Поделиться через

Записанное будущее версии 2

Записанный соединитель будущего обеспечивает доступ к записанной аналитике будущего. Соединитель имеет выделенные действия для извлечения записанных индикаторов будущего (IP, домен, URL-адрес, хэш) и связанного контекста (оценка риска, правила риска, ссылки на карточки аналитики и ссылки с высоким уровнем достоверности), уязвимости, записанные будущие оповещения и обеспечивает доступ к записанным API SOAR и Fusion Files

Этот соединитель доступен в следующих продуктах и регионах:

Услуга Class Регионы
Copilot Studio Премия Все регионы Power Automate
Логические приложения Стандарт Все регионы Logic Apps
Power Apps Премия Все регионы Power Apps
Power Automate Премия Все регионы Power Automate
Контакт
Имя Записанная поддержка будущего
URL https://support.recordedfuture.com
Адрес электронной почты support@recordedfuture.com
Метаданные соединителя
Publisher Записанное будущее
Website https://www.recordedfuture.com
Privacy Policy (Политика конфиденциальности) https://www.recordedfuture.com/privacy-policy/
Категории Искусственный интеллект; Данные

Записанное будущее версии 2

Интеграция Recorded Future позволяет интегрировать аналитику безопасности в режиме реального времени в популярные службы Майкрософт, такие как Sentinel, ATP Defender и другие. Это позволяет нашим клиентам максимально увеличить свои существующие инвестиции в безопасность, обеспечивая наличие аналитики в режиме реального времени для защиты облачных сред и снижения риска для организации. Соединитель recorded Future для Microsoft Azure обеспечивает доступ к выделенным действиям для извлечения записанных индикаторов будущего (IP-адрес, домен, URL-адрес, хэш, уязвимости), связанный контекст (оценка риска, правила риска, ссылки высокой достоверности и ссылка на карточку аналитики), записанные будущие оповещения, оповещения сборников схем, карты угроз, индикаторы угроз и правила обнаружения.

Издатель: записанное будущее

Новые возможности?

  • Записана карта угроз для субъекта угроз будущего
  • Записана карта угроз вредоносных программ будущего
  • Записанные индикаторы угроз будущего для субъектов
  • Записанные индикаторы угроз будущего для вредоносных программ

Предпосылки

Чтобы включить интеграцию Recorded Future для Microsoft Azure, пользователи должны быть подготовлены токен api recorded Future. Обратитесь к своему менеджеру по учетной записи, чтобы получить необходимый маркер API.

Получение учетных данных

Записанное будущее требует, чтобы ключи API взаимодействовали с нашим API. Чтобы получить ключи API: запустите бесплатную 30-дневную бесплатную пробную версию recorded Future for Microsoft Sentinel или посетите зарегистрированные токены API для будущих запросов API (требовать зарегистрированное имя входа в будущем) и запросить маркер API для Recorded Future for Microsoft Sentinel или/и Recorded Future Sandbox for Microsoft Sentinel.

Поддерживаемые операции

Этот соединитель используется для извлечения записанных будущих индикаторов, оповещений, оповещений сборников схем, карт угроз, индикаторов угроз и правил обнаружения:

  1. Записанные будущие списки рисков и скачивание SCF — скачивание записанных будущих списков рисков и веб-каналов управления безопасностью
  2. Обогащение IP-адресов — обогащение IP-адресов с помощью записанных будущих данных.
  3. Обогащение домена — обогащение домена с помощью записанных будущих данных.
  4. Обогащение URL-адресов — обогащение URL-адреса с помощью записанных будущих данных.
  5. Хэш обогащение — обогащение хэша с помощью записанных будущих данных.
  6. Обогащение уязвимостей — обогащение уязвимостей с помощью записанных будущих данных.
  7. API SOAR — обогащение нескольких Entitiy — одновременное обогащение нескольких сущностей (требуется конкретный доступ)
  8. Оповещения с триггерами поиска — вывод списка оповещений по набору параметров поиска.
  9. Получение триггерных оповещений по идентификатору — получение сведений об оповещении с активированным оповещением
  10. Правила генерации оповещений поиска — список правил генерации оповещений по имени
  11. Уведомление об оповещении поиска (не рекомендуется) — не рекомендуется
  12. Получение уведомления оповещений по идентификатору (не рекомендуется) — не рекомендуется
  13. Поиск оповещений сборника схем — вывод списка оповещений сборника схем на основе набора параметров поиска
  14. Получение оповещений сборника схем по идентификатору. Получение сведений об оповещении о оповещении сборника схем
  15. Получение субъектов карты угроз — получение данных карты угроз для основной организации предприятия с фильтрами.
  16. Получение вредоносных программ карты угроз — получение данных карты угроз для основной организации предприятия с фильтрами.
  17. Получение индикаторов угроз для субъектов в формате STIX — получение индикаторов угроз для субъектов в формате STIX.
  18. Получение индикаторов угроз для вредоносных программ в формате STIX — получение индикаторов угроз для вредоносных программ в формате STIX.
  19. Правила обнаружения поиска (предварительная версия) — получение правил обнаружения, соответствующих фильтру поиска

Примеры решений для Microsoft Sentinel

Руководство по установке решений с помощью этого соединителя: записанные будущие решения для Microsoft Sentinel

Известные проблемы и ограничения

N/A

Создание подключения

Соединитель поддерживает следующие типы проверки подлинности:
По умолчанию Параметры для создания подключения. Все регионы Недоступен для совместного использования

По умолчанию

Применимо: все регионы

Параметры для создания подключения.

Это недоступно для общего доступа. Если приложение power предоставляется другому пользователю, пользователю будет предложено явно создать новое подключение.

Имя Тип Description Обязательно
Ключ API securestring Ключ API для этого API True

Ограничения регулирования

Имя Вызовы Период обновления
Вызовы API для каждого подключения 100 60 секунд

Действия

API SOAR — обогащение нескольких Entitiy

Одновременное обогащение нескольких сущностей (требуется конкретный доступ)
Записанные будущие списки рисков и скачивание SCF

Скачивание записываемых списков будущих рисков и веб-каналов управления безопасностью
Обогащение IP-адресов

Обогащение IP-адреса с помощью записанных будущих данных
Обогащение URL-адресов

Обогащение URL-адреса с помощью записанных будущих данных
Обогащение домена

Обогащение домена с помощью записанных будущих данных
Обогащение уязвимостей

Обогащение уязвимости с помощью записанных будущих данных
Оповещения, активированные поиском

Вывод списка оповещений по набору параметров поиска
Оповещения сборника схем поиска

Вывод списка оповещений сборника схем на основе набора параметров поиска
Получение вредоносных программ карты угроз

Получение данных карты угроз для основной организации предприятия с фильтрами.
Получение индикаторов угроз для вредоносных программ в формате STIX

Получение индикаторов угроз для вредоносных программ в формате STIX.
Получение индикаторов угроз для субъектов в формате STIX

Получение индикаторов угроз для субъектов в формате STIX.
Получение оповещения сборника схем по идентификатору

Получение сведений об оповещении о оповещении сборника схем
Получение субъектов карты угроз

Получение данных карты угроз для основной организации предприятия с фильтрами.
Получение триггерных оповещений по идентификатору

Получение сведений об оповещении с активированным оповещением
Получение уведомления оповещений по идентификатору (не рекомендуется)

Вместо этого используйте /v2/alerts/{id}. Получение сведений об оповещении с активированным оповещением
Правила генерации оповещений поиска

Вывод списка правил генерации оповещений по имени
Правила обнаружения поиска

Получение правил обнаружения, соответствующих фильтру поиска
Уведомления об оповещении поиска (не рекомендуется)

Вместо этого используйте /v2/alerts. Вывод списка оповещений по набору параметров поиска
Хэш обогащение

Обогащение хэша с помощью записанных будущих данных

API SOAR — обогащение нескольких Entitiy

Идентификатор операции:
Soar_Bulk_Lookup

Одновременное обогащение нескольких сущностей (требуется конкретный доступ)

Параметры

Имя Ключ Обязательно Тип Описание
протокол IP
 ip array of string

Ip
URL-адрес
 url array of string

URL-адрес
domain
 domain array of string

Домен
hash
 hash array of string

Hash
уязвимость
 vulnerability array of string

Уязвимость

Возвращаемое значение

Имя Путь Тип Описание
возвращаемый
 counts.returned integer
итог
 counts.total integer
results
 data.results array of object
id
 data.results.entity.id string
имя
 data.results.entity.name string
type
 data.results.entity.type string
context
 data.results.risk.context object
уровень
 data.results.risk.level number
rule
 data.results.risk.rule object
счёт
 data.results.risk.score number

Записанные будущие списки рисков и скачивание SCF

Идентификатор операции:
R_List_D

Скачивание записываемых списков будущих рисков и веб-каналов управления безопасностью

Параметры

Имя Ключ Обязательно Тип Описание
Путь к файлу
 path True string

Путь к файлу

Возвращаемое значение

Имя Путь Тип Описание
array of object
Имя
 Name string
Риск
 Risk integer
RiskString
 RiskString string
EvidenceDetails
 EvidenceDetails.EvidenceDetails array of object
Правило
 EvidenceDetails.EvidenceDetails.Rule string
EvidenceString
 EvidenceDetails.EvidenceDetails.EvidenceString string
КритичностьLabel
 EvidenceDetails.EvidenceDetails.CriticalityLabel string
Отметка времени
 EvidenceDetails.EvidenceDetails.Timestamp integer
Устранение рисков
 EvidenceDetails.EvidenceDetails.MitigationString string
Критичность
 EvidenceDetails.EvidenceDetails.Criticality integer

Обогащение IP-адресов

Идентификатор операции:
IP_E

Обогащение IP-адреса с помощью записанных будущих данных

Параметры

Имя Ключ Обязательно Тип Описание
Входные IP-адреса
 ip True string

IP-адрес для поиска. Должен быть одним IP-адресом
Fields
 fields True string

Разделенный запятыми список полей, возвращаемых в ответе
IntelligenceCloud
 IntelligenceCloud boolean

Совместное использование корреляций и обогащений данных с помощью записанного облака аналитики будущего. Значение по умолчанию: true
HTML-ответ
 htmlresponse boolean

Включение HTML-шаблона в ответ

Возвращаемое значение

Имя Путь Тип Описание
IntelCard
 data.intelCard string

Записанная ссылка на карточку аналитики будущего
критичностьLabel
 data.risk.criticalityLabel string

Записанный уровень критическости индикатора будущего
счёт
 data.risk.score integer

Записанная оценка риска индикатора будущего
evidenceDetails
 data.risk.evidenceDetails array of object

Сведения о доказательствах
evidenceString
 data.risk.evidenceDetails.evidenceString string

Записанные сведения о будущих правилах риска
rule
 data.risk.evidenceDetails.rule string

Записанные правила риска для будущих индикаторов
riskSummary
 data.risk.riskSummary string

Сводка по правилам будущих рисков
links
 data.links Links

Ссылки на основе данных с высоким уровнем достоверности
html_response
 data.html_response string

Обогащение URL-адресов

Идентификатор операции:
U_E

Обогащение URL-адреса с помощью записанных будущих данных

Параметры

Имя Ключ Обязательно Тип Описание
Входные данные URL-адреса
 url True string

URL-адрес для поиска. Должен быть одним URL-адресом
Fields
 fields True string

Разделенный запятыми список полей, возвращаемых в ответе
IntelligenceCloud
 IntelligenceCloud boolean

Совместное использование корреляций и обогащений данных с помощью записанного облака аналитики будущего. Значение по умолчанию: true
HTML-ответ
 htmlresponse boolean

Включение HTML-шаблона в ответ

Возвращаемое значение

Имя Путь Тип Описание
критичностьLabel
 data.risk.criticalityLabel string

Записанный уровень критическости индикатора будущего
счёт
 data.risk.score integer

Записанная оценка риска индикатора будущего
evidenceDetails
 data.risk.evidenceDetails array of object

Сведения о доказательствах
evidenceString
 data.risk.evidenceDetails.evidenceString string

Записанные сведения о будущих правилах риска
rule
 data.risk.evidenceDetails.rule string

Записанные правила риска для будущих индикаторов
riskSummary
 data.risk.riskSummary string

Сводка по правилам будущих рисков
links
 data.links Links

Ссылки на основе данных с высоким уровнем достоверности
html_response
 data.html_response string

Обогащение домена

Идентификатор операции:
D_E

Обогащение домена с помощью записанных будущих данных

Параметры

Имя Ключ Обязательно Тип Описание
Входные данные домена
 domain True string

Домен для поиска. Должен быть одним доменом
Fields
 fields True string

Разделенный запятыми список полей, возвращаемых в ответе
IntelligenceCloud
 IntelligenceCloud boolean

Совместное использование корреляций и обогащений данных с помощью записанного облака аналитики будущего. Значение по умолчанию: true
HTML-ответ
 htmlresponse boolean

Включение HTML-шаблона в ответ

Возвращаемое значение

Имя Путь Тип Описание
IntelCard
 data.intelCard string

Записанная ссылка на карточку аналитики будущего
критичностьLabel
 data.risk.criticalityLabel string

Записанный уровень критическости индикатора будущего
счёт
 data.risk.score integer

Записанная оценка риска индикатора будущего
evidenceDetails
 data.risk.evidenceDetails array of object

Сведения о доказательствах
evidenceString
 data.risk.evidenceDetails.evidenceString string

Записанные сведения о будущих правилах риска
rule
 data.risk.evidenceDetails.rule string

Записанные правила риска для будущих индикаторов
riskSummary
 data.risk.riskSummary string

Сводка по правилам будущих рисков
links
 data.links Links

Ссылки на основе данных с высоким уровнем достоверности
html_response
 data.html_response string

Обогащение уязвимостей

Идентификатор операции:
Vuln_E

Обогащение уязвимости с помощью записанных будущих данных

Параметры

Имя Ключ Обязательно Тип Описание
Входные данные идентификатора уязвимости (CVE, name)
 id True string

Идентификатор уязвимости (CVE, имя) для поиска. Должен быть одним идентификатором уязвимости (CVE, именем)
Fields
 fields True string

Разделенный запятыми список полей, возвращаемых в ответе
IntelligenceCloud
 IntelligenceCloud boolean

Совместное использование корреляций и обогащений данных с помощью записанного облака аналитики будущего. Значение по умолчанию: true
HTML-ответ
 htmlresponse boolean

Включение HTML-шаблона в ответ

Возвращаемое значение

Имя Путь Тип Описание
IntelCard
 data.intelCard string

Записанная ссылка на карточку аналитики будущего
критичностьLabel
 data.risk.criticalityLabel string

Зарегистрированный уровень критическости будущих уязвимостей
счёт
 data.risk.score integer

Зарегистрированная оценка риска для будущих уязвимостей
evidenceDetails
 data.risk.evidenceDetails array of object

Сведения о доказательствах
evidenceString
 data.risk.evidenceDetails.evidenceString string

Записанные сведения о будущих правилах риска
rule
 data.risk.evidenceDetails.rule string

Записанные правила риска для будущих уязвимостей
riskSummary
 data.risk.riskSummary string

Сводка по правилам будущих рисков
links
 data.links Links

Ссылки на основе данных с высоким уровнем достоверности
html_response
 data.html_response string

Оповещения, активированные поиском

Идентификатор операции:
Alert_search_v2

Вывод списка оповещений по набору параметров поиска

Параметры

Имя Ключ Обязательно Тип Описание
Активировано
 triggered string

Временной интервал, для которого необходимо включить триггерные оповещения. Например, -24h или -2d
Идентификатор правила генерации оповещений
 alertRule string

Возвращаются только оповещения, активированные для указанного идентификатора правила генерации оповещений.
Максимальное количество записей
 limit integer

Ограничивает количество возвращенных оповещений.
Записи из смещения
 from integer

Записи из смещения
Поля для включения
 fields string

Поля для включения, например "id, hits". Возвращает все, если не указано.

Возвращаемое значение

Имя Путь Тип Описание
данные
 data array of AlertSearchV2
возвращаемый
 counts.returned integer
итог
 counts.total integer

Оповещения сборника схем поиска

Идентификатор операции:
Playbook_Alert_Search

Вывод списка оповещений сборника схем на основе набора параметров поиска

Параметры

Имя Ключ Обязательно Тип Описание
Лимит
 limit string

Ограничение количества возвращенных оповещений сборника схем
entities
 entities array of string

Список сущностей
statuses
 statuses array of string

Список состояний оповещений
Приоритеты
 priorities array of string

Список приоритетов оповещений
categories
 categories array of string

Список категорий оповещений
Относительный созданный из
 created_from_relative string

Ограничьте ответ на оповещения сборника схем, созданные по крайней мере в течение нескольких минут, часов или дней назад. По умолчанию используется все время.
Относительный созданный до тех пор, пока
 created_until_relative string

Ограничьте ответ на оповещения сборника схем, созданные в последние несколько минут, часов или дней назад. По умолчанию используется значение "-0" (сейчас).
Относительное обновление из
 updated_from_relative string

Ограничьте ответ на оповещения сборника схем, обновленные не более чем за несколько минут, часов или дней в прошлом. По умолчанию используется значение "-1d" (один день назад).
Относительное обновление до
 updated_until_relative string

Ограничьте ответ на оповещения сборника схем, обновленные в последние несколько минут, часов или дней в прошлом. По умолчанию используется значение "-0" (сейчас).

Возвращаемое значение

Оповещения сборника схем, соответствующие критериям поиска

Товары
PlaybookAlertSearch

Получение вредоносных программ карты угроз

Идентификатор операции:
Threat_Map_Malware

Получение данных карты угроз для основной организации предприятия с фильтрами.

Параметры

Имя Ключ Обязательно Тип Описание
вредоносная программа
 malware True array of string

Список вредоносных программ
categories
 categories True array of string

Список категорий
watchlists
 watchlists True array of string

Список списков наблюдения

Возвращаемое значение

Имя Путь Тип Описание
данные
 data ThreatMapMalware

Получение индикаторов угроз для вредоносных программ в формате STIX

Идентификатор операции:
STIX_MalwareIndicators

Получение индикаторов угроз для вредоносных программ в формате STIX.

Параметры

Имя Ключ Обязательно Тип Описание
вредоносная программа
 malware array of string
categories
 categories array of string
watchlists
 watchlists array of string
trigger_score_ip
 trigger_score_ip integer
trigger_score_url
 trigger_score_url integer
trigger_score_domain
 trigger_score_domain integer
trigger_score_hash
 trigger_score_hash integer
valid_until_delta_hours
 valid_until_delta_hours integer
threat_hunt_description
 threat_hunt_description string

Возвращаемое значение

Имя Путь Тип Описание
данные
 data ThreatHuntMalware

Получение индикаторов угроз для субъектов в формате STIX

Идентификатор операции:
STIX_Indicators

Получение индикаторов угроз для субъектов в формате STIX.

Параметры

Имя Ключ Обязательно Тип Описание
Актеры
 actors array of string
categories
 categories array of string
watchlists
 watchlists array of string
trigger_score_ip
 trigger_score_ip integer
trigger_score_url
 trigger_score_url integer
trigger_score_domain
 trigger_score_domain integer
trigger_score_hash
 trigger_score_hash integer
valid_until_delta_hours
 valid_until_delta_hours integer
threat_hunt_description
 threat_hunt_description string

Возвращаемое значение

Имя Путь Тип Описание
данные
 data ThreatHuntActors

Получение оповещения сборника схем по идентификатору

Идентификатор операции:
Playbook_Alert_Lookup

Получение сведений об оповещении о оповещении сборника схем

Параметры

Имя Ключ Обязательно Тип Описание
Идентификатор оповещения сборника схем
 id True string

Идентификатор оповещения сборника схем

Возвращаемое значение

Тело
PlaybookAlertLookup

Получение субъектов карты угроз

Идентификатор операции:
Threat_Map_Actors

Получение данных карты угроз для основной организации предприятия с фильтрами.

Параметры

Имя Ключ Обязательно Тип Описание
Актеры
 actors True array of string

Список субъектов
categories
 categories True array of string

Список категорий
watchlists
 watchlists True array of string

Список списков наблюдения

Возвращаемое значение

Имя Путь Тип Описание
данные
 data ThreatMapActors

Получение триггерных оповещений по идентификатору

Идентификатор операции:
Alert_search_id_v2

Получение сведений об оповещении с активированным оповещением

Параметры

Имя Ключ Обязательно Тип Описание
Идентификатор уведомления оповещений
 id True string

Идентификатор уведомления оповещений
Поля для включения
 fields string

Поля для включения, например "id, hits". Возвращает все, если не указано.

Возвращаемое значение

Имя Путь Тип Описание
данные
 data AlertSearchV2

Получение уведомления оповещений по идентификатору (не рекомендуется)

Идентификатор операции:
Alert_Not_Lookup

Вместо этого используйте /v2/alerts/{id}. Получение сведений об оповещении с активированным оповещением

Параметры

Имя Ключ Обязательно Тип Описание
Идентификатор уведомления оповещений
 id True string

Идентификатор уведомления оповещений

Возвращаемое значение

Тело
AlertLookup

Правила генерации оповещений поиска

Идентификатор операции:
Alert_Rules_Search

Вывод списка правил генерации оповещений по имени

Параметры

Имя Ключ Обязательно Тип Описание
Поиск свободного текста
 freetext string

Поиск в freetext для имени правила генерации оповещений
Максимальное количество записей
 limit integer

Максимальное количество записей

Возвращаемое значение

Имя Путь Тип Описание
results
 data.results array of object

Results
Название правила генерации оповещений
 data.results.title string

Название
Идентификатор правила генерации оповещений
 data.results.id string

Идентификатор
Возвращенное число правил генерации оповещений
 counts.returned integer

Возвращаемый
Общее количество правил генерации оповещений
 counts.total integer

Total

Правила обнаружения поиска

Идентификатор операции:
Detection_Rule_Search

Получение правил обнаружения, соответствующих фильтру поиска

Параметры

Имя Ключ Обязательно Тип Описание
Типы
 types array of string

Список типов правил обнаружения для включения в ответ
entities
 entities array of string

Список сущностей, с которыми должны быть связаны правила обнаружения
before
 before date-time

Ограничьте ответ на правила обнаружения, созданные до этой даты. Пример: 2023-06-01T18:00:00Z
after
 after date-time

Ограничение ответа на правила обнаружения, созданные после этой даты
Лимит
 limit integer

Ограничение количества возвращаемых правил обнаружения

Возвращаемое значение

Имя Путь Тип Описание
Число правил обнаружения
 count integer

Численность
Правила обнаружения
 result array of object

Правила обнаружения
id
 result.id string
type
 result.type string
title
 result.title string
описание
 result.description string
правила
 result.rules array of object
имя
 result.rules.name string
описание
 result.rules.description string
file_name
 result.rules.file_name string
entities
 result.rules.entities array of object
id
 result.rules.entities.id string
type
 result.rules.entities.type string
имя
 result.rules.entities.name string
display_name
 result.rules.entities.display_name string
содержимое
 result.rules.content string
создано
 result.created string
Обновлено
 result.updated string

Уведомления об оповещении поиска (не рекомендуется)

Идентификатор операции:
Alert_Not_Search

Вместо этого используйте /v2/alerts. Вывод списка оповещений по набору параметров поиска

Параметры

Имя Ключ Обязательно Тип Описание
Активировано
 triggered string

Допустимы все форматы даты, совместимые с Elasticsearch.
Идентификатор правила генерации оповещений
 alertRule True string

Идентификатор правила генерации оповещений
Максимальное количество записей
 limit integer

Максимальное количество записей
Записи из смещения
 from integer

Записи из смещения

Возвращаемое значение

Тело
AlertSearch

Хэш обогащение

Идентификатор операции:
H_E

Обогащение хэша с помощью записанных будущих данных

Параметры

Имя Ключ Обязательно Тип Описание
Входные данные HASH
 hash True string

ХЭШ для поиска. Должен быть одним ХЭШом
Fields
 fields True string

Разделенный запятыми список полей, возвращаемых в ответе
IntelligenceCloud
 IntelligenceCloud boolean

Совместное использование корреляций и обогащений данных с помощью записанного облака аналитики будущего. Значение по умолчанию: true
HTML-ответ
 htmlresponse boolean

Включение HTML-шаблона в ответ

Возвращаемое значение

Имя Путь Тип Описание
IntelCard
 data.intelCard string

Записанная ссылка на карточку аналитики будущего
критичностьLabel
 data.risk.criticalityLabel string

Записанный уровень критическости индикатора будущего
счёт
 data.risk.score integer

Записанная оценка риска индикатора будущего
evidenceDetails
 data.risk.evidenceDetails array of object

Сведения о доказательствах
evidenceString
 data.risk.evidenceDetails.evidenceString string

Записанные сведения о будущих правилах риска
rule
 data.risk.evidenceDetails.rule string

Записанные правила риска для будущих индикаторов
riskSummary
 data.risk.riskSummary string

Сводка по правилам будущих рисков
links
 data.links Links

Ссылки на основе данных с высоким уровнем достоверности
html_response
 data.html_response string

Определения

Ссылки на основе данных с высоким уровнем достоверности

Имя Путь Тип Описание
startDate
 technical.start_date string

Дата начала ссылки
stopDate
 technical.stop_date string

Дата остановки ссылки
entities
 technical.entities array of LinkEntities

Связанные сущности
startDate
 research.start_date string

Дата начала ссылки
stopDate
 research.stop_date string

Дата остановки ссылки
entities
 research.entities array of LinkEntities

Связанные сущности

LinkEntities

Имя Путь Тип Описание
type
 type string

Тип enitity
имя
 name string

имя сущности,
счёт
 score integer

Оценка риска
категория
 category string

Категория сущностей

AlertSearchV2

Имя Путь Тип Описание
review
 review AlertReviewV2
owner_organisation_details
 owner_organisation_details AlertOwnerV2
URL-адрес
 url AlertURLV2
rule
 rule AlertRuleV2
alert_id
 id AlertID
Хиты
 hits AlertHitsV2
Журнал
 log AlertLogV2
title
 title AlertTitle
type
 type AlertType
ai_insights
 ai_insights AlertAiV2

AlertAiV2

Имя Путь Тип Описание
Комментарий
 comment string
текст
 text string

AlertHitsV2

Имя Путь Тип Описание
entities
 entities array of object
id
 entities.id string
имя
 entities.name string
type
 entities.type string
source_id
 document.source.id string
имя
 document.source.name string
type
 document.source.type string
title
 document.title string
URL-адрес
 document.url string
authors
 document.authors array of object
id
 document.authors.id string
имя
 document.authors.name string
type
 document.authors.type string
фрагмент
 fragment string
id
 id string
language
 language string
id
 primary_entity.id string
имя
 primary_entity.name string
type
 primary_entity.type string
analyst_note
 analyst_note string

AlertSearch

Имя Путь Тип Описание
results
 data.results array of object
review
 data.results.review AlertReview
URL-адрес
 data.results.url AlertURL
rule
 data.results.rule AlertRule
Вызвало
 data.results.triggered AlertTriggered
alert_id
 data.results.id AlertID
title
 data.results.title AlertTitle
type
 data.results.type AlertType
возвращаемый
 counts.returned integer
итог
 counts.total integer

AlertLookup

Имя Путь Тип Описание
review
 data.review AlertReview
entities
 data.entities AlertEntities
URL-адрес
 data.url AlertURL
rule
 data.rule AlertRule
Вызвало
 data.triggered AlertTriggered
alert_id
 data.id AlertID
Ссылки
 data.counts.references integer
entities
 data.counts.entities integer
Документы
 data.counts.documents integer
title
 data.title AlertTitle
type
 data.type AlertType

AlertLogV2

Имя Путь Тип Описание
note_author
 note_author string
note_date
 note_date date-time
status_date
 status_date string
Вызвало
 triggered string
status_change_by
 status_change_by string

AlertOwnerV2

Имя Путь Тип Описание
организации
 organisations array of object
идентификатор_организации
 organisations.organisation_id string
organisation_name
 organisations.organisation_name string
enterprise_id
 enterprise_id string
enterprise_name
 enterprise_name string

AlertReviewV2

Имя Путь Тип Описание
assignee
 assignee string
статус
 status string
status_in_portal
 status_in_portal string
заметка
 note string

AlertReview

Имя Путь Тип Описание
assignee
 assignee string
статус
 status string
примечаниеDate
 noteDate string
noteAuthor
 noteAuthor string
заметка
 note string

AlertEntities

Имя Путь Тип Описание
тенденция
 trend object
Документы
 documents array of object
Ссылки
 documents.references array of object
фрагмент
 documents.references.fragment string
entities
 documents.references.entities array of object
id
 documents.references.entities.id string
имя
 documents.references.entities.name string
type
 documents.references.entities.type string
language
 documents.references.language string
id
 documents.source.id string
имя
 documents.source.name string
type
 documents.source.type string
title
 documents.title string
URL-адрес
 documents.url string
риск
 risk object
id
 entity.id string
имя
 entity.name string
type
 entity.type string

AlertURL

string

AlertRule

Имя Путь Тип Описание
имя
 name string
id
 id string
URL-адрес
 url string

AlertURLV2

Имя Путь Тип Описание
api
 api string
портал
 portal string

AlertRuleV2

Имя Путь Тип Описание
имя
 name string
rule_id
 id string
портал
 url.portal string

AlertTriggered

string

AlertID

alert_id
string

AlertTitle

string

AlertType

string

PlaybookAlertSearch

Оповещения сборника схем, соответствующие критериям поиска

Имя Путь Тип Описание
playbook_alert_id
 playbook_alert_id string
создано
 created string
Обновлено
 updated string
статус
 status string
категория
 category string
priority
 priority string
title
 title string
owner_id
 owner_id string
owner_name
 owner_name string
идентификатор_организации
 organisation_id string
organistaion_name
 organistaion_name string
организации
 owner_organisation_details.organisations array of object
идентификатор_организации
 owner_organisation_details.organisations.organisation_id string
organisation_name
 owner_organisation_details.organisations.organisation_name string
enterprise_id
 owner_organisation_details.enterprise_id string
enterprise_name
 owner_organisation_details.enterprise_name string

PlaybookAlertLookup

Имя Путь Тип Описание
title
 title string
id
 id string
категория
 category string
rule_label
 rule_label string
статус
 status string
priority
 priority string
targets
 targets string
created_date
 created_date string
updated_date
 updated_date string
evidence_summary
 evidence_summary string
link
 link string
json_alert
 json_alert string

ThreatMapActors

Имя Путь Тип Описание
threat_map
 data.threat_map array of object
id
 data.threat_map.id string
имя
 data.threat_map.name string
alias
 data.threat_map.alias array of string
categories
 data.threat_map.categories array of object
id
 data.threat_map.categories.id string
имя
 data.threat_map.categories.name string
намерение
 data.threat_map.intent integer
возможность
 data.threat_map.opportunity integer
log_entries
 data.threat_map.log_entries array of object
id
 data.threat_map.log_entries.watchlist.id string
имя
 data.threat_map.log_entries.watchlist.name string
id
 data.threat_map.log_entries.entity.id string
имя
 data.threat_map.log_entries.entity.name string
severity
 data.threat_map.log_entries.severity integer
ось
 data.threat_map.log_entries.axis string
date
 data.threat_map.log_entries.date date-time
date
 data.date date-time

ThreatHuntActors

Имя Путь Тип Описание
уверенность
 confidence integer
описание
 description string
id
 id string
indicator_types
 indicator_types array of string
labels
 labels array of string
имя
 name string
pattern
 pattern string
pattern_type
 pattern_type string
spec_version
 spec_version string
type
 type string
создано
 created string
modified
 modified string
valid_from
 valid_from string
valid_until
 valid_until string
external_references
 external_references array of object
source_name
 external_references.source_name string
описание
 external_references.description string
external_id
 external_references.external_id string
URL-адрес
 external_references.url string

ThreatMapMalware

Имя Путь Тип Описание
threat_map
 data.threat_map array of object
id
 data.threat_map.id string
имя
 data.threat_map.name string
alias
 data.threat_map.alias array of string
categories
 data.threat_map.categories array of object
id
 data.threat_map.categories.id string
имя
 data.threat_map.categories.name string
намерение
 data.threat_map.intent integer
возможность
 data.threat_map.opportunity integer
log_entries
 data.threat_map.log_entries array of object
id
 data.threat_map.log_entries.watchlist.id string
имя
 data.threat_map.log_entries.watchlist.name string
id
 data.threat_map.log_entries.entity.id string
имя
 data.threat_map.log_entries.entity.name string
severity
 data.threat_map.log_entries.severity integer
ось
 data.threat_map.log_entries.axis string
date
 data.threat_map.log_entries.date date-time
date
 data.date date-time

ThreatHuntMalware

Имя Путь Тип Описание
уверенность
 confidence integer
описание
 description string
id
 id string
indicator_types
 indicator_types array of string
labels
 labels array of string
имя
 name string
pattern
 pattern string
pattern_type
 pattern_type string
spec_version
 spec_version string
type
 type string
создано
 created string
modified
 modified string
valid_from
 valid_from string
valid_until
 valid_until string
external_references
 external_references array of object
source_name
 external_references.source_name string
описание
 external_references.description string
external_id
 external_references.external_id string
URL-адрес
 external_references.url string