Обновление объекта tiIndicator
Пространство имен: microsoft.graph
Важно!
API версии /beta
в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Обновите свойства объекта tiIndicator .
Этот API доступен в следующих национальных облачных развертываниях.
Глобальная служба | Правительство США L4 | Правительство США L5 (DOD) | Китай управляется 21Vianet |
---|---|---|---|
✅ | ❌ | ❌ | ❌ |
Разрешения
Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более привилегированное разрешение или разрешения только в том случае, если это требуется приложению. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.
Тип разрешения | Разрешения с наименьшими привилегиями | Более высокие привилегированные разрешения |
---|---|---|
Делегированные (рабочая или учебная учетная запись) | ThreatIndicators.ReadWrite.OwnedBy | Недоступно. |
Делегированные (личная учетная запись Майкрософт) | Не поддерживается. | Не поддерживается. |
Приложение | ThreatIndicators.ReadWrite.OwnedBy | Недоступно. |
HTTP-запрос
PATCH /security/tiIndicators/{id}
Заголовки запросов
Имя | Описание |
---|---|
Авторизация | Требуется носитель {code} |
Prefer | return=representation |
Текст запроса
В тексте запроса укажите значения для соответствующих полей, которые необходимо обновить. Существующие свойства, которые не включены в текст запроса, сохраняют свои предыдущие значения или пересчитываются на основе изменений других значений свойств. Для достижения оптимальной производительности не включайте существующие значения, которые не изменились. Обязательные поля: id
, expirationDateTime
, targetProduct
.
Свойство | Тип | Описание |
---|---|---|
action | string | Действие, применяемое, если индикатор сопоставляется из средства безопасности targetProduct. Возможные значения: unknown , allow , block , alert . |
activityGroupNames | Коллекция строк | Имена аналитики киберугрызов для сторон, ответственных за вредоносные действия, охватываемые индикатором угрозы. |
additionalInformation | String | Область catchall, в которую могут быть помещены дополнительные данные из индикатора, не охваченного другими свойствами tiIndicator. Данные, помещенные в additionalInformation, обычно не будут использоваться средством безопасности targetProduct. |
confidence | Int32 | Целое число, представляющее достоверность данных в индикаторе, точно идентифицирует вредоносное поведение. Допустимые значения: от 0 до 100, а наибольшее значение — 100. |
description | String | Краткое описание (не более 100 символов) угрозы, представленной индикатором. |
diamondModel | diamondModel | Область алмазной модели, в которой существует этот индикатор. Возможные значения: unknown , adversary , capability , infrastructure , victim . |
expirationDateTime | DateTimeOffset | Строка DateTime, указывающая, когда истекает срок действия индикатора. Все индикаторы должны иметь дату окончания срока действия, чтобы избежать сохранения устаревших индикаторов в системе. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z . |
externalId | String | Идентификационный номер, который связывает индикатор с системой поставщика индикатора (например, внешний ключ). |
isActive | Логический | Используется для деактивации индикаторов в системе. По умолчанию любой отправленный индикатор задается как активный. Однако поставщики могут отправлять существующие индикаторы с этим набором "False", чтобы отключить индикаторы в системе. |
killChain | коллекция killChain | Массив json строк, описывающий, какие точки или точки в цепочке kill для этого индикатора предназначен. Точные значения см. в разделе "значения killChain" ниже. |
knownFalsePositives | String | Сценарии, в которых индикатор может вызывать ложные срабатывания. Это должен быть удобочитаемый текст. |
lastReportedDateTime | DateTimeOffset | При последнем просмотре индикатора. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z . |
malwareFamilyNames | Коллекция строк | Имя семейства вредоносных программ, связанное с индикатором, если оно существует. Корпорация Майкрософт предпочитает имя семейства вредоносных программ Майкрософт, если это возможно, которое можно найти в энциклопедии Защитник Windows аналитики угроз безопасности. |
passiveOnly | Логический | Определяет, должен ли индикатор активировать событие, видимое для конечного пользователя. Если задано значение true, средства безопасности не будут уведомлять конечного пользователя о том, что произошло "попадание". Чаще всего это считается аудитом или автоматическим режимом в продуктах безопасности, когда они регистрируют совпадение, но не выполняют действие. Значение по умолчанию − ложь. |
severity | Int32 | Целое число, представляющее серьезность вредоносного поведения, определяемого данными в индикаторе. Допустимые значения: от 0 до 5, где 5 является самым серьезным, а ноль не является серьезным вообще. Значение по умолчанию: 3. |
tags | Коллекция String | Массив строк JSON, в котором хранятся произвольные теги или ключевые слова. |
tlpLevel | tlpLevel | Значение протокола светофора для индикатора. Возможные значения: unknown , white , green , amber , red . |
Отклик
В случае успешного выполнения этот метод возвращает код отклика 204 No Content
.
Если используется необязательный заголовок запроса, метод возвращает 200 OK
код отклика и обновленный объект tiIndicator в тексте отклика.
Примеры
Пример 1. Запрос без заголовка Prefer
Запрос
В следующем примере показан запрос без заголовка Prefer
.
PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
{
"description": "description-updated",
}
Отклик
Ниже показан пример отклика.
HTTP/1.1 204 No Content
Пример 2. Запрос с заголовком Prefer
Запрос
В следующем примере показан запрос, включающий заголовок Prefer
.
PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
Prefer: return=representation
{
"additionalInformation": "additionalInformation-after-update",
"confidence": 42,
"description": "description-after-update",
}
Отклик
Ниже показан пример отклика.
Примечание.
Объект ответа, показанный здесь, может быть сокращен для удобочитаемости.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#Security/tiIndicators/$entity",
"id": "e58c072b-c9bb-a5c4-34ce-eb69af44fb1e",
"azureTenantId": "XXXXXXXXXXXXXXXXXXXXXXXXX",
"action": null,
"additionalInformation": "additionalInformation-after-update",
"activityGroupNames": [],
"confidence": 42,
"description": "description-after-update",
}
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по