. |
|
|
Время последней даты
|
lastReportedDateTime | date-time |
При последнем просмотре индикатора (UTC). |
|
|
Имена семейств вредоносных программ
|
malwareFamilyNames | array of string |
Имя семейства вредоносных программ, связанное с индикатором, если оно существует. |
|
|
Только пассивный
|
passiveOnly | boolean |
Определяет, должен ли индикатор активировать событие, видимое для конечного пользователя. |
|
|
Severity
|
severity | integer |
Серьезность вредоносного поведения, определяемого данными в индикаторе. Значения имеют значение от 0 до 5 с наибольшим значением 5. Значение по умолчанию — 3. |
|
|
Метки
|
tags | array of string | ||
|
Целевой продукт
|
targetProduct | True | string |
Один продукт безопасности, к которому должен применяться индикатор. Допустимые значения: Azure Sentinel, ATP в Microsoft Defender. |
|
Тип угрозы
|
threatType | string |
Каждый индикатор должен иметь допустимый тип угрозы индикатора. Возможные значения: Botnet, C2, CryptoMining, Darknet, DDoS, MalwareUrl, Malware, Phishing, Proxy, PUA, WatchList. |
|
|
Уровень Tlp
|
tlpLevel | string |
Значение протокола светофора для индикатора. Возможные значения: неизвестные, белые, зеленые, янтарные, красные. |
|
|
Кодировка электронной почты
|
emailEncoding | string |
Тип кодировки текста, используемой в сообщении электронной почты. |
|
|
Язык электронной почты
|
emailLanguage | string |
Язык электронной почты. |
|
|
Получатель электронной почты
|
emailRecipient | string |
Адрес электронной почты получателя. |
|
|
Адрес отправителя электронной почты
|
emailSenderAddress | string |
Адрес электронной почты злоумышленника|жертвы. |
|
|
Имя отправителя электронной почты
|
emailSenderName | string |
Отображаемое имя злоумышленника|жертвы. |
|
|
Исходный домен электронной почты
|
emailSourceDomain | string |
Домен, используемый в сообщении электронной почты. |
|
|
Ip-адрес источника электронной почты
|
emailSourceIpAddress | string |
Исходный IP-адрес электронной почты. |
|
|
Тема сообщения электронной почты
|
emailSubject | string |
Тема электронной почты. |
|
|
Электронная почта XMailer
|
emailXMailer | string |
Значение X-Mailer, используемое в сообщении электронной почты. |
|
|
Время компиляции файла
|
fileCompileDateTime | date-time |
DateTime при компиляции файла. |
|
|
Время создания файла
|
fileCreatedDateTime | date-time |
DateTime при создании файла. |
|
|
Тип хэша файлов
|
fileHashType | string |
Тип хэша, хранящегося в fileHashValue. Возможные значения: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
|
|
Хэш-значение файла
|
fileHashValue | string |
Хэш-значение файла. |
|
|
Имя мьютекса файла
|
fileMutexName | string |
Имя мьютекса, используемое в обнаружениях на основе файлов. |
|
|
Имя файла
|
fileName | string |
Имя файла, если индикатор основан на файлах. |
|
|
Средство упаковки файлов
|
filePacker | string |
Упаковщик, используемый для создания файла в вопросе. |
|
|
Путь к файлу
|
filePath | string |
Путь к файлу, указывающий на компрометацию. Может быть путь к стилю Windows или *nix. |
|
|
Размер файла
|
fileSize | integer |
Размер файла в байтах. |
|
|
Тип файла
|
fileType | string |
Текстовое описание типа файла. Например, "Word Document" или "Binary". |
|
|
Доменное имя
|
domainName | string |
Доменное имя, связанное с этим индикатором. |
|
|
Сетевой блок cidr
|
networkCidrBlock | string |
Представление нотации блока CIDR сети, на который ссылается этот индикатор. |
|
|
Сетевое назначение Asn
|
networkDestinationAsn | integer |
Идентификатор автономной системы назначения сети, на который ссылается индикатор. |
|
|
Блок cidr назначения сети
|
networkDestinationCidrBlock | string |
Представление нотации блока CIDR целевой сети в этом индикаторе. |
|
|
Ip-адрес назначения сети IPv4
|
networkDestinationIPv4 | string |
Назначение IP-адреса IPv4. |
|
|
IPv6 для назначения сети
|
networkDestinationIPv6 | string |
Назначение IP-адреса IPv6. |
|
|
Порт назначения сети
|
networkDestinationPort | integer |
Назначение TCP-порта. |
|
|
Сетевой IPv4
|
networkIPv4 | string |
IP-адрес IPv4. |
|
|
Сетевой IPv6
|
networkIPv6 | string |
IP-адрес IPv6. |
|
|
Сетевой порт
|
networkPort | integer |
TCP-порт. |
|
|
Сетевой протокол
|
networkProtocol | integer |
Десятичное представление поля протокола в заголовке IPv4. |
|
|
Сетевой источник Asn
|
networkSourceAsn | integer |
Исходный автономный системный идентификатор сети, на который ссылается индикатор. |
|
|
Блок cidr источника сети
|
networkSourceCidrBlock | string |
Представление нотации блока CIDR исходной сети в этом индикаторе. |
|
|
Сетевой источник IPv4
|
networkSourceIPv4 | string |
Источник IP-адреса IPv4. |
|
|
IPv6 для назначения сети
|
networkSourceIPv6 | string |
Источник IP-адреса IPv6. |
|
|
Сетевой исходный порт
|
networkSourcePort | integer |
Источник TCP-порта. |
|
|
URL-адрес
|
url | string |
Универсальный указатель ресурсов. |
|
|
Агент пользователя
|
userAgent | string |
User-Agent строку из веб-запроса, которая может указывать на компрометацию. |
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
TiIndicator
|
value | array of TiIndicator |
Отправленные tiIndicator |
Получение tiIndicator (не рекомендуется) [DEPRECATED]
Получите список индикаторов аналитики угроз для этого клиента Microsoft Entra ID. Используется с различными параметрами запроса (не рекомендуется).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Фильтрация тидикататоров
|
$filter | string |
Укажите условие фильтрации для индикаторов аналитики угроз, таких как threatType eq "WatchList" |
|
|
Топ tiIndicator
|
$top | integer |
Укажите последнее число полученных индикаторов аналитики угроз |
|
|
Выбор свойств tiIndicator
|
$select | string |
Укажите свойства индикатора аналитики угроз для включения в результаты. |
|
|
Включение количества возвращаемых тидикатов
|
$count | string |
Укажите, чтобы включить количество индикаторов аналитики угроз, возвращенных в ответ |
|
|
Пропускает результаты "n"
|
$skip | integer |
Укажите количество пропущенных результатов. Полезно для разбиения на страницы. |
|
|
Порядок сортировки
|
$orderby | string |
Укажите порядок сортировки результатов. |
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Число TiIndicator
|
@odata.count | integer |
Число возвращенных TiIndicator |
|
TiIndicator
|
value | array of TiIndicator |
Возвращаемый TiIndicator |
|
Ссылка "Далее"
|
@odata.nextLink | string |
Ссылка на получение следующих результатов в случае, если есть больше результатов, чем запрошено |
Получение tiIndicator по идентификатору (не рекомендуется) [DEPRECATED]
Получите индикатор аналитики угроз, соответствующий указанному идентификатору (не рекомендуется).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор TiIndicator
|
indicator-id | True | string |
Указание идентификатора индикатора аналитики угроз |
Возвращаемое значение
Возвращается одна сущность TiIndicator
- TiIndicator
- TiIndicator
Получение активных подписок (не рекомендуется) [DEPRECATED]
Получите список необъявленных подписок для этого клиента Идентификатора Microsoft Entra (не рекомендуется).
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Число существующих подкрипций
|
@odata.count | integer |
Количество возвращаемых подкрипций |
|
Subscription
|
value | array of Subscription |
Возвращаемые сущности подписки |
|
Ссылка "Далее"
|
@odata.nextLink | string |
Ссылка на получение следующих результатов в случае, если есть больше результатов, чем запрошено |
Получение оповещений (не рекомендуется) [DEPRECATED]
Получите список оповещений системы безопасности для этого клиента Идентификатора Microsoft Entra. Используется с различными параметрами запроса (не рекомендуется).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Фильтрация оповещений
|
$filter | string |
Укажите условие фильтрации для оповещений, таких как высокий уровень серьезности. |
|
|
Основные оповещения
|
$top | integer |
Укажите последнее максимальное число оповещений, которые необходимо получить от каждого поставщика. |
|
|
Выбор свойств генерации оповещений
|
$select | string |
Укажите свойства оповещений для включения в результаты. |
|
|
Порядок сортировки
|
$orderby | string |
Укажите порядок сортировки результатов. |
|
|
Пропускает результаты "n"
|
$skip | integer |
Укажите количество пропущенных результатов. Полезно для разбиения на страницы. |
|
|
Включение количества возвращенных оповещений
|
$count | string |
Укажите, чтобы включить количество оповещений, возвращенных в ответ |
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Количество оповещений
|
@odata.count | integer |
Количество возвращенных оповещений |
|
Уведомления
|
value | array of Alert |
Возвращенные оповещения |
|
Ссылка "Далее"
|
@odata.nextLink | string |
Ссылка на получение следующих результатов в случае, если есть больше результатов, чем запрошено |
Получение оповещений по идентификатору (не рекомендуется) [DEPRECATED]
Получите оповещение системы безопасности, соответствующее указанному идентификатору (не рекомендуется).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор оповещения
|
alert-id | True | string |
Укажите идентификатор оповещения. |
Возвращаемое значение
Возвращается одна сущность генерации оповещений
- Alert
- Alert
Создание tiIndicator (не рекомендуется) [DEPRECATED]
Создайте новый индикатор аналитики угроз, разместив коллекцию tiIndicator (не рекомендуется).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Действие
|
action | True | string |
Действие, применяемое, если индикатор соответствует в средстве безопасности targetProduct. Значения: (неизвестно, разрешить, блокировать, оповещение). |
|
Имена групп действий
|
activityGroupNames | array of string |
Имена аналитики киберугрызов для сторон, ответственных за вредоносные действия, охваченные индикатором угрозы. |
|
|
Дополнительные сведения
|
additionalInformation | string |
Дополнительные данные индикатора, не охваченные другими свойствами tiIndicator, могут быть помещены |
|
|
Идентификатор клиента Azure
|
azureTenantId | string |
Идентификатор клиента Microsoft Entra ID для отправки клиента. |
|
|
Достоверность
|
confidence | integer |
Достоверность логики обнаружения (процент от 0 до 100). |
|
|
Description
|
description | True | string |
Описание TiIndicator (100 символов или меньше). |
|
Модель алмаза
|
diamondModel | string |
Область модели алмазов, в которой существует этот индикатор. Значения: (неизвестные, злоумышленники, возможности, инфраструктура, жертва). |
|
|
Время окончания срока действия
|
expirationDateTime | True | date-time |
Время истечения срока действия индикатора (UTC). |
|
Внешний идентификатор
|
externalId | string |
Идентификационный номер, который связывает индикатор обратно с системой поставщика индикатора (например, внешний ключ). |
|
|
Время приема даты
|
ingestedDateTime | date-time |
Время приема индикатора (UTC). |
|
|
Активен
|
isActive | boolean |
По умолчанию любой индикатор, отправленный, устанавливается как активный. Однако поставщики могут отправлять существующие индикаторы с таким набором значение False, чтобы отключить индикаторы в системе. |
|
|
Убить цепочку
|
killChain | array of string |
строки, описывающие точку или точки в цепочке убийств, целевые объекты этого индикатора. Значения: (Действия, C2, доставка, эксплуатация, установка, разведка, оружие). |
|
|
Известные ложные срабатывания
|
knownFalsePositives | string |
Сценарии, в которых индикатор может вызвать ложные срабатывания. |
|
|
Время последней даты
|
lastReportedDateTime | date-time |
При последнем просмотре индикатора (UTC). |
|
|
Имена семейств вредоносных программ
|
malwareFamilyNames | array of string |
Имя семейства вредоносных программ, связанное с индикатором, если оно существует. |
|
|
Только пассивный
|
passiveOnly | boolean |
Определяет, должен ли индикатор активировать событие, видимое для конечного пользователя. |
|
|
Severity
|
severity | integer |
Серьезность вредоносного поведения, определяемого данными в индикаторе. Значения имеют значение от 0 до 5 с наибольшим значением 5. Значение по умолчанию — 3. |
|
|
Метки
|
tags | array of string | ||
|
Целевой продукт
|
targetProduct | True | string |
Один продукт безопасности, к которому должен применяться индикатор. Допустимые значения: Azure Sentinel, ATP в Microsoft Defender. |
|
Тип угрозы
|
threatType | string |
Каждый индикатор должен иметь допустимый тип угрозы индикатора. Возможные значения: Botnet, C2, CryptoMining, Darknet, DDoS, MalwareUrl, Malware, Phishing, Proxy, PUA, WatchList. |
|
|
Уровень Tlp
|
tlpLevel | string |
Значение протокола светофора для индикатора. Возможные значения: неизвестные, белые, зеленые, янтарные, красные. |
|
|
Кодировка электронной почты
|
emailEncoding | string |
Тип кодировки текста, используемой в сообщении электронной почты. |
|
|
Язык электронной почты
|
emailLanguage | string |
Язык электронной почты. |
|
|
Получатель электронной почты
|
emailRecipient | string |
Адрес электронной почты получателя. |
|
|
Адрес отправителя электронной почты
|
emailSenderAddress | string |
Адрес электронной почты злоумышленника|жертвы. |
|
|
Имя отправителя электронной почты
|
emailSenderName | string |
Отображаемое имя злоумышленника|жертвы. |
|
|
Исходный домен электронной почты
|
emailSourceDomain | string |
Домен, используемый в сообщении электронной почты. |
|
|
Ip-адрес источника электронной почты
|
emailSourceIpAddress | string |
Исходный IP-адрес электронной почты. |
|
|
Тема сообщения электронной почты
|
emailSubject | string |
Тема электронной почты. |
|
|
Электронная почта XMailer
|
emailXMailer | string |
Значение X-Mailer, используемое в сообщении электронной почты. |
|
|
Время компиляции файла
|
fileCompileDateTime | date-time |
DateTime при компиляции файла. |
|
|
Время создания файла
|
fileCreatedDateTime | date-time |
DateTime при создании файла. |
|
|
Тип хэша файлов
|
fileHashType | string |
Тип хэша, хранящегося в fileHashValue. Возможные значения: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
|
|
Хэш-значение файла
|
fileHashValue | string |
Хэш-значение файла. |
|
|
Имя мьютекса файла
|
fileMutexName | string |
Имя мьютекса, используемое в обнаружениях на основе файлов. |
|
|
Имя файла
|
fileName | string |
Имя файла, если индикатор основан на файлах. |
|
|
Средство упаковки файлов
|
filePacker | string |
Упаковщик, используемый для создания файла в вопросе. |
|
|
Путь к файлу
|
filePath | string |
Путь к файлу, указывающий на компрометацию. Может быть путь к стилю Windows или *nix. |
|
|
Размер файла
|
fileSize | integer |
Размер файла в байтах. |
|
|
Тип файла
|
fileType | string |
Текстовое описание типа файла. Например, "Word Document" или "Binary". |
|
|
Доменное имя
|
domainName | string |
Доменное имя, связанное с этим индикатором. |
|
|
Сетевой блок cidr
|
networkCidrBlock | string |
Представление нотации блока CIDR сети, на который ссылается этот индикатор. |
|
|
Сетевое назначение Asn
|
networkDestinationAsn | integer |
Идентификатор автономной системы назначения сети, на который ссылается индикатор. |
|
|
Блок cidr назначения сети
|
networkDestinationCidrBlock | string |
Представление нотации блока CIDR целевой сети в этом индикаторе. |
|
|
Ip-адрес назначения сети IPv4
|
networkDestinationIPv4 | string |
Назначение IP-адреса IPv4. |
|
|
IPv6 для назначения сети
|
networkDestinationIPv6 | string |
Назначение IP-адреса IPv6. |
|
|
Порт назначения сети
|
networkDestinationPort | integer |
Назначение TCP-порта. |
|
|
Сетевой IPv4
|
networkIPv4 | string |
IP-адрес IPv4. |
|
|
Сетевой IPv6
|
networkIPv6 | string |
IP-адрес IPv6. |
|
|
Сетевой порт
|
networkPort | integer |
TCP-порт. |
|
|
Сетевой протокол
|
networkProtocol | integer |
Десятичное представление поля протокола в заголовке IPv4. |
|
|
Сетевой источник Asn
|
networkSourceAsn | integer |
Исходный автономный системный идентификатор сети, на который ссылается индикатор. |
|
|
Блок cidr источника сети
|
networkSourceCidrBlock | string |
Представление нотации блока CIDR исходной сети в этом индикаторе. |
|
|
Сетевой источник IPv4
|
networkSourceIPv4 | string |
Источник IP-адреса IPv4. |
|
|
IPv6 для назначения сети
|
networkSourceIPv6 | string |
Источник IP-адреса IPv6. |
|
|
Сетевой исходный порт
|
networkSourcePort | integer |
Источник TCP-порта. |
|
|
URL-адрес
|
url | string |
Универсальный указатель ресурсов. |
|
|
Агент пользователя
|
userAgent | string |
User-Agent строку из веб-запроса, которая может указывать на компрометацию. |
Возвращаемое значение
Возвращается одна сущность TiIndicator
- TiIndicator
- TiIndicator
Создание подписок (не рекомендуется) [DEPRECATED]
Создание подписок веб-перехватчика Microsoft Graph (не рекомендуется).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
URL-адрес ресурса
|
resource | True | string |
Укажите ресурс, который будет отслеживаться для изменений. Не включать базовый URL-адрес ( |
|
Изменить тип
|
changeType | True | string |
Укажите тип свойства, который должен вызывать уведомление при изменении ресурса, подписанного на подписку. |
|
Состояние клиента
|
clientState | string |
Укажите состояние клиента, чтобы подтвердить источник источника уведомлений. |
|
|
URL-адрес уведомления
|
notificationUrl | True | string |
Укажите хорошо сформированный URL-адрес конечной точки, которая будет получать уведомления. |
|
Время окончания срока действия
|
expirationDateTime | True | date-time |
Укажите дату истечения срока действия подписки на веб-перехватчик; должен быть датой больше текущего времени и в течение 30 дней. |
Возвращаемое значение
Возвращаемая одна сущность подписки
- Subscription
- Subscription
Удаление tiIndicator по идентификатору (не рекомендуется) [DEPRECATED]
Удалите индикатор аналитики угроз, соответствующий указанному идентификатору (не рекомендуется).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
Идентификатор TiIndicator
|
indicator-id | True | string |
Указание идентификатора индикатора аналитики угроз |
Удаление нескольких тидикатов внешними идентификаторами (не рекомендуется) [DEPRECATED]
Удалите несколько индикаторов аналитики угроз, соответствующих указанным внешним идентификаторам (не рекомендуется).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
value
|
value | array of string |
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
value
|
value | array of object | |
|
код
|
value.code | integer |
Код результата |
|
сообщение
|
value.message | string |
Сообщение |
|
субкод
|
value.subcode | integer |
Результирующий вложенный код |
Удаление нескольких тидикатов идентификаторами (не рекомендуется) [DEPRECATED]
Удалите несколько индикаторов аналитики угроз, соответствующих указанным идентификаторам (не рекомендуется).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
value
|
value | array of string |
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
value
|
value | array of object | |
|
код
|
value.code | integer |
Код результата |
|
сообщение
|
value.message | string |
Сообщение |
|
субкод
|
value.subcode | integer |
Результирующий вложенный код |
Удаление подписок (не рекомендуется) [DEPRECATED]
Удалите определенную подписку веб-перехватчика Microsoft Graph (не рекомендуется).
Параметры
| Имя | Ключ | Обязательно | Тип | Описание |
|---|---|---|---|---|
|
ID подписки
|
Subscription Id | True | string |
Укажите идентификатор подписки веб-перехватчика Microsoft Graph. |
Триггеры
| В новых оповещениях с высоким уровнем серьезности (не рекомендуется) [DEPRECATED] |
Триггеры для новых оповещений с высоким уровнем серьезности (не рекомендуется) |
| Для всех новых оповещений (не рекомендуется) [DEPRECATED] |
Триггеры для всех новых оповещений (не рекомендуется) |
В новых оповещениях с высоким уровнем серьезности (не рекомендуется) [DEPRECATED]
Триггеры для новых оповещений с высоким уровнем серьезности (не рекомендуется)
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Количество оповещений
|
@odata.count | integer |
Количество возвращенных оповещений |
|
Уведомления
|
value | array of Alert |
Возвращенные оповещения |
|
Ссылка "Далее"
|
@odata.nextLink | string |
Ссылка на получение следующих результатов в случае, если есть больше результатов, чем запрошено |
Для всех новых оповещений (не рекомендуется) [DEPRECATED]
Триггеры для всех новых оповещений (не рекомендуется)
Возвращаемое значение
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Количество оповещений
|
@odata.count | integer |
Количество возвращенных оповещений |
|
Уведомления
|
value | array of Alert |
Возвращенные оповещения |
|
Ссылка "Далее"
|
@odata.nextLink | string |
Ссылка на получение следующих результатов в случае, если есть больше результатов, чем запрошено |
Определения
Alert
Возвращается одна сущность генерации оповещений
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор подписки Azure
|
azureSubscriptionId | string |
Идентификатор подписки Azure, если это оповещение связано с ресурсом Azure. |
|
Метки
|
tags | array of string |
Определяемые пользователем метки, которые могут применяться к оповещению и могут служить условиями фильтра (например, "HVA", "SAW" и т. д.). |
|
Идентификатор
|
id | string |
GUID или уникальный идентификатор, созданный поставщиком. |
|
Идентификатор клиента Azure
|
azureTenantId | string |
Идентификатор клиента Microsoft Entra ID. |
|
Имя группы действий
|
activityGroupName | string |
Это оповещение относится к имени или псевдониму группы действий (злоумышленника). |
|
Кому назначено:
|
assignedTo | string |
Имя аналитика, назначаемое оповещением для рассмотрения, исследования или исправления. |
|
Категория
|
category | string |
Категория оповещения (например, credentialTheft, программ-шантажистов и т. д.). |
|
Время закрытой даты
|
closedDateTime | date-time |
Время закрытия оповещения (UTC). |
|
Comments
|
comments | array of string |
Предоставленные клиентом комментарии по оповещению (для управления оповещениями клиентов). |
|
Достоверность
|
confidence | integer |
Достоверность логики обнаружения (процент от 1 до 100). |
|
Дата создания
|
createdDateTime | date-time |
Время создания оповещения (UTC). |
|
Description
|
description | string |
Описание оповещения. |
|
Идентификаторы обнаружения
|
detectionIds | array of string |
Набор оповещений, связанных с этой сущностью оповещения. |
|
Время даты события
|
eventDateTime | date-time |
Время, в течение которого события, которые служили триггерами для создания оповещения (UTC). |
|
Feedback
|
feedback | string |
Отзывы аналитиков об оповещении. Возможные значения: неизвестные, truePositive, falsePositive, доброкачественныеPositive. |
|
Время последней измененной даты
|
lastModifiedDateTime | date-time |
Время последнего изменения сущности оповещения (UTC). |
|
Рекомендуемые действия
|
recommendedActions | array of string |
Поставщик или поставщик рекомендуемые действия/s для выполнения в результате оповещения (например, изоляции компьютера, принудительного применения2FA, узла повторного создания и т. д.). |
|
Severity
|
severity | string |
Уровень серьезности оповещений— устанавливается поставщиком или поставщиком. Значения: (высокий, средний, низкий, информационный), где информационные сведения о том, что оповещение недоступно. |
|
Исходные материалы
|
sourceMaterials | array of string |
Гиперссылки (URI) в исходный материал, связанный с оповещением, например пользовательский интерфейс исследования поставщика и т. д. |
|
Состояние
|
status | string |
Состояние жизненного цикла оповещений (этап). Значения: (неизвестно, newAlert, inProgress, разрешено). |
|
Название
|
title | string |
Заголовок оповещения. |
|
Имя поставщика
|
vendorInformation.provider | string |
Конкретный поставщик (продукт или услуга — не компания-поставщик); Например, WindowsDefenderATP. |
|
Версия поставщика
|
vendorInformation.providerVersion | string |
Версия поставщика или подпровидера. |
|
Имя поставщика вложенного поставщика
|
vendorInformation.subProvider | string |
Конкретный подпровидер (в разделе агрегирования поставщика); Например, WindowsDefenderATP.SmartScreen. |
|
Имя поставщика
|
vendorInformation.vendor | string |
Имя поставщика оповещений (например, Microsoft, Dell, FireEye). |
|
Состояния облачных приложений
|
cloudAppStates | array of object |
Сведения о состоянии, связанные с безопасностью, созданные поставщиком о облачном приложении или с, связанном с этим оповещением. |
|
IP-адрес целевой службы
|
cloudAppStates.destinationServiceIp | string |
IP-адрес назначения подключения к облачному приложению или службе. |
|
Имя целевой службы
|
cloudAppStates.destinationServiceName | string |
Имя конечного облачного приложения или службы. |
|
Оценка риска
|
cloudAppStates.riskScore | string |
Оценка риска, созданного поставщиком, для облачного приложения или службы. |
|
Состояния файлов
|
fileStates | array of object |
Сведения о состоянии, связанные с безопасностью, созданные поставщиком о файлах, связанных с этим оповещением. |
|
Имя
|
fileStates.name | string |
Имя файла (без пути). |
|
Путь
|
fileStates.path | string |
Полный путь к файлу или imageFile. |
|
Оценка риска
|
fileStates.riskScore | string |
Поставщик создал или вычислял оценку риска файла генерации оповещений. |
|
Тип
|
fileStates.fileHash.type | string |
Хэш-тип файла. Возможные значения: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256. |
|
Ценность
|
fileStates.fileHash.value | string |
Значение хэша файла. |
|
Состояния узла
|
hostStates | array of object |
Сведения о состоянии, связанные с безопасностью, созданные поставщиком о узлах, связанных с этим оповещением. |
|
Полное доменное имя
|
hostStates.fqdn | string |
Полное доменное имя узла (полное доменное имя). |
|
Присоединено к AzureAd
|
hostStates.isAzureAdJoined | boolean |
Значение true, если узел присоединен к домену, присоединенным к доменным службам идентификатора Microsoft Entra ID. |
|
Зарегистрировано ли azureAd
|
hostStates.isAzureAdRegistered | boolean |
Значение true, если узел, зарегистрированный в регистрации устройства идентификатора Microsoft Entra (например, BYOD), не полностью управляется предприятием. |
|
Присоединен ли гибридный домен Azure
|
hostStates.isHybridAzureDomainJoined | boolean |
Значение true, если узел присоединен к локальному домену идентификатора Microsoft Entra ID. |
|
Net bios name
|
hostStates.netBiosName | string |
Локальное имя узла без dns-доменного имени. |
|
Операционная система
|
hostStates.os | string |
Операционная система узла. |
|
Частный IP-адрес
|
hostStates.privateIpAddress | string |
Частный (не routable) IPv4 или IPv6-адрес во время оповещения. |
|
Общедоступный IP-адрес
|
hostStates.publicIpAddress | string |
Общедоступный маршрутизируемый IPv4 или IPv6-адрес во время оповещения. |
|
Оценка риска
|
hostStates.riskScore | string |
Оценка риска, созданная поставщиком или вычисляемая оценка риска узла. |
|
Состояния вредоносных программ
|
malwareStates | array of object |
Сведения о состоянии, связанные с безопасностью, созданные поставщиком о вредоносных программах, связанных с этим оповещением. |
|
Категория
|
malwareStates.category | string |
Категория вредоносных программ, созданных поставщиком (например, троян, программ-шантажистов и т. д.). |
|
Семья
|
malwareStates.family | string |
Семейство вредоносных программ, созданных поставщиком (например, "wannacry", "notpetya" и т. д.). |
|
Имя
|
malwareStates.name | string |
Имя варианта вредоносных программ, созданного поставщиком (например, Троян:Win32/Powessere.H). |
|
Severity
|
malwareStates.severity | string |
Серьезность этого вредоносного по программе, определяемая поставщиком. |
|
Выполнялась
|
malwareStates.wasRunning | boolean |
Указывает, выполнялся ли обнаруженный файл (вредоносная программа или уязвимость) во время обнаружения или обнаружен на диске. |
|
Сетевые подключения
|
networkConnections | array of object |
Сведения о состоянии, связанные с безопасностью, созданные поставщиком о файлах, связанных с этим оповещением. |
|
Имя приложения
|
networkConnections.applicationName | string |
Имя приложения, управляющего сетевым подключением (например, Facebook, SMTP и т. д.). |
|
Адрес назначения
|
networkConnections.destinationAddress | string |
IP-адрес назначения сетевого подключения. |
|
Целевой домен
|
networkConnections.destinationDomain | string |
Часть конечного домена целевого URL-адреса. (например, "www.contoso.com"). |
|
Конечный порт
|
networkConnections.destinationPort | string |
Конечный порт сетевого подключения. |
|
URL-адрес назначения
|
networkConnections.destinationUrl | string |
Строка URL-адреса или URI сетевого подключения — исключение параметров. |
|
Направление
|
networkConnections.direction | string |
Направление сетевого подключения. Возможные значения: неизвестные, входящие, исходящие. |
|
Зарегистрированный домен dateTime
|
networkConnections.domainRegisteredDateTime | date-time |
Дата регистрации целевого домена (UTC). |
|
Локальное dns-имя
|
networkConnections.localDnsName | string |
Разрешение локальных DNS-имен, как оно отображается в локальном кэше DNS узла (например, если файл "hosts" был изменен). |
|
Адрес назначения Nat
|
networkConnections.natDestinationAddress | string |
IP-адрес назначения преобразования сетевых адресов. |
|
Порт назначения Nat
|
networkConnections.natDestinationPort | string |
Порт назначения преобразования сетевых адресов. |
|
Исходный адрес Nat
|
networkConnections.natSourceAddress | string |
IP-адрес источника преобразования сетевых адресов. |
|
Исходный порт Nat
|
networkConnections.natSourcePort | string |
Исходный порт перевода сетевых адресов. |
|
Протокол
|
networkConnections.protocol | string |
Сетевой протокол. Возможные значения: unknown, ip, icmp, igmp, ggp, ipv4, tcp, pup, udp, idp, ipv6RoutingHeader, ipv6FragmentHeader, ipSecEncapsulatingSecurityPayload, ipSecAuthenticationHeader, icmpV6, ipv6NoNextHeader, ipv6DestinationOptions, nd, raw, ipx, spxII. |
|
Оценка риска
|
networkConnections.riskScore | string |
Поставщик создал или вычислял оценку риска сетевого подключения. |
|
Исходный адрес
|
networkConnections.sourceAddress | string |
IP-адрес источника (т. е. источника) сетевого подключения. |
|
Исходный порт
|
networkConnections.sourcePort | string |
Ip-порт источника (т. е. источник) сетевого подключения. |
|
Состояние
|
networkConnections.status | string |
Состояние сетевого подключения. Возможные значения: неизвестные, попытки, успешное выполнение, блокировка, сбой. |
|
Параметры URL-адреса
|
networkConnections.urlParameters | string |
Параметры (суффикс) целевого URL-адреса в виде строки. |
|
Processes
|
processes | array of object |
Сведения о состоянии, связанные с безопасностью, созданные поставщиком о процессе или процессах, связанных с этим оповещением. |
|
Имя учетной записи
|
processes.accountName | string |
Идентификатор учетной записи пользователя (контекст учетной записи пользователя выполняется) например AccountName, SID и т. д. |
|
Командная строка
|
processes.commandLine | string |
Командная строка вызова полного процесса, включая все параметры. |
|
Дата создания
|
processes.createdDateTime | date-time |
DateTime, с которой был запущен родительский процесс (UTC). |
|
Уровень целостности
|
processes.integrityLevel | string |
Уровень целостности процесса. Возможные значения: неизвестные, ненадежные, низкие, средние, высокие, системные. |
|
Повышенный уровень
|
processes.isElevated | boolean |
Значение True, если процесс повышен. |
|
Имя
|
processes.name | string |
Имя файла образа процесса. |
|
Время создания даты и времени создания родительского процесса
|
processes.parentProcessCreatedDateTime | date-time |
Время начала процесса (UTC). |
|
Идентификатор родительского процесса
|
processes.parentProcessId | integer |
Идентификатор процесса (PID) родительского процесса. |
|
Имя родительского процесса
|
processes.parentProcessName | string |
Имя файла изображения родительского процесса. |
|
Путь
|
processes.path | string |
Полный путь, включая имя файла. |
|
Идентификатор процесса
|
processes.processId | integer |
Идентификатор процесса (PID) процесса. |
|
Тип
|
processes.fileHash.type | string |
Хэш-тип файла. Возможные значения: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256. |
|
Ценность
|
processes.fileHash.value | string |
Значение хэша файла. |
|
Состояния раздела реестра
|
registryKeyStates | array of object |
Сведения о состоянии, связанные с безопасностью, созданные поставщиком, о разделах реестра, связанных с этим оповещением. |
|
Процедура
|
registryKeyStates.process | string |
Идентификатор процесса (PID) процесса, изменив раздел реестра (сведения о процессе будут отображаться в коллекции оповещений "процессы"). |
|
Операция
|
registryKeyStates.operation | string |
Операция, измениющая имя раздела реестра и (или) значение (добавление, изменение, удаление). |
|
Тип значения
|
registryKeyStates.valueType | string |
Тип значения раздела реестра. Возможные значения: unknown, binary, dword, dwordLittleEndian, dwordBigEndian, expandSz, link, multiSz, none, qword, qwordlittleEndian, sz. |
|
Hive реестра
|
registryKeyStates.hive | string |
Hive реестра Windows. Возможные значения: unknown, currentConfig, currentUser, localMachineSam, localMachineSamSoftware, localMachineSystem, usersDefault. |
|
Key
|
registryKeyStates.key | string |
Текущий раздел реестра (т. е. изменен) (исключает HIVE). |
|
Имя параметра
|
registryKeyStates.valueName | string |
Текущее (т. е. изменено) имя раздела реестра. |
|
Ценностные данные
|
registryKeyStates.valueData | string |
Текущие (т. е. измененные) данные значения раздела реестра (содержимое). |
|
Старый ключ
|
registryKeyStates.oldKey | string |
Предыдущий (т. е. перед изменением) раздел реестра (исключает HIVE). |
|
Старое имя значения
|
registryKeyStates.oldValueName | string |
Предыдущее (т. е. перед изменением) имя раздела реестра. |
|
Старые данные значений
|
registryKeyStates.oldValueData | string |
Предыдущие (т. е. перед изменением) данные значения раздела реестра (содержимое). |
|
Triggers
|
triggers | array of object |
Сведения, связанные с безопасностью, о конкретных свойствах, которые активировали оповещение (свойства, отображаемые в оповещении). Оповещения могут содержать сведения о нескольких пользователях, узлах, файлах, IP-адресах. Это поле указывает, какие свойства активировали создание оповещений. |
|
Имя
|
triggers.name | string |
Имя свойства, выступающего в качестве триггера обнаружения. |
|
Тип
|
triggers.type | string |
Тип атрибута в паре key:value для интерпретации, например String, Boolean и т. д. |
|
Ценность
|
triggers.value | string |
Значение атрибута, выступающего в качестве триггера обнаружения. |
|
Состояния пользователей
|
userStates | array of object |
Сведения о состоянии, связанные с безопасностью, созданные поставщиком о пользователе или пользователях, вошедшего в систему, связанного с этим оповещением. |
|
Идентификатор пользователя Идентификатора Microsoft Entra
|
userStates.aadUserId | string |
Идентификатор объекта пользователя Microsoft Entra ID (GUID) — представляет сущность пользователя с несколькими учетными записями. |
|
Имя учетной записи
|
userStates.accountName | string |
Имя учетной записи пользователя (без домена идентификатора записи Майкрософт или домена DNS) (также называемое mailNickName). |
|
Доменное имя
|
userStates.domainName | string |
NetBIOS/Microsoft Entra ID Domain of user account (т. е. domain\account format). |
|
Роль электронной почты
|
userStates.emailRole | string |
Для оповещений, связанных с электронной почтой, — роль электронной почты учетной записи пользователя. |
|
Is Vpn
|
userStates.isVpn | boolean |
Указывает, выполнил ли пользователь вход через VPN. |
|
Время входа в систему
|
userStates.logonDateTime | date-time |
Время входа в систему (UTC). |
|
Идентификатор входа
|
userStates.logonId | string |
Идентификатор входа пользователя. |
|
IP-адрес входа
|
userStates.logonIp | string |
IP-адрес запроса на вход в систему, из который был выполнен запрос на вход. |
|
Расположение входа в систему
|
userStates.logonLocation | string |
Расположение (по сопоставлению IP-адресов), связанное с событием входа пользователя этим пользователем. |
|
Тип входа
|
userStates.logonType | string |
Метод входа пользователя. Возможные значения: неизвестные, интерактивные, удаленныеinteractive, сеть, пакет, служба. |
|
Локальный идентификатор безопасности
|
userStates.onPremisesSecurityIdentifier | string |
Идентификатор безопасности (ИДЕНТИФИКАТОР microsoft Entra (локальный) пользователя. |
|
Оценка риска
|
userStates.riskScore | string |
Оценка риска, созданного поставщиком, учетной записи пользователя. |
|
Тип учетной записи пользователя
|
userStates.userAccountType | string |
Тип учетной записи пользователя (членство в группах) для определения Windows. Возможные значения: неизвестные, стандартные, питание, администратор. |
|
Основное имя пользователя
|
userStates.userPrincipalName | string |
Имя входа пользователя — интернет-формат: <имя> учетной записи пользователя@<dns-имя> учетной записи пользователя. |
|
Состояния уязвимости
|
vulnerabilityStates | array of object |
Аналитика угроз, относящаяся к одной или нескольким уязвимостям, связанным с этим оповещением. |
|
Cve
|
vulnerabilityStates.cve | string |
Распространенные уязвимости и уязвимости (CVE) для уязвимости. |
|
Выполнялась
|
vulnerabilityStates.wasRunning | boolean |
Указывает, выполнялась ли обнаруженная уязвимость (файл) во время обнаружения или файл был обнаружен на диске. |
|
Severity
|
vulnerabilityStates.severity | string |
Оценка серьезности базовой общей оценки уязвимостей (CVSS) для этой уязвимости. |
Subscription
Возвращаемая одна сущность подписки
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Идентификатор
|
id | string |
Уникальный идентификатор подписки. |
|
Resource
|
resource | string |
Указывает ресурс, который будет отслеживаться для изменений. |
|
Идентификатор приложения
|
applicationId | string |
Идентификатор приложения, используемого для создания подписки. |
|
Изменить тип
|
changeType | string |
Указывает тип изменения в ресурсе подписки, который вызовет уведомление. |
|
Состояние клиента
|
clientState | string |
Указывает значение свойства clientState, отправляемого службой в каждом уведомлении. Максимальная длина — 128 символов. Клиент может проверить, поступило ли уведомление из службы, сравнивая значение свойства clientState, отправленное с подпиской, со значением свойства clientState, полученного с каждым уведомлением. |
|
URL-адрес уведомления
|
notificationUrl | string |
URL-адрес конечной точки, которая получит уведомления. Этот URL-адрес должен использовать протокол HTTPS. |
|
Время окончания срока действия
|
expirationDateTime | string |
Указывает дату и время истечения срока действия подписки веб-перехватчика (UTC). |
|
Идентификатор создателя
|
creatorId | string |
Идентификатор пользователя или субъекта-службы, создавшего подписку. Если приложение использовало делегированные разрешения для создания подписки, это поле содержит идентификатор пользователя, выполнившего вход, вызываемого от имени пользователя. Если приложение использует разрешения приложения, это поле содержит идентификатор субъекта-службы, соответствующего приложению. |
TiIndicator
Возвращается одна сущность TiIndicator
| Имя | Путь | Тип | Описание |
|---|---|---|---|
|
Действие
|
action | string |
Действие, применяемое, если индикатор соответствует в средстве безопасности targetProduct. Значения: (неизвестно, разрешить, блокировать, оповещение). |
|
Имена групп действий
|
activityGroupNames | array of string |
Имена аналитики киберугрызов для сторон, ответственных за вредоносные действия, охваченные индикатором угрозы. |
|
Дополнительные сведения
|
additionalInformation | string |
Дополнительные данные индикатора, не охваченные другими свойствами tiIndicator, могут быть помещены |
|
Идентификатор клиента Azure
|
azureTenantId | string |
Идентификатор клиента Microsoft Entra ID для отправки клиента. |
|
Достоверность
|
confidence | integer |
Достоверность логики обнаружения (процент от 0 до 100). |
|
Description
|
description | string |
Описание TiIndicator (100 символов или меньше). |
|
Модель алмаза
|
diamondModel | string |
Область модели алмазов, в которой существует этот индикатор. Значения: (неизвестные, злоумышленники, возможности, инфраструктура, жертва). |
|
Время окончания срока действия
|
expirationDateTime | date-time |
Время истечения срока действия индикатора (UTC). |
|
Внешний идентификатор
|
externalId | string |
Идентификационный номер, который связывает индикатор обратно с системой поставщика индикатора (например, внешний ключ). |
|
Идентификатор
|
id | string |
Создается системой при приеме индикатора. Созданный ИДЕНТИФИКАТОР GUID/уникальный идентификатор. |
|
Время приема даты
|
ingestedDateTime | date-time |
Время приема индикатора (UTC). |
|
Активен
|
isActive | boolean |
По умолчанию любой индикатор, отправленный, устанавливается как активный. Однако поставщики могут отправлять существующие индикаторы с таким набором значение False, чтобы отключить индикаторы в системе. |
|
Убить цепочку
|
killChain | array of string |
строки, описывающие точку или точки в цепочке убийств, целевые объекты этого индикатора. Значения: (Действия, C2, доставка, эксплуатация, установка, разведка, оружие). |
|
Известные ложные срабатывания
|
knownFalsePositives | string |
Сценарии, в которых индикатор может вызвать ложные срабатывания. |
|
Время последней даты
|
lastReportedDateTime | date-time |
При последнем просмотре индикатора (UTC). |
|
Имена семейств вредоносных программ
|
malwareFamilyNames | array of string |
Имя семейства вредоносных программ, связанное с индикатором, если оно существует. |
|
Только пассивный
|
passiveOnly | boolean |
Определяет, должен ли индикатор активировать событие, видимое для конечного пользователя. |
|
Severity
|
severity | integer |
Серьезность вредоносного поведения, определяемого данными в индикаторе. Значения имеют значение от 0 до 5 с наибольшим значением 5. Значение по умолчанию — 3. |
|
Метки
|
tags | array of string | |
|
Целевой продукт
|
targetProduct | string |
Один продукт безопасности, к которому должен применяться индикатор. Допустимые значения: Azure Sentinel, ATP в Microsoft Defender. |
|
Тип угрозы
|
threatType | string |
Каждый индикатор должен иметь допустимый тип угрозы индикатора. Возможные значения: Botnet, C2, CryptoMining, Darknet, DDoS, MalwareUrl, Malware, Phishing, Proxy, PUA, WatchList. |
|
Уровень Tlp
|
tlpLevel | string |
Значение протокола светофора для индикатора. Возможные значения: неизвестные, белые, зеленые, янтарные, красные. |
|
Кодировка электронной почты
|
emailEncoding | string |
Тип кодировки текста, используемой в сообщении электронной почты. |
|
Язык электронной почты
|
emailLanguage | string |
Язык электронной почты. |
|
Получатель электронной почты
|
emailRecipient | string |
Адрес электронной почты получателя. |
|
Адрес отправителя электронной почты
|
emailSenderAddress | string |
Адрес электронной почты злоумышленника|жертвы. |
|
Имя отправителя электронной почты
|
emailSenderName | string |
Отображаемое имя злоумышленника|жертвы. |
|
Исходный домен электронной почты
|
emailSourceDomain | string |
Домен, используемый в сообщении электронной почты. |
|
Ip-адрес источника электронной почты
|
emailSourceIpAddress | string |
Исходный IP-адрес электронной почты. |
|
Тема сообщения электронной почты
|
emailSubject | string |
Тема электронной почты. |
|
Электронная почта XMailer
|
emailXMailer | string |
Значение X-Mailer, используемое в сообщении электронной почты. |
|
Время компиляции файла
|
fileCompileDateTime | date-time |
DateTime при компиляции файла. |
|
Время создания файла
|
fileCreatedDateTime | date-time |
DateTime при создании файла. |
|
Тип хэша файлов
|
fileHashType | string |
Тип хэша, хранящегося в fileHashValue. Возможные значения: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
|
Хэш-значение файла
|
fileHashValue | string |
Хэш-значение файла. |
|
Имя мьютекса файла
|
fileMutexName | string |
Имя мьютекса, используемое в обнаружениях на основе файлов. |
|
Имя файла
|
fileName | string |
Имя файла, если индикатор основан на файлах. |
|
Средство упаковки файлов
|
filePacker | string |
Упаковщик, используемый для создания файла в вопросе. |
|
Путь к файлу
|
filePath | string |
Путь к файлу, указывающий на компрометацию. Может быть путь к стилю Windows или *nix. |
|
Размер файла
|
fileSize | integer |
Размер файла в байтах. |
|
Тип файла
|
fileType | string |
Текстовое описание типа файла. Например, "Word Document" или "Binary". |
|
Доменное имя
|
domainName | string |
Доменное имя, связанное с этим индикатором. |
|
Сетевой блок cidr
|
networkCidrBlock | string |
Представление нотации блока CIDR сети, на который ссылается этот индикатор. |
|
Сетевое назначение Asn
|
networkDestinationAsn | integer |
Идентификатор автономной системы назначения сети, на который ссылается индикатор. |
|
Блок cidr назначения сети
|
networkDestinationCidrBlock | string |
Представление нотации блока CIDR целевой сети в этом индикаторе. |
|
Ip-адрес назначения сети IPv4
|
networkDestinationIPv4 | string |
Назначение IP-адреса IPv4. |
|
IPv6 для назначения сети
|
networkDestinationIPv6 | string |
Назначение IP-адреса IPv6. |
|
Порт назначения сети
|
networkDestinationPort | integer |
Назначение TCP-порта. |
|
Сетевой IPv4
|
networkIPv4 | string |
IP-адрес IPv4. |
|
Сетевой IPv6
|
networkIPv6 | string |
IP-адрес IPv6. |
|
Сетевой порт
|
networkPort | integer |
TCP-порт. |
|
Сетевой протокол
|
networkProtocol | integer |
Десятичное представление поля протокола в заголовке IPv4. |
|
Сетевой источник Asn
|
networkSourceAsn | integer |
Исходный автономный системный идентификатор сети, на который ссылается индикатор. |
|
Блок cidr источника сети
|
networkSourceCidrBlock | string |
Представление нотации блока CIDR исходной сети в этом индикаторе. |
|
Сетевой источник IPv4
|
networkSourceIPv4 | string |
Источник IP-адреса IPv4. |
|
IPv6 для назначения сети
|
networkSourceIPv6 | string |
Источник IP-адреса IPv6. |
|
Сетевой исходный порт
|
networkSourcePort | integer |
Источник TCP-порта. |
|
URL-адрес
|
url | string |
Универсальный указатель ресурсов. |
|
Агент пользователя
|
userAgent | string |
User-Agent строку из веб-запроса, которая может указывать на компрометацию. |