Dela via

Microsoft Graph Security (inaktuell) [INAKTUELL]

Microsoft Graph Security-anslutningsappen hjälper till att ansluta olika Microsoft- och partnersäkerhetsprodukter och -tjänster, med hjälp av ett enhetligt schema, för att effektivisera säkerhetsåtgärder och förbättra funktionerna för skydd mot hot, identifiering och svar. Läs mer om att integrera med Microsoft Graph Security API på https://aka.ms/graphsecuritydocs (inaktuell)

Den här anslutningsappen är tillgänglig i följande produkter och regioner:

Tjänster Class Regioner
Copilot Studio Premie Alla Power Automate-regioner utom följande:
     - Amerikanska myndigheter (GCC)
     - Amerikanska myndigheter (GCC High)
     – China Cloud drivs av 21Vianet
     - US Department of Defense (DoD)
Logiska appar Norm Alla Logic Apps-regioner utom följande:
     – Azure Government-regioner
     – Regioner i Azure Kina
     - US Department of Defense (DoD)
Power Apps Premie Alla Power Apps-regioner utom följande:
     - Amerikanska myndigheter (GCC)
     - Amerikanska myndigheter (GCC High)
     – China Cloud drivs av 21Vianet
     - US Department of Defense (DoD)
Power Automate Premie Alla Power Automate-regioner utom följande:
     - Amerikanska myndigheter (GCC)
     - Amerikanska myndigheter (GCC High)
     – China Cloud drivs av 21Vianet
     - US Department of Defense (DoD)
Kontakt
Namn Microsoft
URL Microsoft LogicApps Support
Microsoft Power Automate-support
Microsoft Power Apps Support
E-postmeddelande sipsisgdev@microsoft.com
Metadata för anslutningsprogram
Utgivare Microsoft
Webbplats https://www.microsoft.com/security/business/graph-security-api

Förutsättningar för att ansluta till Microsoft Graph Security-anslutningsappen

Läs mer om Microsoft Graph Security API.

  1. Om du vill använda åtgärden för Microsoft Graph Security-anslutningsappen börjar du med en utlösare, till exempel upprepningsutlösaren.

  2. Om du vill använda Microsoft Graph Security-anslutningsappen måste Administratörsmedgivande för Microsoft Entra-ID-klientorganisation tillhandahållas som en del av kraven för Microsoft Graph-säkerhetsautentisering.

  3. Program-ID och namn för Microsoft Graph Security-anslutningsappen (för Microsoft Entra-ID i https://portal.azure.com) är följande för Administratörsmedgivande för Microsoft Entra-ID:

  • Programnamn – MicrosoftGraphSecurityConnector
  • Program-ID – c4829704-0edc-4c3d-a347-7c4a67586f3c
  1. Klientadministratören kan antingen följa de steg som beskrivs i att bevilja klientadministratörsmedgivande för Microsoft Entra-ID-program till ovan nämnda program eller bevilja behörigheter vid inledande körning av ett arbetsflöde med hjälp av Microsoft Graph Security-anslutningsappen enligt programmets medgivandeupplevelse.

Nu är du redo att använda Microsoft Graph Security-anslutningsappen!

Anslutningsprogram på djupet

Mer information om anslutningsappen finns i avsnittet djupgående.

Skapa en anslutning

Anslutningsappen stöder följande autentiseringstyper:
Standardinställning Parametrar för att skapa anslutning. Alla regioner Går inte att dela

Standard

Tillämpligt: Alla regioner

Parametrar för att skapa anslutning.

Det här är inte delningsbar anslutning. Om power-appen delas med en annan användare uppmanas en annan användare att skapa en ny anslutning explicit.

Begränsningsgränser

Name Anrop Förnyelseperiod
API-anrop per anslutning 100 60 sekunder

Åtgärder

Hämta aktiva prenumerationer (inaktuella) [INAKTUELLA]

Hämta listan över oexpirerade prenumerationer för den här Microsoft Entra ID-klientorganisationen (inaktuell).
Hämta avisering efter ID (inaktuell) [INAKTUELL]

Hämta en säkerhetsavisering som motsvarar det angivna ID:t (inaktuellt).
Hämta aviseringar (inaktuella) [INAKTUELLA]

Hämta en lista över säkerhetsaviseringar för den här Microsoft Entra ID-klientorganisationen. Använd med olika frågeparametrar (inaktuella).
Hämta tiIndicator efter ID (inaktuell) [INAKTUELL]

Hämta en indikator för hotinformation som motsvarar det angivna ID:t (inaktuellt).
Hämta tiIndicators (inaktuell) [INAKTUELL]

Hämta en lista över hotinformationsindikatorer för den här Microsoft Entra ID-klientorganisationen. Använd med olika frågeparametrar (inaktuella).
Skapa prenumerationer (inaktuella) [INAKTUELLA]

Skapa Microsoft Graph webhook-prenumerationer (inaktuella).
Skapa tiIndicator (inaktuell) [INAKTUELL]

Skapa en ny indikator för hotinformation genom att publicera till tiIndicators-samlingen (inaktuell).
Skicka flera tiIndicatorer (inaktuella) [INAKTUELLA]

Skapa nya indikatorer för hotinformation genom att publicera en tiIndicators-samling. Obligatoriska fält för varje tiIndicator är: action, azureTenantId, description, expirationDateTime, targetProduct, threatType, tlpLevel (inaktuell).
Ta bort flera tiIndicatorer efter ID :er (inaktuella) [INAKTUELLa]

Ta bort flera indikatorer för hotinformation som motsvarar de angivna ID:na (inaktuella).
Ta bort flera tiIndicatorer med externa ID:er (inaktuella) [INAKTUELLa]

Ta bort flera indikatorer för hotinformation som motsvarar de angivna externa ID:na (inaktuella).
Ta bort prenumerationer (inaktuella) [INAKTUELLA]

Ta bort den specifika Microsoft Graph Webhook-prenumerationen (inaktuell).
Ta bort tiIndicator efter ID (inaktuell) [INAKTUELL]

Ta bort en indikator för hotinformation som motsvarar det angivna ID:t (inaktuellt).
Uppdatera avisering (inaktuell) [INAKTUELL]

Uppdatera specifika egenskaper för en säkerhetsavisering (inaktuell).
Uppdatera flera tiIndicatorer (inaktuella) [INAKTUELLA]

Uppdatera specifika egenskaper för flera hotinformationsindikatorer. Obligatoriska fält för varje tiIndicator är: Id, expirationDateTime och targetProduct (inaktuell).
Uppdatera prenumeration (inaktuell) [INAKTUELL]

Förnya en Microsoft Graph webhook-prenumeration genom att uppdatera dess förfallotid (inaktuell).
Uppdatera tiIndicator (inaktuell) [INAKTUELL]

Uppdatera specifika egenskaper för en indikator för hotinformation. Obligatoriska fält för tiIndicator är: Id, expirationDateTime och targetProduct (inaktuell).

Hämta aktiva prenumerationer (inaktuella) [INAKTUELLA]

Åtgärds-ID:
GetActiveSubscriptions

Hämta listan över oexpirerade prenumerationer för den här Microsoft Entra ID-klientorganisationen (inaktuell).

Returer

Name Sökväg Typ Description
Antal befintliga underkritiska objekt
 @odata.count integer

Antalet returnerade subcriptions
Subscription
 value array of Subscription

Prenumerationsentiteterna som returneras
Nästa-länk
 @odata.nextLink string

En länk för att hämta nästa resultat om det finns fler resultat än vad som begärts

Hämta avisering efter ID (inaktuell) [INAKTUELL]

Åtgärds-ID:
GetAlertById

Hämta en säkerhetsavisering som motsvarar det angivna ID:t (inaktuellt).

Parametrar

Name Nyckel Obligatorisk Typ Description
Aviserings-ID
 alert-id True string

Ange aviserings-ID.

Returer

En enskild aviseringsentitet som returneras

Avisering
Alert

Hämta aviseringar (inaktuella) [INAKTUELLA]

Åtgärds-ID:
GetAlerts

Hämta en lista över säkerhetsaviseringar för den här Microsoft Entra ID-klientorganisationen. Använd med olika frågeparametrar (inaktuella).

Parametrar

Name Nyckel Obligatorisk Typ Description
Filtrera aviseringar
 $filter string

Ange filtreringsvillkor för aviseringar som Allvarlighetsgrad eq "Hög".
De vanligaste aviseringarna
 $top integer

Ange det senaste högsta antalet aviseringar som ska hämtas från varje provider.
Välj aviseringsegenskaper
 $select string

Ange aviseringsegenskaper som ska inkluderas i resultatet.
Sorteringsordning
 $orderby string

Ange sorteringsordning för resultatet.
Hoppar över "n"-resultat
 $skip integer

Ange antalet resultat som ska hoppa över. Användbart för sidnumrering.
Inkludera antal returnerade aviseringar
 $count string

Ange att antalet aviseringar som returneras i svaret ska inkluderas

Returer

Name Sökväg Typ Description
Antal aviseringar
 @odata.count integer

Antalet returnerade aviseringar
Aviseringar
 value array of Alert

Aviseringarna som returneras
Nästa-länk
 @odata.nextLink string

En länk för att hämta nästa resultat om det finns fler resultat än vad som begärts

Hämta tiIndicator efter ID (inaktuell) [INAKTUELL]

Åtgärds-ID:
GetTiIndicatorbyId

Hämta en indikator för hotinformation som motsvarar det angivna ID:t (inaktuellt).

Parametrar

Name Nyckel Obligatorisk Typ Description
TiIndicator-ID
 indicator-id True string

Ange indikator-ID för hotinformation

Returer

En enda TiIndicator-entitet som returneras

TiIndicator
TiIndicator

Hämta tiIndicators (inaktuell) [INAKTUELL]

Åtgärds-ID:
GetTiIndicators

Hämta en lista över hotinformationsindikatorer för den här Microsoft Entra ID-klientorganisationen. Använd med olika frågeparametrar (inaktuella).

Parametrar

Name Nyckel Obligatorisk Typ Description
Filtrera tiIndicatorer
 $filter string

Ange filtreringsvillkor för hotinformationsindikatorer som threatType eq "WatchList"
Top tiIndicators
 $top integer

Ange det senaste högsta antalet indikatorer för hotinformation som ska hämtas
Välj tiIndicator-egenskaper
 $select string

Ange egenskaper för hotinformationsindikator som ska inkluderas i resultatet.
Inkludera antalet tiIndicatorer som returneras
 $count string

Ange att antalet indikatorer för hotinformation som returneras i svaret ska inkluderas
Hoppar över "n"-resultat
 $skip integer

Ange antalet resultat som ska hoppa över. Användbart för sidnumrering.
Sorteringsordning
 $orderby string

Ange sorteringsordning för resultatet.

Returer

Name Sökväg Typ Description
TiIndicator-antal
 @odata.count integer

Antalet TiIndicator-returnerade
TiIndicators
 value array of TiIndicator

TiIndicator returnerade
Nästa-länk
 @odata.nextLink string

En länk för att hämta nästa resultat om det finns fler resultat än vad som begärts

Skapa prenumerationer (inaktuella) [INAKTUELLA]

Åtgärds-ID:
CreateSubscriptions

Skapa Microsoft Graph webhook-prenumerationer (inaktuella).

Parametrar

Name Nyckel Obligatorisk Typ Description
Resurs-URL
 resource True string

Ange den resurs som ska övervakas för ändringar. Inkludera inte bas-URL (https://graph.microsoft.com/v1.0/). Inkludera säkerhet/aviseringar följt av odata-frågan. För t.ex. säkerhet/aviseringar?$filter=status eq Ny
Ändra typ
 changeType True string

Ange den egenskapstyp som ska generera ett meddelande när det ändras på den prenumerationsresursen.
Klienttillstånd
 clientState string

Ange klienttillståndet för att bekräfta källan för meddelandets ursprung.
Meddelande-URL
 notificationUrl True string

Ange en välformulerad URL för slutpunkten som ska ta emot meddelanden.
Förfallodatumtid
 expirationDateTime True date-time

Ange den datumtid då webhook-prenumerationen upphör att gälla. måste vara en datumtid som är större än aktuell tid och inom 30 dagar.

Returer

En enskild prenumerationsentitet som returneras

Subscription
Subscription

Skapa tiIndicator (inaktuell) [INAKTUELL]

Åtgärds-ID:
CreateTiIndicator

Skapa en ny indikator för hotinformation genom att publicera till tiIndicators-samlingen (inaktuell).

Parametrar

Name Nyckel Obligatorisk Typ Description
Åtgärd
 action True string

Den åtgärd som ska tillämpas om indikatorn matchas inifrån målproduktsäkerhetsverktyget. Värden: (okänd, tillåt, blockera, avisering).
Namn på aktivitetsgrupp
 activityGroupNames array of string

Namn på cyberhotinformation för de parter som ansvarar för den skadliga aktivitet som omfattas av hotindikatorn.
Ytterligare information
 additionalInformation string

Extra data från indikatorn som inte omfattas av de andra tiIndicator-egenskaperna kan placeras
Azure-klientorganisations-ID
 azureTenantId string

Klient-ID:t för Microsoft Entra för att skicka klienten.
Förtroende
 confidence integer

Konfidens för identifieringslogik (procent mellan 0 och 100).
Description
 description True string

TiIndicator-beskrivning (100 tecken eller mindre).
Diamantmodell
 diamondModel string

Området för diamantmodellen där indikatorn finns. Värden: (okänd, angripare, kapacitet, infrastruktur, offer).
Förfallodatumtid
 expirationDateTime True date-time

Tid då indikatorn upphör att gälla (UTC).
Externt ID
 externalId string

Ett ID-nummer som binder indikatorn tillbaka till indikatorproviderns system (t.ex. en sekundärnyckel).
Inmatad datumtid
 ingestedDateTime date-time

Tid då indikatorn matas in (UTC).
Är aktiv
 isActive boolean

Som standard anges alla inskickade indikatorer som aktiva. Leverantörer kan dock skicka in befintliga indikatorer med den här inställningen "False" för att inaktivera indikatorer i systemet.
Döda kedja
 killChain array of string

strängar som beskriver vilken punkt eller vilka punkter i den dödande kedjan som indikatorn riktar sig mot. Värden: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization).
Kända falska positiva identifieringar
 knownFalsePositives string

Scenarier där indikatorn kan orsaka falska positiva identifieringar.
Senast rapporterad datumtid
 lastReportedDateTime date-time

Senaste gången indikatorn visades (UTC).
Familjenamn för skadlig kod
 malwareFamilyNames array of string

Namnet på den skadliga kodfamiljen som är associerad med en indikator om den finns.
Endast passiv
 passiveOnly boolean

Avgör om indikatorn ska utlösa en händelse som är synlig för en slutanvändare.
Severity
 severity integer

Allvarlighetsgraden för det skadliga beteende som identifieras av data i indikatorn. Värdena är mellan 0 och 5 och 5 är allvarligast. Standardvärdet är 3.
Etiketter
 tags array of string
Målprodukt
 targetProduct True string

Enskild säkerhetsprodukt som indikatorn ska tillämpas på. Acceptabla värden är: Azure Sentinel, Microsoft Defender ATP.
Hottyp
 threatType string

Varje indikator måste ha en giltig indikatorhottyp. Möjliga värden är: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList.
Tlp-nivå
 tlpLevel string

Traffic Light Protocol-värde för indikatorn. Möjliga värden är: okänd, vit, grön, gul, röd.
E-postkodning
 emailEncoding string

Typen av textkodning som används i e-postmeddelandet.
E-postspråk
 emailLanguage string

E-postmeddelandets språk.
E-postmottagare
 emailRecipient string

Mottagarens e-postadress.
E-postadress för avsändare
 emailSenderAddress string

E-postadress till angriparen|offret.
Namn på e-postsändare
 emailSenderName string

Det visade namnet på angriparen|offret.
E-postkälladomän
 emailSourceDomain string

Domän som används i e-postmeddelandet.
Ip-adress för e-postkälla
 emailSourceIpAddress string

Källans IP-adress för e-post.
Ämne för e-post
 emailSubject string

Ämnesrad för e-post.
E-post XMailer
 emailXMailer string

X-Mailer-värde som används i e-postmeddelandet.
Datumtid för filkompilering
 fileCompileDateTime date-time

DateTime när filen kompilerades.
Fil skapad datumtid
 fileCreatedDateTime date-time

DateTime när filen skapades.
Filhashtyp
 fileHashType string

Typen av hash som lagras i fileHashValue. Möjliga värden är: okänd, sha1, sha256, md5, authenticodeHash256, lsHash, ctph.
Filhashvärde
 fileHashValue string

Filhashvärdet.
Fil mutex-namn
 fileMutexName string

Mutex-namn som används i filbaserade identifieringar.
Filnamn
 fileName string

Namnet på filen om indikatorn är filbaserad.
Filpaketerare
 filePacker string

Packern som användes för att skapa filen i fråga.
Filväg
 filePath string

Sökväg till filen som anger komprometterande. Kan vara en windows- eller *nix-stilsökväg.
Filstorlek
 fileSize integer

Filens storlek i byte.
Filtyp
 fileType string

Textbeskrivning av filtypen. Till exempel "Word-dokument" eller "binärt".
Domännamn
 domainName string

Domännamn som är associerat med den här indikatorn.
Nätverks-cidr-block
 networkCidrBlock string

CIDR Block notation representation av nätverket som refereras i den här indikatorn.
Asn för nätverksmål
 networkDestinationAsn integer

Målidentifieraren för det autonoma systemet för nätverket som anges i indikatorn.
CIDR-block för nätverksmål
 networkDestinationCidrBlock string

CIDR-blockeringsrepresentation av målnätverket i den här indikatorn.
Nätverksmål-IPv4
 networkDestinationIPv4 string

Ip-adressmål för IPv4.
Nätverksmål-IPv6
 networkDestinationIPv6 string

Ip-adressmål för IPv6.
Nätverksmålport
 networkDestinationPort integer

TCP-portmål.
Nätverks-IPv4
 networkIPv4 string

IP-adress för IPv4.
Nätverks-IPv6
 networkIPv6 string

IP-adress för IPv6.
Nätverksport
 networkPort integer

TCP-port.
Nätverksprotokoll
 networkProtocol integer

Decimalrepresentation av protokollfältet i IPv4-huvudet.
Asn för nätverkskälla
 networkSourceAsn integer

Källidentifieraren för det autonoma systemet för nätverket som refereras till i indikatorn.
Cidr-block för nätverkskälla
 networkSourceCidrBlock string

CIDR-blockeringsrepresentation av källnätverket i den här indikatorn.
IPv4 för nätverkskälla
 networkSourceIPv4 string

Ip-adresskälla för IPv4.
Nätverksmål-IPv6
 networkSourceIPv6 string

IPv6 IP-adresskälla.
Port för nätverkskälla
 networkSourcePort integer

TCP-portkälla.
URL
 url string

Uniform Resource Locator.
Användaragent
 userAgent string

User-Agent sträng från en webbbegäran som kan tyda på en kompromiss.

Returer

En enda TiIndicator-entitet som returneras

TiIndicator
TiIndicator

Skicka flera tiIndicatorer (inaktuella) [INAKTUELLA]

Åtgärds-ID:
SubmitTiIndicators

Skapa nya indikatorer för hotinformation genom att publicera en tiIndicators-samling. Obligatoriska fält för varje tiIndicator är: action, azureTenantId, description, expirationDateTime, targetProduct, threatType, tlpLevel (inaktuell).

Parametrar

Name Nyckel Obligatorisk Typ Description
Åtgärd
 action True string

Den åtgärd som ska tillämpas om indikatorn matchas inifrån målproduktsäkerhetsverktyget. Värden: (okänd, tillåt, blockera, avisering).
Namn på aktivitetsgrupp
 activityGroupNames array of string

Namn på cyberhotinformation för de parter som ansvarar för den skadliga aktivitet som omfattas av hotindikatorn.
Ytterligare information
 additionalInformation string

Extra data från indikatorn som inte omfattas av de andra tiIndicator-egenskaperna kan placeras
Azure-klientorganisations-ID
 azureTenantId string

Klient-ID:t för Microsoft Entra för att skicka klienten.
Förtroende
 confidence integer

Konfidens för identifieringslogik (procent mellan 0 och 100).
Description
 description True string

TiIndicator-beskrivning (100 tecken eller mindre).
Diamantmodell
 diamondModel string

Området för diamantmodellen där indikatorn finns. Värden: (okänd, angripare, kapacitet, infrastruktur, offer).
Förfallodatumtid
 expirationDateTime True date-time

Tid då indikatorn upphör att gälla (UTC).
Externt ID
 externalId string

Ett ID-nummer som binder indikatorn tillbaka till indikatorproviderns system (t.ex. en sekundärnyckel).
Inmatad datumtid
 ingestedDateTime date-time

Tid då indikatorn matas in (UTC).
Är aktiv
 isActive boolean

Som standard anges alla inskickade indikatorer som aktiva. Leverantörer kan dock skicka in befintliga indikatorer med den här inställningen "False" för att inaktivera indikatorer i systemet.
Döda kedja
 killChain array of string

strängar som beskriver vilken punkt eller vilka punkter i den dödande kedjan som indikatorn riktar sig mot. Värden: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization).
Kända falska positiva identifieringar
 knownFalsePositives string

Scenarier där indikatorn kan orsaka falska positiva identifieringar.
Senast rapporterad datumtid
 lastReportedDateTime date-time

Senaste gången indikatorn visades (UTC).
Familjenamn för skadlig kod
 malwareFamilyNames array of string

Namnet på den skadliga kodfamiljen som är associerad med en indikator om den finns.
Endast passiv
 passiveOnly boolean

Avgör om indikatorn ska utlösa en händelse som är synlig för en slutanvändare.
Severity
 severity integer

Allvarlighetsgraden för det skadliga beteende som identifieras av data i indikatorn. Värdena är mellan 0 och 5 och 5 är allvarligast. Standardvärdet är 3.
Etiketter
 tags array of string
Målprodukt
 targetProduct True string

Enskild säkerhetsprodukt som indikatorn ska tillämpas på. Acceptabla värden är: Azure Sentinel, Microsoft Defender ATP.
Hottyp
 threatType string

Varje indikator måste ha en giltig indikatorhottyp. Möjliga värden är: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList.
Tlp-nivå
 tlpLevel string

Traffic Light Protocol-värde för indikatorn. Möjliga värden är: okänd, vit, grön, gul, röd.
E-postkodning
 emailEncoding string

Typen av textkodning som används i e-postmeddelandet.
E-postspråk
 emailLanguage string

E-postmeddelandets språk.
E-postmottagare
 emailRecipient string

Mottagarens e-postadress.
E-postadress för avsändare
 emailSenderAddress string

E-postadress till angriparen|offret.
Namn på e-postsändare
 emailSenderName string

Det visade namnet på angriparen|offret.
E-postkälladomän
 emailSourceDomain string

Domän som används i e-postmeddelandet.
Ip-adress för e-postkälla
 emailSourceIpAddress string

Källans IP-adress för e-post.
Ämne för e-post
 emailSubject string

Ämnesrad för e-post.
E-post XMailer
 emailXMailer string

X-Mailer-värde som används i e-postmeddelandet.
Datumtid för filkompilering
 fileCompileDateTime date-time

DateTime när filen kompilerades.
Fil skapad datumtid
 fileCreatedDateTime date-time

DateTime när filen skapades.
Filhashtyp
 fileHashType string

Typen av hash som lagras i fileHashValue. Möjliga värden är: okänd, sha1, sha256, md5, authenticodeHash256, lsHash, ctph.
Filhashvärde
 fileHashValue string

Filhashvärdet.
Fil mutex-namn
 fileMutexName string

Mutex-namn som används i filbaserade identifieringar.
Filnamn
 fileName string

Namnet på filen om indikatorn är filbaserad.
Filpaketerare
 filePacker string

Packern som användes för att skapa filen i fråga.
Filväg
 filePath string

Sökväg till filen som anger komprometterande. Kan vara en windows- eller *nix-stilsökväg.
Filstorlek
 fileSize integer

Filens storlek i byte.
Filtyp
 fileType string

Textbeskrivning av filtypen. Till exempel "Word-dokument" eller "binärt".
Domännamn
 domainName string

Domännamn som är associerat med den här indikatorn.
Nätverks-cidr-block
 networkCidrBlock string

CIDR Block notation representation av nätverket som refereras i den här indikatorn.
Asn för nätverksmål
 networkDestinationAsn integer

Målidentifieraren för det autonoma systemet för nätverket som anges i indikatorn.
CIDR-block för nätverksmål
 networkDestinationCidrBlock string

CIDR-blockeringsrepresentation av målnätverket i den här indikatorn.
Nätverksmål-IPv4
 networkDestinationIPv4 string

Ip-adressmål för IPv4.
Nätverksmål-IPv6
 networkDestinationIPv6 string

Ip-adressmål för IPv6.
Nätverksmålport
 networkDestinationPort integer

TCP-portmål.
Nätverks-IPv4
 networkIPv4 string

IP-adress för IPv4.
Nätverks-IPv6
 networkIPv6 string

IP-adress för IPv6.
Nätverksport
 networkPort integer

TCP-port.
Nätverksprotokoll
 networkProtocol integer

Decimalrepresentation av protokollfältet i IPv4-huvudet.
Asn för nätverkskälla
 networkSourceAsn integer

Källidentifieraren för det autonoma systemet för nätverket som refereras till i indikatorn.
Cidr-block för nätverkskälla
 networkSourceCidrBlock string

CIDR-blockeringsrepresentation av källnätverket i den här indikatorn.
IPv4 för nätverkskälla
 networkSourceIPv4 string

Ip-adresskälla för IPv4.
Nätverksmål-IPv6
 networkSourceIPv6 string

IPv6 IP-adresskälla.
Port för nätverkskälla
 networkSourcePort integer

TCP-portkälla.
URL
 url string

Uniform Resource Locator.
Användaragent
 userAgent string

User-Agent sträng från en webbbegäran som kan tyda på en kompromiss.

Returer

Name Sökväg Typ Description
TiIndicators
 value array of TiIndicator

TiIndicators har skickats

Ta bort flera tiIndicatorer efter ID :er (inaktuella) [INAKTUELLa]

Åtgärds-ID:
DeleteTiIndicators

Ta bort flera indikatorer för hotinformation som motsvarar de angivna ID:na (inaktuella).

Parametrar

Name Nyckel Obligatorisk Typ Description
värde
 value array of string

Returer

Name Sökväg Typ Description
värde
 value array of object
kod
 value.code integer

Resultatkoden
meddelande
 value.message string

Meddelandet
underkod
 value.subcode integer

Resultatets underkod

Ta bort flera tiIndicatorer med externa ID:er (inaktuella) [INAKTUELLa]

Åtgärds-ID:
DeleteTiIndicatorsByExternalId

Ta bort flera indikatorer för hotinformation som motsvarar de angivna externa ID:na (inaktuella).

Parametrar

Name Nyckel Obligatorisk Typ Description
värde
 value array of string

Returer

Name Sökväg Typ Description
värde
 value array of object
kod
 value.code integer

Resultatkoden
meddelande
 value.message string

Meddelandet
underkod
 value.subcode integer

Resultatets underkod

Ta bort prenumerationer (inaktuella) [INAKTUELLA]

Åtgärds-ID:
DeleteSubscription

Ta bort den specifika Microsoft Graph Webhook-prenumerationen (inaktuell).

Parametrar

Name Nyckel Obligatorisk Typ Description
Prenumerations-ID
 Subscription Id True string

Ange prenumerations-ID för Microsoft Graph Webhook.

Ta bort tiIndicator efter ID (inaktuell) [INAKTUELL]

Åtgärds-ID:
DeleteTiIndicator

Ta bort en indikator för hotinformation som motsvarar det angivna ID:t (inaktuellt).

Parametrar

Name Nyckel Obligatorisk Typ Description
TiIndicator-ID
 indicator-id True string

Ange indikator-ID för hotinformation

Uppdatera avisering (inaktuell) [INAKTUELL]

Åtgärds-ID:
UpdateAlert

Uppdatera specifika egenskaper för en säkerhetsavisering (inaktuell).

Parametrar

Name Nyckel Obligatorisk Typ Description
Aviserings-ID
 alert-id True string

Ange aviserings-ID.
Tilldelat till
 assignedTo string

Ange namnet på den analytiker som aviseringen har tilldelats för sortering, undersökning eller reparation.
Stängt dateTime
 closedDateTime string

Ange den tidpunkt då aviseringen stängdes. Tidsstämpeltypen representerar datum- och tidsinformation med ISO 8601-format och är alltid i UTC-tid.
comments
 comments array of string

Comments
Etiketter
 tags array of string

Ange alla användardefinierbara etiketter som kan tillämpas på en avisering och kan fungera som filtervillkor (till exempel "HVA", "SAW" osv.).
Feedback
 feedback string

Ange analytikerfeedback för aviseringen.
Läge
 status string

Ange status för att spåra status för aviseringslivscykel (steg).
Providernamn
 provider True string

Specifik leverantör (produkt/tjänst – inte leverantörsföretag); till exempel WindowsDefenderATP.
Providerversion
 providerVersion string

Ange version av providern eller underprovidern, om den finns, som genererade aviseringen.
Underleverantörsnamn
 subProvider string

Specifik underprovider (under aggregeringsprovider); Till exempel WindowsDefenderATP.SmartScreen.
Leverantörsnamn
 vendor True string

Ange namnet på aviseringsleverantören (till exempel Microsoft, Dell, FireEye).

Uppdatera flera tiIndicatorer (inaktuella) [INAKTUELLA]

Åtgärds-ID:
UpdateTiIndicators

Uppdatera specifika egenskaper för flera hotinformationsindikatorer. Obligatoriska fält för varje tiIndicator är: Id, expirationDateTime och targetProduct (inaktuell).

Parametrar

Name Nyckel Obligatorisk Typ Description
Id-nummer
 id True string

TiIndicator-id
Åtgärd
 action string

Den åtgärd som ska tillämpas om indikatorn matchas inifrån målproduktsäkerhetsverktyget. Värden: (okänd, tillåt, blockera, avisering).
Namn på aktivitetsgrupp
 activityGroupNames array of string

Namn på cyberhotinformation för de parter som ansvarar för den skadliga aktivitet som omfattas av hotindikatorn.
Ytterligare information
 additionalInformation string

Extra data från indikatorn som inte omfattas av de andra tiIndicator-egenskaperna kan placeras
Förtroende
 confidence integer

Konfidens för identifieringslogik (procent mellan 0 och 100).
Description
 description string

TiIndicator-beskrivning (100 tecken eller mindre).
Diamantmodell
 diamondModel string

Området för diamantmodellen där indikatorn finns. Värden: (okänd, angripare, kapacitet, infrastruktur, offer).
Förfallodatumtid
 expirationDateTime True date-time

Tid då indikatorn upphör att gälla (UTC).
Målprodukt
 targetProduct True string

Enskild säkerhetsprodukt som indikatorn ska tillämpas på. Acceptabla värden är: Azure Sentinel, Microsoft Defender ATP.
Externt ID
 externalId string

Ett ID-nummer som binder indikatorn tillbaka till indikatorproviderns system (t.ex. en sekundärnyckel).
Är aktiv
 isActive boolean

Som standard anges alla inskickade indikatorer som aktiva. Leverantörer kan dock skicka in befintliga indikatorer med den här inställningen "False" för att inaktivera indikatorer i systemet.
Döda kedja
 killChain array of string

strängar som beskriver vilken punkt eller vilka punkter i den dödande kedjan som indikatorn riktar sig mot. Värden: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization).
Kända falska positiva identifieringar
 knownFalsePositives string

Scenarier där indikatorn kan orsaka falska positiva identifieringar.
Senast rapporterad datumtid
 lastReportedDateTime date-time

Senaste gången indikatorn visades (UTC).
Familjenamn för skadlig kod
 malwareFamilyNames array of string

Namnet på den skadliga kodfamiljen som är associerad med en indikator om den finns.
Endast passiv
 passiveOnly boolean

Avgör om indikatorn ska utlösa en händelse som är synlig för en slutanvändare.
Severity
 severity integer

Allvarlighetsgraden för det skadliga beteende som identifieras av data i indikatorn. Värdena är mellan 0 och 5 och 5 är allvarligast. Standardvärdet är 3.
Etiketter
 tags array of string
Tlp-nivå
 tlpLevel string

Traffic Light Protocol-värde för indikatorn. Möjliga värden är: okänd, vit, grön, gul, röd.

Returer

Name Sökväg Typ Description
TiIndicators
 value array of TiIndicator

TiIndicators har uppdaterats

Uppdatera prenumeration (inaktuell) [INAKTUELL]

Åtgärds-ID:
UpdateSubscription

Förnya en Microsoft Graph webhook-prenumeration genom att uppdatera dess förfallotid (inaktuell).

Parametrar

Name Nyckel Obligatorisk Typ Description
Prenumerations-ID
 Subscription Id True string

Ange prenumerations-ID för Microsoft Graph Webhook.
Förfallodatumtid
 expirationDateTime string

Ange datum och tid i UTC-format för när Microsoft Graph webhook-prenumerationen upphör att gälla. Den maximala förfallotiden för säkerhetsaviseringar är 43200 minuter (under 30 dagar).

Returer

En enskild prenumerationsentitet som returneras

Subscription
Subscription

Uppdatera tiIndicator (inaktuell) [INAKTUELL]

Åtgärds-ID:
UpdateTiIndicator

Uppdatera specifika egenskaper för en indikator för hotinformation. Obligatoriska fält för tiIndicator är: Id, expirationDateTime och targetProduct (inaktuell).

Parametrar

Name Nyckel Obligatorisk Typ Description
TiIndicator-ID
 indicator-id True string

Ange indikator-ID för hotinformation.
Åtgärd
 action string

Den åtgärd som ska tillämpas om indikatorn matchas inifrån målproduktsäkerhetsverktyget. Värden: (okänd, tillåt, blockera, avisering).
Namn på aktivitetsgrupp
 activityGroupNames array of string

Namn på cyberhotinformation för de parter som ansvarar för den skadliga aktivitet som omfattas av hotindikatorn.
Ytterligare information
 additionalInformation string

Extra data från indikatorn som inte omfattas av de andra tiIndicator-egenskaperna kan placeras
Förtroende
 confidence integer

Konfidens för identifieringslogik (procent mellan 0 och 100).
Description
 description string

TiIndicator-beskrivning (100 tecken eller mindre).
Diamantmodell
 diamondModel string

Området för diamantmodellen där indikatorn finns. Värden: (okänd, angripare, kapacitet, infrastruktur, offer).
Förfallodatumtid
 expirationDateTime True date-time

Tid då indikatorn upphör att gälla (UTC-format. Till exempel 2020-03-01T00:00:00Z).
Externt ID
 externalId string

Ett ID-nummer som binder indikatorn tillbaka till indikatorproviderns system (t.ex. en sekundärnyckel).
Är aktiv
 isActive boolean

Som standard anges alla inskickade indikatorer som aktiva. Leverantörer kan dock skicka in befintliga indikatorer med den här inställningen "False" för att inaktivera indikatorer i systemet.
Döda kedja
 killChain array of string

strängar som beskriver vilken punkt eller vilka punkter i den dödande kedjan som indikatorn riktar sig mot. Värden: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization).
Kända falska positiva identifieringar
 knownFalsePositives string

Scenarier där indikatorn kan orsaka falska positiva identifieringar.
Senast rapporterad datumtid
 lastReportedDateTime date-time

Senaste gången indikatorn visades (UTC).
Familjenamn för skadlig kod
 malwareFamilyNames array of string

Namnet på den skadliga kodfamiljen som är associerad med en indikator om den finns.
Endast passiv
 passiveOnly boolean

Avgör om indikatorn ska utlösa en händelse som är synlig för en slutanvändare.
Severity
 severity integer

Allvarlighetsgraden för det skadliga beteende som identifieras av data i indikatorn. Värdena är mellan 0 och 5 och 5 är allvarligast. Standardvärdet är 3.
Etiketter
 tags array of string
Tlp-nivå
 tlpLevel string

Traffic Light Protocol-värde för indikatorn. Möjliga värden är: okänd, vit, grön, gul, röd.
Målprodukt
 targetProduct True string

Enskild säkerhetsprodukt som indikatorn ska tillämpas på. Acceptabla värden är: Azure Sentinel, Microsoft Defender ATP.

Utlösare

På alla nya aviseringar (inaktuella) [INAKTUELLA]

Utlösare för alla nya aviseringar (inaktuella)
Vid nya varningar med hög allvarlighetsgrad (inaktuell) [INAKTUELL]

Utlösare för nya varningar med hög allvarlighetsgrad (inaktuell)

På alla nya aviseringar (inaktuella) [INAKTUELLA]

Åtgärds-ID:
OnAllNewAlerts

Utlösare för alla nya aviseringar (inaktuella)

Returer

Name Sökväg Typ Description
Antal aviseringar
 @odata.count integer

Antalet returnerade aviseringar
Aviseringar
 value array of Alert

Aviseringarna som returneras
Nästa-länk
 @odata.nextLink string

En länk för att hämta nästa resultat om det finns fler resultat än vad som begärts

Vid nya varningar med hög allvarlighetsgrad (inaktuell) [INAKTUELL]

Åtgärds-ID:
OnNewHighSeverityAlerts

Utlösare för nya varningar med hög allvarlighetsgrad (inaktuell)

Returer

Name Sökväg Typ Description
Antal aviseringar
 @odata.count integer

Antalet returnerade aviseringar
Aviseringar
 value array of Alert

Aviseringarna som returneras
Nästa-länk
 @odata.nextLink string

En länk för att hämta nästa resultat om det finns fler resultat än vad som begärts

Definitioner

Avisering

En enskild aviseringsentitet som returneras

Name Sökväg Typ Description
Azure-prenumerations-ID
 azureSubscriptionId string

Azure-prenumerations-ID, presentera om den här aviseringen är relaterad till en Azure-resurs.
Etiketter
 tags array of string

Användardefinierbara etiketter som kan tillämpas på en avisering och kan fungera som filtervillkor (t.ex. "HVA", "SAW" osv.).
ID-nummer
 id string

Providergenererad GUID/unik identifierare.
Azure-klientorganisations-ID
 azureTenantId string

Klient-ID för Microsoft Entra.
Namn på aktivitetsgrupp
 activityGroupName string

Namnet eller aliaset för aktivitetsgruppen (angriparen) som den här aviseringen tillskrivs.
Tilldelat till
 assignedTo string

Namnet på den analytiker som aviseringen tilldelas för sortering, undersökning eller reparation.
Kategori
 category string

Kategorin för aviseringen (t.ex. credentialTheft, ransomware osv.).
Stängd datumtid
 closedDateTime date-time

Tidpunkt då aviseringen stängdes (UTC).
Comments
 comments array of string

Kommentarer från kunden om aviseringar (för hantering av kundaviseringar).
Förtroende
 confidence integer

Konfidens för identifieringslogik (procent mellan 1 och 100).
Skapad datumtid
 createdDateTime date-time

Tidpunkt då aviseringen skapades (UTC).
Description
 description string

Aviseringsbeskrivning.
Identifierings-ID:t
 detectionIds array of string

Uppsättning av aviseringar som är relaterade till den här aviseringsentiteten.
Händelsedatumtid
 eventDateTime date-time

Tidpunkt då de händelser som fungerade som utlösare för att generera aviseringen inträffade (UTC).
Feedback
 feedback string

Analytikerns feedback om aviseringen. Möjliga värden är: okänd, truePositive, falsePositive, benignPositive.
Senast ändrad datumtid
 lastModifiedDateTime date-time

Tidpunkt då aviseringsentiteten senast ändrades (UTC).
Rekommenderade åtgärder
 recommendedActions array of string

Leverantör/leverantör rekommenderade åtgärder/s som ska vidtas till följd av aviseringen (t.ex. isolera datorn, framtvinga2FA, återskapa värd osv.).
Severity
 severity string

Allvarlighetsgrad för avisering – anges av leverantör/leverantör. Värden: (hög, medel, låg, informationsbaserad) där "informationsbaserad" härleder att aviseringen inte kan användas.
Källmaterial
 sourceMaterials array of string

Hyperlänkar (URI:er) till källmaterialet som är relaterat till aviseringen, t.ex. användargränssnittet för providerundersökning osv.
Läge
 status string

Status för aviseringslivscykel (fas). Värden: (okänd, newAlert, inProgress, löst).
Titel
 title string

Aviseringsrubrik.
Providernamn
 vendorInformation.provider string

Specifik leverantör (produkt/tjänst – inte leverantörsföretag); till exempel WindowsDefenderATP.
Providerversion
 vendorInformation.providerVersion string

Version av providern eller underprovidern.
Underleverantörsnamn
 vendorInformation.subProvider string

Specifik underprovider (under aggregeringsprovider); Till exempel WindowsDefenderATP.SmartScreen.
Leverantörsnamn
 vendorInformation.vendor string

Namnet på aviseringsleverantören (till exempel Microsoft, Dell, FireEye).
Molnapptillstånd
 cloudAppStates array of object

Säkerhetsrelaterad tillståndskänslig information som genereras av providern om molnprogrammet/molnprogram som är relaterade till den här aviseringen.
Måltjänst-IP
 cloudAppStates.destinationServiceIp string

Mål-IP-adressen för anslutningen till molnappen/-tjänsten.
Måltjänstnamn
 cloudAppStates.destinationServiceName string

Målmolnapp/tjänstnamn.
Riskpoäng
 cloudAppStates.riskScore string

Providergenererad/beräknad riskpoäng för molnprogrammet/tjänsten.
Filtillstånd
 fileStates array of object

Säkerhetsrelaterad tillståndskänslig information som genereras av providern om de filer som är relaterade till den här aviseringen.
Namn
 fileStates.name string

Filnamn (utan sökväg).
Väg
 fileStates.path string

Fullständig filsökväg för filen/imageFile.
Riskpoäng
 fileStates.riskScore string

Providergenererad/beräknad riskpoäng för aviseringsfilen.
Typ
 fileStates.fileHash.type string

Filhashtyp. Möjliga värden är: okänd, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256.
Värde
 fileStates.fileHash.value string

Värdet för filhashen.
Värdtillstånd
 hostStates array of object

Säkerhetsrelaterad tillståndskänslig information som genereras av providern om de värdar som är relaterade till den här aviseringen.
Fullständigt domännamn
 hostStates.fqdn string

Värd-FQDN (fullständigt domännamn).
Är azureAd-ansluten
 hostStates.isAzureAdJoined boolean

Sant om värden är domänansluten till Microsoft Entra ID Domain Services.
Är azureAd registrerad
 hostStates.isAzureAdRegistered boolean

Sant om värden som registrerats med Microsoft Entra ID Device Registration (t.ex. BYOD) – inte helt hanterad av företaget.
Är Hybrid Azure-domänansluten
 hostStates.isHybridAzureDomainJoined boolean

Sant om värden är domänansluten till en lokal Microsoft Entra-ID-domän.
Net bios name
 hostStates.netBiosName string

Lokalt värdnamn utan DNS-domännamn.
Operativsystemnamn
 hostStates.os string

Värdoperativsystem.
Privat IP-adress
 hostStates.privateIpAddress string

Privat (inte dirigerbar) IPv4- eller IPv6-adress vid tidpunkten för aviseringen.
Offentlig IP-adress
 hostStates.publicIpAddress string

Offentligt dirigerbar IPv4- eller IPv6-adress vid tidpunkten för aviseringen.
Riskpoäng
 hostStates.riskScore string

Providergenererad/beräknad riskpoäng för värden.
Tillstånd för skadlig kod
 malwareStates array of object

Säkerhetsrelaterad tillståndskänslig information som genereras av providern om skadlig kod som är relaterad till den här aviseringen.
Kategori
 malwareStates.category string

Kategori för providergenererad skadlig kod (t.ex. trojan, utpressningstrojan osv.).
Familj
 malwareStates.family string

Providergenererad skadlig kodfamilj (t.ex. "wannacry", "notpetya" osv.).
Namn
 malwareStates.name string

Variantnamn för providergenererad skadlig kod (t.ex. Trojan:Win32/Powessere.H).
Severity
 malwareStates.severity string

Providerbestämd allvarlighetsgrad för den här skadliga koden.
Kördes
 malwareStates.wasRunning boolean

Anger om den identifierade filen (skadlig kod/sårbarhet) kördes vid tidpunkten för identifieringen eller upptäcktes i vila på disken.
Nätverksanslutningar
 networkConnections array of object

Säkerhetsrelaterad tillståndskänslig information som genereras av providern om de filer som är relaterade till den här aviseringen.
Appnamn
 networkConnections.applicationName string

Namnet på programmet som hanterar nätverksanslutningen (t.ex. Facebook, SMTP osv.).
Måladress
 networkConnections.destinationAddress string

Mål-IP-adressen för nätverksanslutningen.
Måldomän
 networkConnections.destinationDomain string

Måldomändelen av mål-URL:en. (till exempel "www.contoso.com").
Målport
 networkConnections.destinationPort string

Målporten för nätverksanslutningen.
Mål-URL
 networkConnections.destinationUrl string

URL/URI-sträng för nätverksanslutning – exklusive parametrar.
Direction
 networkConnections.direction string

Nätverksanslutningsriktning. Möjliga värden är: okänd, inkommande, utgående.
Domänregistrerad dateTime
 networkConnections.domainRegisteredDateTime date-time

Datum då måldomänen registrerades (UTC).
Lokalt dns-namn
 networkConnections.localDnsName string

Den lokala DNS-namnmatchningen som den visas i värdlokal DNS-cache (t.ex. om filen "värdar" manipulerades).
Nat-måladress
 networkConnections.natDestinationAddress string

IP-adress för mål-IP-adress för nätverksadressöversättning.
Nat-målport
 networkConnections.natDestinationPort string

Målport för nätverksadressöversättning.
Nat-källadress
 networkConnections.natSourceAddress string

IP-adressöversättningskällans IP-adress för nätverksadress.
Nat-källport
 networkConnections.natSourcePort string

Källport för nätverksadressöversättning.
Protokoll
 networkConnections.protocol string

Nätverksprotokoll. Möjliga värden är: okänd, ip, icmp, igmp, ggp, ipv4, tcp, pup, udp, idp, ipv6, ipv6RoutingHeader, ipv6FragmentHeader, ipSecEncapsulatingSecurityPayload, ipSecAuthenticationHeader, icmpV6, ipv6NoNextHeader, ipv6DestinationOptions, nd, raw, ipx, spx, spxII.
Riskpoäng
 networkConnections.riskScore string

Providergenererad/beräknad riskpoäng för nätverksanslutningen.
Källadress
 networkConnections.sourceAddress string

Källans (dvs. ursprung) IP-adress för nätverksanslutningen.
Källport
 networkConnections.sourcePort string

Käll-IP-port (dvs. ursprung) för nätverksanslutningen.
Läge
 networkConnections.status string

Status för nätverksanslutning. Möjliga värden är: okänd, försök, lyckades, blockerade, misslyckades.
Url-parametrar
 networkConnections.urlParameters string

Parametrar (suffix) för mål-URL:en som en sträng.
Processes
 processes array of object

Säkerhetsrelaterad tillståndskänslig information som genereras av providern om processen eller processerna som är relaterade till den här aviseringen.
Kontonamn
 processes.accountName string

Användarkontoidentifierare (användarkontokontext som processen kördes under) t.ex. AccountName, SID osv.
kommandorad
 processes.commandLine string

Den fullständiga kommandoraden för anrop av processer, inklusive alla parametrar.
Skapad datumtid
 processes.createdDateTime date-time

DateTime där den överordnade processen startades (UTC).
Integritetsnivå
 processes.integrityLevel string

Processens integritetsnivå. Möjliga värden är: okänt, obetrott, lågt, medelhögt, högt system.
Är upphöjd
 processes.isElevated boolean

Sant om processen är förhöjd.
Namn
 processes.name string

Namnet på processens bildfil.
Överordnad process skapad datumtid
 processes.parentProcessCreatedDateTime date-time

Tidpunkt då processen startades (UTC).
Överordnat process-ID
 processes.parentProcessId integer

Process-ID (PID) för den överordnade processen.
Överordnat processnamn
 processes.parentProcessName string

Namnet på bildfilen för den överordnade processen.
Väg
 processes.path string

Fullständig sökväg, inklusive filnamn.
Process-ID
 processes.processId integer

Process-ID (PID) för processen.
Typ
 processes.fileHash.type string

Filhashtyp. Möjliga värden är: okänd, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256.
Värde
 processes.fileHash.value string

Värdet för filhashen.
Registernyckeltillstånd
 registryKeyStates array of object

Säkerhetsrelaterad tillståndskänslig information som genereras av providern om registernycklarna som är relaterade till den här aviseringen.
Processen
 registryKeyStates.process string

Process-ID (PID) för processen som ändrade registernyckeln (processinformation visas i aviseringssamlingen "processer").
Verksamhet
 registryKeyStates.operation string

Åtgärd som ändrade registernyckelns namn och/eller värde (lägg till, ändra, ta bort).
Värdetyp
 registryKeyStates.valueType string

Värdetyp för registernyckel. Möjliga värden är: okänd, binär, dword, dwordLittleEndian, dwordBigEndian, expandSz, link, multiSz, none, qword, qwordlittleEndian, sz.
Registreringsdatafil
 registryKeyStates.hive string

Registreringsdatafil för Windows-register. Möjliga värden är: okänd, currentConfig, currentUser, localMachineSam, localMachineSamSoftware, localMachineSystem, usersDefault.
Key
 registryKeyStates.key string

Aktuell (dvs. ändrad) registernyckel (exkluderar HIVE).
Värdenamn
 registryKeyStates.valueName string

Aktuellt (t.ex. ändrat) registernyckelvärdenamn.
Värdedata
 registryKeyStates.valueData string

Aktuella (t.ex. ändrade) registernyckelvärdedata (innehåll).
Gammal nyckel
 registryKeyStates.oldKey string

Tidigare registernyckel (dvs. innan den ändrades) (exkluderar HIVE).
Gammalt värdenamn
 registryKeyStates.oldValueName string

Tidigare (dvs. innan det ändrades) registernyckelvärdets namn.
Gamla värdedata
 registryKeyStates.oldValueData string

Tidigare (d.v.s. före ändring) registernyckelvärdedata (innehåll).
Triggers
 triggers array of object

Säkerhetsrelaterad information om de specifika egenskaper som utlöste aviseringen (egenskaper som visas i aviseringen). Aviseringar kan innehålla information om flera användare, värdar, filer, IP-adresser. Det här fältet anger vilka egenskaper som utlöste aviseringsgenereringen.
Namn
 triggers.name string

Namnet på egenskapen som fungerar som en identifieringsutlösare.
Typ
 triggers.type string

Typ av attribut i nyckel:värde-paret för tolkning, t.ex. sträng, boolesk osv.
Värde
 triggers.value string

Värdet för attributet som fungerar som en identifieringsutlösare.
Användartillstånd
 userStates array of object

Säkerhetsrelaterad tillståndskänslig information som genereras av providern om den inloggade användaren eller användarna som är relaterade till den här aviseringen.
Användar-ID för Microsoft Entra-ID
 userStates.aadUserId string

Microsoft Entra ID User object identifier (GUID) – representerar entiteten fysiska/flera konton.
Kontonamn
 userStates.accountName string

Kontonamn för användarkonto (utan Microsoft Entra ID-domän eller DNS-domän) – (kallas även "mailNickName").
Domännamn
 userStates.domainName string

NetBIOS/Microsoft Entra ID Domän för användarkonto (dvs. domän\kontoformat).
E-postroll
 userStates.emailRole string

För e-postrelaterade aviseringar – e-postroll för användarkonto.
Är VPN
 userStates.isVpn boolean

Anger om användaren loggade in via ett VPN.
Inloggningsdatum
 userStates.logonDateTime date-time

Tidpunkt då inloggningen inträffade (UTC).
Inloggnings-ID
 userStates.logonId string

Användarinloggnings-ID.
Inloggnings-IP
 userStates.logonIp string

IP-adress som inloggningsbegäran har eller som har initierats från.
Inloggningsplats
 userStates.logonLocation string

Plats (efter IP-adressmappning) som är associerad med en användarinloggningshändelse av den här användaren.
Inloggningstyp
 userStates.logonType string

Metod för användarinloggning. Möjliga värden är: okänd, interaktiv, remoteInteractive, nätverk, batch, tjänst.
Lokal säkerhetsidentifierare
 userStates.onPremisesSecurityIdentifier string

Microsoft Entra ID (lokal) Säkerhetsidentifierare (SID) för användaren.
Riskpoäng
 userStates.riskScore string

Providergenererad/beräknad riskpoäng för användarkontot.
Typ av användarkonto
 userStates.userAccountType string

Typ av användarkonto (gruppmedlemskap) per Windows-definition. Möjliga värden är: okänd, standard, kraft, administratör.
Användarens huvudnamn
 userStates.userPrincipalName string

Användarnamn för användarinloggning – Internetformat: <användarkontonamn>@<användarkontots DNS-domännamn>.
Sårbarhetstillstånd
 vulnerabilityStates array of object

Hotinformation som rör en eller flera säkerhetsrisker som är relaterade till den här aviseringen.
Cve
 vulnerabilityStates.cve string

Vanliga sårbarheter och exponeringar (CVE) för sårbarheten.
Kördes
 vulnerabilityStates.wasRunning boolean

Anger om den identifierade sårbarheten (filen) kördes vid tidpunkten för identifieringen eller om filen identifierades i vila på disken.
Severity
 vulnerabilityStates.severity string

Grundläggande allvarlighetsgrad för COMMON Vulnerability Scoring System (CVSS) för den här sårbarheten.

Subscription

En enskild prenumerationsentitet som returneras

Name Sökväg Typ Description
ID-nummer
 id string

Unik identifierare för prenumerationen.
Resource
 resource string

Anger den resurs som ska övervakas för ändringar.
Program-ID
 applicationId string

Identifierare för det program som används för att skapa prenumerationen.
Ändra typ
 changeType string

Anger vilken typ av ändring i den prenumerationsresurs som ska generera ett meddelande.
Klienttillstånd
 clientState string

Anger värdet för egenskapen clientState som skickas av tjänsten i varje meddelande. Den maximala längden är 128 tecken. Klienten kan kontrollera att meddelandet kom från tjänsten genom att jämföra värdet för egenskapen clientState som skickas med prenumerationen med värdet för egenskapen clientState som tas emot med varje meddelande.
Meddelande-URL
 notificationUrl string

URL:en för slutpunkten som ska ta emot meddelandena. Den här URL:en måste använda HTTPS-protokollet.
Förfallodatumtid
 expirationDateTime string

Anger datum och tid när webhook-prenumerationen upphör att gälla (UTC).
Skapar-ID
 creatorId string

Identifierare för användaren eller tjänstens huvudnamn som skapade prenumerationen. Om appen använde delegerade behörigheter för att skapa prenumerationen innehåller det här fältet ID:t för den inloggade användare som appen anropade för. Om appen använde programbehörigheter innehåller det här fältet ID:t för tjänstens huvudnamn som motsvarar appen.

TiIndicator

En enda TiIndicator-entitet som returneras

Name Sökväg Typ Description
Åtgärd
 action string

Den åtgärd som ska tillämpas om indikatorn matchas inifrån målproduktsäkerhetsverktyget. Värden: (okänd, tillåt, blockera, avisering).
Namn på aktivitetsgrupp
 activityGroupNames array of string

Namn på cyberhotinformation för de parter som ansvarar för den skadliga aktivitet som omfattas av hotindikatorn.
Ytterligare information
 additionalInformation string

Extra data från indikatorn som inte omfattas av de andra tiIndicator-egenskaperna kan placeras
Azure-klientorganisations-ID
 azureTenantId string

Klient-ID:t för Microsoft Entra för att skicka klienten.
Förtroende
 confidence integer

Konfidens för identifieringslogik (procent mellan 0 och 100).
Description
 description string

TiIndicator-beskrivning (100 tecken eller mindre).
Diamantmodell
 diamondModel string

Området för diamantmodellen där indikatorn finns. Värden: (okänd, angripare, kapacitet, infrastruktur, offer).
Förfallodatumtid
 expirationDateTime date-time

Tid då indikatorn upphör att gälla (UTC).
Externt ID
 externalId string

Ett ID-nummer som binder indikatorn tillbaka till indikatorproviderns system (t.ex. en sekundärnyckel).
ID-nummer
 id string

Skapas av systemet när indikatorn matas in. Genererad GUID/unik identifierare.
Inmatad datumtid
 ingestedDateTime date-time

Tid då indikatorn matas in (UTC).
Är aktiv
 isActive boolean

Som standard anges alla inskickade indikatorer som aktiva. Leverantörer kan dock skicka in befintliga indikatorer med den här inställningen "False" för att inaktivera indikatorer i systemet.
Döda kedja
 killChain array of string

strängar som beskriver vilken punkt eller vilka punkter i den dödande kedjan som indikatorn riktar sig mot. Värden: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization).
Kända falska positiva identifieringar
 knownFalsePositives string

Scenarier där indikatorn kan orsaka falska positiva identifieringar.
Senast rapporterad datumtid
 lastReportedDateTime date-time

Senaste gången indikatorn visades (UTC).
Familjenamn för skadlig kod
 malwareFamilyNames array of string

Namnet på den skadliga kodfamiljen som är associerad med en indikator om den finns.
Endast passiv
 passiveOnly boolean

Avgör om indikatorn ska utlösa en händelse som är synlig för en slutanvändare.
Severity
 severity integer

Allvarlighetsgraden för det skadliga beteende som identifieras av data i indikatorn. Värdena är mellan 0 och 5 och 5 är allvarligast. Standardvärdet är 3.
Etiketter
 tags array of string
Målprodukt
 targetProduct string

Enskild säkerhetsprodukt som indikatorn ska tillämpas på. Acceptabla värden är: Azure Sentinel, Microsoft Defender ATP.
Hottyp
 threatType string

Varje indikator måste ha en giltig indikatorhottyp. Möjliga värden är: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList.
Tlp-nivå
 tlpLevel string

Traffic Light Protocol-värde för indikatorn. Möjliga värden är: okänd, vit, grön, gul, röd.
E-postkodning
 emailEncoding string

Typen av textkodning som används i e-postmeddelandet.
E-postspråk
 emailLanguage string

E-postmeddelandets språk.
E-postmottagare
 emailRecipient string

Mottagarens e-postadress.
E-postadress för avsändare
 emailSenderAddress string

E-postadress till angriparen|offret.
Namn på e-postsändare
 emailSenderName string

Det visade namnet på angriparen|offret.
E-postkälladomän
 emailSourceDomain string

Domän som används i e-postmeddelandet.
Ip-adress för e-postkälla
 emailSourceIpAddress string

Källans IP-adress för e-post.
Ämne för e-post
 emailSubject string

Ämnesrad för e-post.
E-post XMailer
 emailXMailer string

X-Mailer-värde som används i e-postmeddelandet.
Datumtid för filkompilering
 fileCompileDateTime date-time

DateTime när filen kompilerades.
Fil skapad datumtid
 fileCreatedDateTime date-time

DateTime när filen skapades.
Filhashtyp
 fileHashType string

Typen av hash som lagras i fileHashValue. Möjliga värden är: okänd, sha1, sha256, md5, authenticodeHash256, lsHash, ctph.
Filhashvärde
 fileHashValue string

Filhashvärdet.
Fil mutex-namn
 fileMutexName string

Mutex-namn som används i filbaserade identifieringar.
Filnamn
 fileName string

Namnet på filen om indikatorn är filbaserad.
Filpaketerare
 filePacker string

Packern som användes för att skapa filen i fråga.
Filväg
 filePath string

Sökväg till filen som anger komprometterande. Kan vara en windows- eller *nix-stilsökväg.
Filstorlek
 fileSize integer

Filens storlek i byte.
Filtyp
 fileType string

Textbeskrivning av filtypen. Till exempel "Word-dokument" eller "binärt".
Domännamn
 domainName string

Domännamn som är associerat med den här indikatorn.
Nätverks-cidr-block
 networkCidrBlock string

CIDR Block notation representation av nätverket som refereras i den här indikatorn.
Asn för nätverksmål
 networkDestinationAsn integer

Målidentifieraren för det autonoma systemet för nätverket som anges i indikatorn.
CIDR-block för nätverksmål
 networkDestinationCidrBlock string

CIDR-blockeringsrepresentation av målnätverket i den här indikatorn.
Nätverksmål-IPv4
 networkDestinationIPv4 string

Ip-adressmål för IPv4.
Nätverksmål-IPv6
 networkDestinationIPv6 string

Ip-adressmål för IPv6.
Nätverksmålport
 networkDestinationPort integer

TCP-portmål.
Nätverks-IPv4
 networkIPv4 string

IP-adress för IPv4.
Nätverks-IPv6
 networkIPv6 string

IP-adress för IPv6.
Nätverksport
 networkPort integer

TCP-port.
Nätverksprotokoll
 networkProtocol integer

Decimalrepresentation av protokollfältet i IPv4-huvudet.
Asn för nätverkskälla
 networkSourceAsn integer

Källidentifieraren för det autonoma systemet för nätverket som refereras till i indikatorn.
Cidr-block för nätverkskälla
 networkSourceCidrBlock string

CIDR-blockeringsrepresentation av källnätverket i den här indikatorn.
IPv4 för nätverkskälla
 networkSourceIPv4 string

Ip-adresskälla för IPv4.
Nätverksmål-IPv6
 networkSourceIPv6 string

IPv6 IP-adresskälla.
Port för nätverkskälla
 networkSourcePort integer

TCP-portkälla.
URL
 url string

Uniform Resource Locator.
Användaragent
 userAgent string

User-Agent sträng från en webbbegäran som kan tyda på en kompromiss.