Microsoft Graph 安全性 (已弃用) [已弃用]
Microsoft Graph 安全连接器有助于使用统一架构连接不同的Microsoft和合作伙伴安全产品和服务,以简化安全作,并改进威胁防护、检测和响应功能。 详细了解如何与 Microsoft Graph 安全性 API https://aka.ms/graphsecuritydocs 集成(已弃用)
此连接器在以下产品和区域中可用:
| 服务 | Class | 区域 |
|---|---|---|
| Copilot Studio | 高级 | 除以下各项外的所有 Power Automate 区域 : - 美国政府 (GCC) - 美国政府 (GCC High) - 由世纪互联运营的中国云 - 美国国防部(DoD) |
| 逻辑应用程序 | 标准 | 除以下各项外的所有 逻辑应用区域 : - Azure 政府区域 - Azure 中国区域 - 美国国防部(DoD) |
| Power Apps | 高级 | 除以下各项外的所有 Power Apps 区域 : - 美国政府 (GCC) - 美国政府 (GCC High) - 由世纪互联运营的中国云 - 美国国防部(DoD) |
| Power Automate | 高级 | 除以下各项外的所有 Power Automate 区域 : - 美国政府 (GCC) - 美国政府 (GCC High) - 由世纪互联运营的中国云 - 美国国防部(DoD) |
| 联系人 | |
|---|---|
| Name | Microsoft |
| URL |
Microsoft LogicApps 支持 Microsoft Power Automate 支持 Microsoft Power Apps 支持 |
| sipsisgdev@microsoft.com |
| 连接器元数据 | |
|---|---|
| 发布者 | Microsoft |
| Website | https://www.microsoft.com/security/business/graph-security-api |
使用 Microsoft Graph 安全连接器进行连接的先决条件
详细了解 Microsoft图形安全 API。
若要使用 Microsoft Graph 安全连接器 作,请从触发器(例如定期触发器)开始。
若要使用 Microsoft Graph 安全性连接器,需要Microsoft Entra ID 租户管理员同意作为 Microsoft Graph 安全身份验证要求的一部分提供。
Microsoft Graph 安全连接器应用程序 ID 和名称(对于 in Microsoft Entra ID https://portal.azure.com),如下所示,Microsoft Entra ID 管理员同意:
- 应用程序名称 - MicrosoftGraphSecurityConnector
- 应用程序 ID - c4829704-0edc-4c3d-a347-7c4a67586f3c
- 租户管理员可以按照在向上述 应用程序授予租户管理员同意Microsoft Entra ID 应用程序 时所概述的步骤进行作,也可以根据 应用程序许可体验使用 Microsoft Graph 安全连接器在工作流的初始运行时授予权限。
现已准备好使用 Microsoft Graph 安全连接器!
连接器深入
有关连接器的详细信息,请参阅 深入部分。
正在创建连接
连接器支持以下身份验证类型:
| 默认 | 用于创建连接的参数。 | 所有区域 | 不可共享 |
违约
适用:所有区域
用于创建连接的参数。
这是不可共享的连接。 如果 Power App 与另一个用户共享,系统会提示其他用户显式创建新连接。
限制
| 名称 | 调用 | 续订期 |
|---|---|---|
| 每个连接的 API 调用数 | 100 | 60 秒 |
操作
|
创建 ti |
通过发布到 tiIndicators 集合(已弃用)创建新的威胁情报指示器。 |
| 创建订阅 (已弃用) [已弃用] |
创建Microsoft Graph Webhook 订阅(已弃用)。 |
| 删除订阅 (已弃用) [已弃用] |
删除特定的 Microsoft Graph Webhook 订阅(已弃用)。 |
|
按 ID 删除 ti |
删除与指定 ID 对应的威胁情报指示器(已弃用)。 |
|
按 ID 获取 ti |
获取与指定 ID 对应的威胁情报指示器(已弃用)。 |
| 按 ID 获取警报 (已弃用) [已弃用] |
获取与指定 ID 对应的安全警报(已弃用)。 |
|
提交多个 ti |
通过发布 tiIndicators 集合创建新的威胁情报指示器。 每个 tiIndicator 的必填字段包括:action、azureTenantId、description、expirationDateTime、targetProduct、threatType、tlpLevel (已弃用)。 |
|
更新 ti |
更新威胁情报指示器的特定属性。 tiIndicator 的必填字段为:Id、expirationDateTime 和 targetProduct(已弃用)。 |
|
更新多个 ti |
更新多个威胁情报指示器的特定属性。 每个 tiIndicator 的必填字段为:Id、expirationDateTime 和 targetProduct(已弃用)。 |
| 更新警报 (已弃用) [已弃用] |
更新安全警报的特定属性(已弃用)。 |
| 更新订阅 (已弃用) [已弃用] |
通过更新其过期时间(已弃用)来续订 Microsoft Graph Webhook 订阅。 |
|
获取 ti |
获取此Microsoft Entra ID 租户的威胁情报指示器列表。 与不同的查询参数一起使用(已弃用)。 |
| 获取活动订阅 (已弃用) [已弃用] |
获取此Microsoft Entra ID 租户(已弃用)的未过期订阅的列表。 |
| 获取警报 (已弃用) [已弃用] |
获取此Microsoft Entra ID 租户的安全警报列表。 与不同的查询参数一起使用(已弃用)。 |
|
通过 ID 删除多个 ti |
删除与指定 ID 对应的多个威胁情报指示器(已弃用)。 |
|
通过外部 ID 删除多个 ti |
删除与指定外部 ID 对应的多个威胁情报指示器(已弃用)。 |
创建 tiIndicator (已弃用) [已弃用]
通过发布到 tiIndicators 集合(已弃用)创建新的威胁情报指示器。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
Action
|
action | True | string |
在 targetProduct 安全工具中匹配指示器时要应用的作。 值:(未知、允许、阻止、警报)。 |
|
活动组名称
|
activityGroupNames | array of string |
负责威胁指标涵盖的恶意活动的各方的网络威胁情报名称。 |
|
|
其他信息
|
additionalInformation | string |
可能会放置其他 tiIndicator 属性未涵盖的指示器的额外数据 |
|
|
Azure 租户 ID
|
azureTenantId | string |
提交客户端的 Microsoft Entra ID 租户 ID。 |
|
|
置信度
|
confidence | integer |
检测逻辑的置信度(介于 0-100 之间的百分比)。 |
|
|
Description
|
description | True | string |
TiIndicator 说明(100 个字符或更少)。 |
|
菱形模型
|
diamondModel | string |
存在此指示器的菱形模型区域。 值:(未知、对手、功能、基础结构、受害者)。 |
|
|
到期日期时间
|
expirationDateTime | True | date-time |
指示器过期的时间(UTC)。 |
|
外部 ID
|
externalId | string |
一个标识号,该标识号将指示器与指示器提供程序的系统(例如外键)联系在一起。 |
|
|
引入的日期时间
|
ingestedDateTime | date-time |
引入指示器的时间(UTC)。 |
|
|
处于活动状态
|
isActive | boolean |
默认情况下,提交的任何指示器都设置为活动状态。 但是,提供程序可能会提交将此设置设置为“False”的现有指示器,以停用系统中的指示器。 |
|
|
终止链
|
killChain | array of string |
描述终止链上此指示器所面向的点或点的字符串。 值:(行动、C2、交付、剥削、安装、侦察、武器化)。 |
|
|
已知误报
|
knownFalsePositives | string |
指示符可能导致误报的情况。 |
|
|
上次报告的日期时间
|
lastReportedDateTime | date-time |
上次看到指示器的时间(UTC)。 |
|
|
恶意软件系列名称
|
malwareFamilyNames | array of string |
与指示器关联的恶意软件系列名称(如果存在)。 |
|
|
仅限被动
|
passiveOnly | boolean |
确定指示器是否应触发对最终用户可见的事件。 |
|
|
Severity
|
severity | integer |
指标中数据标识的恶意行为的严重性。 值从 0 到 5,5 表示最严重。 默认值为 3。 |
|
|
标记
|
tags | array of string | ||
|
目标产品
|
targetProduct | True | string |
应向其应用指示器的单一安全产品。 可接受的值为:Azure Sentinel、Microsoft Defender ATP。 |
|
威胁类型
|
threatType | string |
每个指示器必须具有有效的指示器威胁类型。 可能的值包括:Botnet、C2、CryptoMining、Darknet、DDoS、Malware、Malware、Phishing、Proxy、PUA、WatchList。 |
|
|
Tlp 级别
|
tlpLevel | string |
指示器的交通灯协议值。 可能的值为:未知、白色、绿色、琥珀色、红色。 |
|
|
电子邮件编码
|
emailEncoding | string |
电子邮件中使用的文本编码类型。 |
|
|
电子邮件语言
|
emailLanguage | string |
电子邮件的语言。 |
|
|
电子邮件收件人
|
emailRecipient | string |
收件人电子邮件地址。 |
|
|
电子邮件地址
|
emailSenderAddress | string |
攻击者|受害者的电子邮件地址。 |
|
|
电子邮件发件人名称
|
emailSenderName | string |
攻击者|受害者的显示名称。 |
|
|
电子邮件源域
|
emailSourceDomain | string |
电子邮件中使用的域。 |
|
|
电子邮件源 Ip 地址
|
emailSourceIpAddress | string |
电子邮件的源 IP 地址。 |
|
|
电子邮件主题
|
emailSubject | string |
电子邮件的主题行。 |
|
|
电子邮件 XMailer
|
emailXMailer | string |
电子邮件中使用的 X-Mailer 值。 |
|
|
文件编译日期时间
|
fileCompileDateTime | date-time |
编译文件时的 DateTime。 |
|
|
文件创建日期时间
|
fileCreatedDateTime | date-time |
创建文件时的 DateTime。 |
|
|
文件哈希类型
|
fileHashType | string |
存储在 fileHashValue 中的哈希类型。 可能的值包括:unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph。 |
|
|
文件哈希值
|
fileHashValue | string |
文件哈希值。 |
|
|
文件互斥体名称
|
fileMutexName | string |
基于文件的检测中使用的互斥体名称。 |
|
|
文件名
|
fileName | string |
如果指示器基于文件,则该文件的名称。 |
|
|
文件打包器
|
filePacker | string |
用于生成有问题的文件的包装器。 |
|
|
文件路径
|
filePath | string |
指示泄露的文件的路径。 可以是 Windows 或 *nix 样式路径。 |
|
|
文件大小
|
fileSize | integer |
文件的大小(以字节为单位)。 |
|
|
文件类型
|
fileType | string |
文件类型的文本说明。 例如,“Word 文档”或“Binary”。 |
|
|
域名
|
domainName | string |
与此指示器关联的域名。 |
|
|
网络 cidr 块
|
networkCidrBlock | string |
此指示器中引用的网络的 CIDR 块表示法表示形式。 |
|
|
网络目标 Asn
|
networkDestinationAsn | integer |
指示器中引用的网络的目标自治系统标识符。 |
|
|
网络目标 cidr 块
|
networkDestinationCidrBlock | string |
此指示器中目标网络的 CIDR 块表示法表示形式。 |
|
|
网络目标 IPv4
|
networkDestinationIPv4 | string |
IPv4 IP 地址目标。 |
|
|
网络目标 IPv6
|
networkDestinationIPv6 | string |
IPv6 IP 地址目标。 |
|
|
网络目标端口
|
networkDestinationPort | integer |
TCP 端口目标。 |
|
|
网络 IPv4
|
networkIPv4 | string |
IPv4 IP 地址。 |
|
|
网络 IPv6
|
networkIPv6 | string |
IPv6 IP 地址。 |
|
|
网络端口
|
networkPort | integer |
TCP 端口。 |
|
|
网络协议
|
networkProtocol | integer |
IPv4 标头中协议字段的十进制表示形式。 |
|
|
网络源 Asn
|
networkSourceAsn | integer |
指示器中引用的网络的源自治系统标识符。 |
|
|
网络源 cidr 块
|
networkSourceCidrBlock | string |
此指示器中源网络的 CIDR 块表示形式。 |
|
|
网络源 IPv4
|
networkSourceIPv4 | string |
IPv4 IP 地址源。 |
|
|
网络目标 IPv6
|
networkSourceIPv6 | string |
IPv6 IP 地址源。 |
|
|
网络源端口
|
networkSourcePort | integer |
TCP 端口源。 |
|
|
网址
|
url | string |
统一资源定位符。 |
|
|
用户代理
|
userAgent | string |
从可能表示泄露的 Web 请求 User-Agent 字符串。 |
返回
返回的单个 TiIndicator 实体
- TiIndicator
- TiIndicator
创建订阅 (已弃用) [已弃用]
创建Microsoft Graph Webhook 订阅(已弃用)。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
资源 URL
|
resource | True | string |
指定要监视的更改的资源。 不要包括基 URL ( |
|
更改类型
|
changeType | True | string |
指定在订阅的资源上更改时应引发通知的属性类型。 |
|
客户端状态
|
clientState | string |
指定客户端状态以确认通知发起源。 |
|
|
通知 URL
|
notificationUrl | True | string |
指定将接收通知的终结点的格式正确的 URL。 |
|
到期日期时间
|
expirationDateTime | True | date-time |
指定 Webhook 订阅过期的日期时间;必须是大于当前时间和 30 天内的日期时间。 |
返回
返回的单个订阅实体
- Subscription
- Subscription
删除订阅 (已弃用) [已弃用]
删除特定的 Microsoft Graph Webhook 订阅(已弃用)。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
订阅编号
|
Subscription Id | True | string |
指定 Microsoft Graph Webhook 订阅 ID。 |
按 ID 删除 tiIndicator (已弃用) [已弃用]
删除与指定 ID 对应的威胁情报指示器(已弃用)。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
指定威胁情报指示器 ID |
按 ID 获取 tiIndicator (已弃用) [已弃用]
获取与指定 ID 对应的威胁情报指示器(已弃用)。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
指定威胁情报指示器 ID |
返回
返回的单个 TiIndicator 实体
- TiIndicator
- TiIndicator
按 ID 获取警报 (已弃用) [已弃用]
提交多个 tiIndicators (已弃用) [已弃用]
通过发布 tiIndicators 集合创建新的威胁情报指示器。 每个 tiIndicator 的必填字段包括:action、azureTenantId、description、expirationDateTime、targetProduct、threatType、tlpLevel (已弃用)。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
Action
|
action | True | string |
在 targetProduct 安全工具中匹配指示器时要应用的作。 值:(未知、允许、阻止、警报)。 |
|
活动组名称
|
activityGroupNames | array of string |
负责威胁指标涵盖的恶意活动的各方的网络威胁情报名称。 |
|
|
其他信息
|
additionalInformation | string |
可能会放置其他 tiIndicator 属性未涵盖的指示器的额外数据 |
|
|
Azure 租户 ID
|
azureTenantId | string |
提交客户端的 Microsoft Entra ID 租户 ID。 |
|
|
置信度
|
confidence | integer |
检测逻辑的置信度(介于 0-100 之间的百分比)。 |
|
|
Description
|
description | True | string |
TiIndicator 说明(100 个字符或更少)。 |
|
菱形模型
|
diamondModel | string |
存在此指示器的菱形模型区域。 值:(未知、对手、功能、基础结构、受害者)。 |
|
|
到期日期时间
|
expirationDateTime | True | date-time |
指示器过期的时间(UTC)。 |
|
外部 ID
|
externalId | string |
一个标识号,该标识号将指示器与指示器提供程序的系统(例如外键)联系在一起。 |
|
|
引入的日期时间
|
ingestedDateTime | date-time |
引入指示器的时间(UTC)。 |
|
|
处于活动状态
|
isActive | boolean |
默认情况下,提交的任何指示器都设置为活动状态。 但是,提供程序可能会提交将此设置设置为“False”的现有指示器,以停用系统中的指示器。 |
|
|
终止链
|
killChain | array of string |
描述终止链上此指示器所面向的点或点的字符串。 值:(行动、C2、交付、剥削、安装、侦察、武器化)。 |
|
|
已知误报
|
knownFalsePositives | string |
指示符可能导致误报的情况。 |
|
|
上次报告的日期时间
|
lastReportedDateTime | date-time |
上次看到指示器的时间(UTC)。 |
|
|
恶意软件系列名称
|
malwareFamilyNames | array of string |
与指示器关联的恶意软件系列名称(如果存在)。 |
|
|
仅限被动
|
passiveOnly | boolean |
确定指示器是否应触发对最终用户可见的事件。 |
|
|
Severity
|
severity | integer |
指标中数据标识的恶意行为的严重性。 值从 0 到 5,5 表示最严重。 默认值为 3。 |
|
|
标记
|
tags | array of string | ||
|
目标产品
|
targetProduct | True | string |
应向其应用指示器的单一安全产品。 可接受的值为:Azure Sentinel、Microsoft Defender ATP。 |
|
威胁类型
|
threatType | string |
每个指示器必须具有有效的指示器威胁类型。 可能的值包括:Botnet、C2、CryptoMining、Darknet、DDoS、Malware、Malware、Phishing、Proxy、PUA、WatchList。 |
|
|
Tlp 级别
|
tlpLevel | string |
指示器的交通灯协议值。 可能的值为:未知、白色、绿色、琥珀色、红色。 |
|
|
电子邮件编码
|
emailEncoding | string |
电子邮件中使用的文本编码类型。 |
|
|
电子邮件语言
|
emailLanguage | string |
电子邮件的语言。 |
|
|
电子邮件收件人
|
emailRecipient | string |
收件人电子邮件地址。 |
|
|
电子邮件地址
|
emailSenderAddress | string |
攻击者|受害者的电子邮件地址。 |
|
|
电子邮件发件人名称
|
emailSenderName | string |
攻击者|受害者的显示名称。 |
|
|
电子邮件源域
|
emailSourceDomain | string |
电子邮件中使用的域。 |
|
|
电子邮件源 Ip 地址
|
emailSourceIpAddress | string |
电子邮件的源 IP 地址。 |
|
|
电子邮件主题
|
emailSubject | string |
电子邮件的主题行。 |
|
|
电子邮件 XMailer
|
emailXMailer | string |
电子邮件中使用的 X-Mailer 值。 |
|
|
文件编译日期时间
|
fileCompileDateTime | date-time |
编译文件时的 DateTime。 |
|
|
文件创建日期时间
|
fileCreatedDateTime | date-time |
创建文件时的 DateTime。 |
|
|
文件哈希类型
|
fileHashType | string |
存储在 fileHashValue 中的哈希类型。 可能的值包括:unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph。 |
|
|
文件哈希值
|
fileHashValue | string |
文件哈希值。 |
|
|
文件互斥体名称
|
fileMutexName | string |
基于文件的检测中使用的互斥体名称。 |
|
|
文件名
|
fileName | string |
如果指示器基于文件,则该文件的名称。 |
|
|
文件打包器
|
filePacker | string |
用于生成有问题的文件的包装器。 |
|
|
文件路径
|
filePath | string |
指示泄露的文件的路径。 可以是 Windows 或 *nix 样式路径。 |
|
|
文件大小
|
fileSize | integer |
文件的大小(以字节为单位)。 |
|
|
文件类型
|
fileType | string |
文件类型的文本说明。 例如,“Word 文档”或“Binary”。 |
|
|
域名
|
domainName | string |
与此指示器关联的域名。 |
|
|
网络 cidr 块
|
networkCidrBlock | string |
此指示器中引用的网络的 CIDR 块表示法表示形式。 |
|
|
网络目标 Asn
|
networkDestinationAsn | integer |
指示器中引用的网络的目标自治系统标识符。 |
|
|
网络目标 cidr 块
|
networkDestinationCidrBlock | string |
此指示器中目标网络的 CIDR 块表示法表示形式。 |
|
|
网络目标 IPv4
|
networkDestinationIPv4 | string |
IPv4 IP 地址目标。 |
|
|
网络目标 IPv6
|
networkDestinationIPv6 | string |
IPv6 IP 地址目标。 |
|
|
网络目标端口
|
networkDestinationPort | integer |
TCP 端口目标。 |
|
|
网络 IPv4
|
networkIPv4 | string |
IPv4 IP 地址。 |
|
|
网络 IPv6
|
networkIPv6 | string |
IPv6 IP 地址。 |
|
|
网络端口
|
networkPort | integer |
TCP 端口。 |
|
|
网络协议
|
networkProtocol | integer |
IPv4 标头中协议字段的十进制表示形式。 |
|
|
网络源 Asn
|
networkSourceAsn | integer |
指示器中引用的网络的源自治系统标识符。 |
|
|
网络源 cidr 块
|
networkSourceCidrBlock | string |
此指示器中源网络的 CIDR 块表示形式。 |
|
|
网络源 IPv4
|
networkSourceIPv4 | string |
IPv4 IP 地址源。 |
|
|
网络目标 IPv6
|
networkSourceIPv6 | string |
IPv6 IP 地址源。 |
|
|
网络源端口
|
networkSourcePort | integer |
TCP 端口源。 |
|
|
网址
|
url | string |
统一资源定位符。 |
|
|
用户代理
|
userAgent | string |
从可能表示泄露的 Web 请求 User-Agent 字符串。 |
返回
| 名称 | 路径 | 类型 | 说明 |
|---|---|---|---|
|
TiIndicators
|
value | array of TiIndicator |
提交的 TiIndicators |
更新 tiIndicator (已弃用) [已弃用]
更新威胁情报指示器的特定属性。 tiIndicator 的必填字段为:Id、expirationDateTime 和 targetProduct(已弃用)。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
指定威胁情报指示器 ID。 |
|
Action
|
action | string |
在 targetProduct 安全工具中匹配指示器时要应用的作。 值:(未知、允许、阻止、警报)。 |
|
|
活动组名称
|
activityGroupNames | array of string |
负责威胁指标涵盖的恶意活动的各方的网络威胁情报名称。 |
|
|
其他信息
|
additionalInformation | string |
可能会放置其他 tiIndicator 属性未涵盖的指示器的额外数据 |
|
|
置信度
|
confidence | integer |
检测逻辑的置信度(介于 0-100 之间的百分比)。 |
|
|
Description
|
description | string |
TiIndicator 说明(100 个字符或更少)。 |
|
|
菱形模型
|
diamondModel | string |
存在此指示器的菱形模型区域。 值:(未知、对手、功能、基础结构、受害者)。 |
|
|
到期日期时间
|
expirationDateTime | True | date-time |
指示器过期的时间(UTC 格式)。例如,2020-03-01T00:00:00Z。 |
|
外部 ID
|
externalId | string |
一个标识号,该标识号将指示器与指示器提供程序的系统(例如外键)联系在一起。 |
|
|
处于活动状态
|
isActive | boolean |
默认情况下,提交的任何指示器都设置为活动状态。 但是,提供程序可能会提交将此设置设置为“False”的现有指示器,以停用系统中的指示器。 |
|
|
终止链
|
killChain | array of string |
描述终止链上此指示器所面向的点或点的字符串。 值:(行动、C2、交付、剥削、安装、侦察、武器化)。 |
|
|
已知误报
|
knownFalsePositives | string |
指示符可能导致误报的情况。 |
|
|
上次报告的日期时间
|
lastReportedDateTime | date-time |
上次看到指示器的时间(UTC)。 |
|
|
恶意软件系列名称
|
malwareFamilyNames | array of string |
与指示器关联的恶意软件系列名称(如果存在)。 |
|
|
仅限被动
|
passiveOnly | boolean |
确定指示器是否应触发对最终用户可见的事件。 |
|
|
Severity
|
severity | integer |
指标中数据标识的恶意行为的严重性。 值从 0 到 5,5 表示最严重。 默认值为 3。 |
|
|
标记
|
tags | array of string | ||
|
Tlp 级别
|
tlpLevel | string |
指示器的交通灯协议值。 可能的值为:未知、白色、绿色、琥珀色、红色。 |
|
|
目标产品
|
targetProduct | True | string |
应向其应用指示器的单一安全产品。 可接受的值为:Azure Sentinel、Microsoft Defender ATP。 |
更新多个 tiIndicators (已弃用) [已弃用]
更新多个威胁情报指示器的特定属性。 每个 tiIndicator 的必填字段为:Id、expirationDateTime 和 targetProduct(已弃用)。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
id
|
id | True | string |
TiIndicator-id |
|
Action
|
action | string |
在 targetProduct 安全工具中匹配指示器时要应用的作。 值:(未知、允许、阻止、警报)。 |
|
|
活动组名称
|
activityGroupNames | array of string |
负责威胁指标涵盖的恶意活动的各方的网络威胁情报名称。 |
|
|
其他信息
|
additionalInformation | string |
可能会放置其他 tiIndicator 属性未涵盖的指示器的额外数据 |
|
|
置信度
|
confidence | integer |
检测逻辑的置信度(介于 0-100 之间的百分比)。 |
|
|
Description
|
description | string |
TiIndicator 说明(100 个字符或更少)。 |
|
|
菱形模型
|
diamondModel | string |
存在此指示器的菱形模型区域。 值:(未知、对手、功能、基础结构、受害者)。 |
|
|
到期日期时间
|
expirationDateTime | True | date-time |
指示器过期的时间(UTC)。 |
|
目标产品
|
targetProduct | True | string |
应向其应用指示器的单一安全产品。 可接受的值为:Azure Sentinel、Microsoft Defender ATP。 |
|
外部 ID
|
externalId | string |
一个标识号,该标识号将指示器与指示器提供程序的系统(例如外键)联系在一起。 |
|
|
处于活动状态
|
isActive | boolean |
默认情况下,提交的任何指示器都设置为活动状态。 但是,提供程序可能会提交将此设置设置为“False”的现有指示器,以停用系统中的指示器。 |
|
|
终止链
|
killChain | array of string |
描述终止链上此指示器所面向的点或点的字符串。 值:(行动、C2、交付、剥削、安装、侦察、武器化)。 |
|
|
已知误报
|
knownFalsePositives | string |
指示符可能导致误报的情况。 |
|
|
上次报告的日期时间
|
lastReportedDateTime | date-time |
上次看到指示器的时间(UTC)。 |
|
|
恶意软件系列名称
|
malwareFamilyNames | array of string |
与指示器关联的恶意软件系列名称(如果存在)。 |
|
|
仅限被动
|
passiveOnly | boolean |
确定指示器是否应触发对最终用户可见的事件。 |
|
|
Severity
|
severity | integer |
指标中数据标识的恶意行为的严重性。 值从 0 到 5,5 表示最严重。 默认值为 3。 |
|
|
标记
|
tags | array of string | ||
|
Tlp 级别
|
tlpLevel | string |
指示器的交通灯协议值。 可能的值为:未知、白色、绿色、琥珀色、红色。 |
返回
| 名称 | 路径 | 类型 | 说明 |
|---|---|---|---|
|
TiIndicators
|
value | array of TiIndicator |
TiIndicators 已更新 |
更新警报 (已弃用) [已弃用]
更新安全警报的特定属性(已弃用)。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
警报 ID
|
alert-id | True | string |
指定警报 ID。 |
|
分配到
|
assignedTo | string |
指定分配给警报的分析师的名称,以便进行会审、调查或修正。 |
|
|
Closed dateTime
|
closedDateTime | string |
指定关闭警报的时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 |
|
|
comments
|
comments | array of string |
注释 |
|
|
标记
|
tags | array of string |
指定可应用于警报的任何用户可定义标签,并可用作筛选条件(例如“HVA”、“SAW”等)。 |
|
|
Feedback
|
feedback | string |
指定警报的分析师反馈。 |
|
|
状态
|
status | string |
指定状态以跟踪警报生命周期状态(阶段)。 |
|
|
提供者名称
|
provider | True | string |
特定提供商(产品/服务 - 非供应商公司):例如,WindowsDefenderATP。 |
|
提供程序版本
|
providerVersion | string |
指定生成警报的提供程序或子项目的版本(如果存在)。 |
|
|
子提供程序名称
|
subProvider | string |
特定子项目(在聚合提供程序下):例如,WindowsDefenderATP.SmartScreen。 |
|
|
供应商名称
|
vendor | True | string |
指定警报供应商的名称(例如,Microsoft、Dell、FireEye)。 |
更新订阅 (已弃用) [已弃用]
通过更新其过期时间(已弃用)来续订 Microsoft Graph Webhook 订阅。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
订阅编号
|
Subscription Id | True | string |
指定Microsoft Graph Webhook 订阅 ID。 |
|
到期日期时间
|
expirationDateTime | string |
指定Microsoft Graph Webhook 订阅过期时的日期和时间(UTC 格式)。 安全警报的最大过期时间为 43200 分钟(30 天以下)。 |
返回
返回的单个订阅实体
- Subscription
- Subscription
获取 tiIndicators (已弃用) [已弃用]
获取此Microsoft Entra ID 租户的威胁情报指示器列表。 与不同的查询参数一起使用(已弃用)。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
筛选 tiIndicators
|
$filter | string |
为威胁情报指标指定筛选条件,例如 threatType eq “WatchList” |
|
|
Top tiIndicators
|
$top | integer |
指定要检索的最新威胁情报指标数 |
|
|
选择 tiIndicator 属性
|
$select | string |
指定要包含在结果中的威胁情报指示器属性。 |
|
|
包括返回的 tiIndicators 计数
|
$count | string |
指定以包括响应中返回的威胁情报指示器数 |
|
|
跳过“n”结果
|
$skip | integer |
指定要跳过的结果数。 可用于分页。 |
|
|
排序顺序
|
$orderby | string |
指定结果的排序顺序。 |
返回
| 名称 | 路径 | 类型 | 说明 |
|---|---|---|---|
|
TiIndicator 计数
|
@odata.count | integer |
返回的 TiIndicator 数 |
|
TiIndicators
|
value | array of TiIndicator |
返回的 TiIndicator |
|
下一个链接
|
@odata.nextLink | string |
获取下一个结果的链接,以防结果多于请求的结果 |
获取活动订阅 (已弃用) [已弃用]
获取此Microsoft Entra ID 租户(已弃用)的未过期订阅的列表。
返回
| 名称 | 路径 | 类型 | 说明 |
|---|---|---|---|
|
现有子加密计数
|
@odata.count | integer |
返回的子加密数 |
|
Subscription
|
value | array of Subscription |
返回的订阅实体 |
|
下一个链接
|
@odata.nextLink | string |
获取下一个结果的链接,以防结果多于请求的结果 |
获取警报 (已弃用) [已弃用]
获取此Microsoft Entra ID 租户的安全警报列表。 与不同的查询参数一起使用(已弃用)。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
筛选警报
|
$filter | string |
为严重性 eq“高”等警报指定筛选条件。 |
|
|
热门警报
|
$top | integer |
指定要从每个提供程序检索的最新最大警报数。 |
|
|
选择警报属性
|
$select | string |
指定要包含在结果中的警报属性。 |
|
|
排序顺序
|
$orderby | string |
指定结果的排序顺序。 |
|
|
跳过“n”结果
|
$skip | integer |
指定要跳过的结果数。 可用于分页。 |
|
|
包括返回的警报计数
|
$count | string |
指定以包括响应中返回的警报数 |
返回
| 名称 | 路径 | 类型 | 说明 |
|---|---|---|---|
|
警报计数
|
@odata.count | integer |
返回的警报数 |
|
Alerts
|
value | array of Alert |
返回的警报 |
|
下一个链接
|
@odata.nextLink | string |
获取下一个结果的链接,以防结果多于请求的结果 |
通过 ID 删除多个 tiIndicator (已弃用) [已弃用]
删除与指定 ID 对应的多个威胁情报指示器(已弃用)。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
value
|
value | array of string |
返回
| 名称 | 路径 | 类型 | 说明 |
|---|---|---|---|
|
value
|
value | array of object | |
|
代码
|
value.code | integer |
结果代码 |
|
消息
|
value.message | string |
消息 |
|
子代码
|
value.subcode | integer |
结果子代码 |
通过外部 ID 删除多个 tiIndicator (已弃用) [已弃用]
删除与指定外部 ID 对应的多个威胁情报指示器(已弃用)。
参数
| 名称 | 密钥 | 必需 | 类型 | 说明 |
|---|---|---|---|---|
|
value
|
value | array of string |
返回
| 名称 | 路径 | 类型 | 说明 |
|---|---|---|---|
|
value
|
value | array of object | |
|
代码
|
value.code | integer |
结果代码 |
|
消息
|
value.message | string |
消息 |
|
子代码
|
value.subcode | integer |
结果子代码 |
触发器
| 在所有新警报(已弃用)[已弃用] |
所有新警报的触发器(已弃用) |
| 在新的高严重性警报(已弃用)[已弃用] |
针对新高严重性警报的触发器(已弃用) |
在所有新警报(已弃用)[已弃用]
所有新警报的触发器(已弃用)
返回
| 名称 | 路径 | 类型 | 说明 |
|---|---|---|---|
|
警报计数
|
@odata.count | integer |
返回的警报数 |
|
Alerts
|
value | array of Alert |
返回的警报 |
|
下一个链接
|
@odata.nextLink | string |
获取下一个结果的链接,以防结果多于请求的结果 |
在新的高严重性警报(已弃用)[已弃用]
针对新高严重性警报的触发器(已弃用)
返回
| 名称 | 路径 | 类型 | 说明 |
|---|---|---|---|
|
警报计数
|
@odata.count | integer |
返回的警报数 |
|
Alerts
|
value | array of Alert |
返回的警报 |
|
下一个链接
|
@odata.nextLink | string |
获取下一个结果的链接,以防结果多于请求的结果 |
定义
警报
返回的单个警报实体
| 名称 | 路径 | 类型 | 说明 |
|---|---|---|---|
|
Azure 订阅 ID
|
azureSubscriptionId | string |
如果此警报与 Azure 资源相关,则显示 Azure 订阅 ID。 |
|
标记
|
tags | array of string |
可应用于警报的用户可定义标签,并可用作筛选条件(例如“HVA”、“SAW”等)。 |
|
ID
|
id | string |
提供程序生成的 GUID/唯一标识符。 |
|
Azure 租户 ID
|
azureTenantId | string |
Microsoft Entra ID 租户 ID。 |
|
活动组名称
|
activityGroupName | string |
此警报归因于活动组(攻击者)的名称或别名。 |
|
分配到
|
assignedTo | string |
警报分配给分析员的名称,用于会审、调查或修正。 |
|
类别
|
category | string |
警报类别(例如 credentialTheft、勒索软件等)。 |
|
关闭日期时间
|
closedDateTime | date-time |
警报关闭的时间(UTC)。 |
|
注释
|
comments | array of string |
针对警报的客户提供的评论(对于客户警报管理)。 |
|
置信度
|
confidence | integer |
检测逻辑的置信度(介于 1-100 之间的百分比)。 |
|
创建日期时间
|
createdDateTime | date-time |
创建警报的时间(UTC)。 |
|
Description
|
description | string |
警报说明。 |
|
检测 ID
|
detectionIds | array of string |
与此警报实体相关的警报集。 |
|
事件日期时间
|
eventDateTime | date-time |
用作触发器的事件(s)生成警报的时间(UTC)。 |
|
Feedback
|
feedback | string |
有关警报的分析师反馈。 可能的值包括:unknown、truePositive、falsePositive、benignPositive。 |
|
上次修改日期时间
|
lastModifiedDateTime | date-time |
上次修改警报实体的时间(UTC)。 |
|
建议的操作
|
recommendedActions | array of string |
由于警报(例如隔离计算机、强制实施 2FA、重置映像主机等),供应商/提供程序建议的作/秒。 |
|
Severity
|
severity | string |
警报严重性 - 由供应商/提供程序设置。 值:(高、中、低、信息),其中“信息”推断警报不可作。 |
|
源材料
|
sourceMaterials | array of string |
指向与警报相关的源材料(例如提供程序调查 UI 等)的超链接(URI)。 |
|
状态
|
status | string |
警报生命周期状态(阶段)。 值:(unknown、newAlert、inProgress、resolved)。 |
|
Title
|
title | string |
警报标题。 |
|
提供者名称
|
vendorInformation.provider | string |
特定提供商(产品/服务 - 非供应商公司):例如,WindowsDefenderATP。 |
|
提供程序版本
|
vendorInformation.providerVersion | string |
提供程序或子provider 的版本。 |
|
子提供程序名称
|
vendorInformation.subProvider | string |
特定子项目(在聚合提供程序下):例如,WindowsDefenderATP.SmartScreen。 |
|
供应商名称
|
vendorInformation.vendor | string |
警报供应商的名称(例如,Microsoft、Dell、FireEye)。 |
|
云应用状态
|
cloudAppStates | array of object |
提供商生成的与云应用程序/s 相关的安全相关有状态信息与此警报相关。 |
|
目标服务 IP
|
cloudAppStates.destinationServiceIp | string |
连接到云应用/服务的目标 IP 地址。 |
|
目标服务名称
|
cloudAppStates.destinationServiceName | string |
目标云应用/服务名称。 |
|
风险评分
|
cloudAppStates.riskScore | string |
云应用程序/服务的提供程序生成/计算风险评分。 |
|
文件状态
|
fileStates | array of object |
提供程序生成的与此警报相关的文件的安全相关有状态信息。 |
|
Name
|
fileStates.name | string |
文件名(不含路径)。 |
|
路径
|
fileStates.path | string |
文件/imageFile 的完整文件路径。 |
|
风险评分
|
fileStates.riskScore | string |
提供程序生成的/计算警报文件的风险评分。 |
|
类型
|
fileStates.fileHash.type | string |
文件哈希类型。 可能的值包括:unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph、peSha1、peSha256。 |
|
价值
|
fileStates.fileHash.value | string |
文件哈希的值。 |
|
主机状态
|
hostStates | array of object |
提供程序生成的与此警报相关的主机(s)的安全相关有状态信息。 |
|
完全限定的域名
|
hostStates.fqdn | string |
主机 FQDN (完全限定的域名)。 |
|
已加入 azureAd
|
hostStates.isAzureAdJoined | boolean |
如此 如果主机已加入域,Microsoft Entra ID 域服务。 |
|
已注册 azureAd
|
hostStates.isAzureAdRegistered | boolean |
如此 如果主机注册Microsoft Entra ID 设备注册(例如 BYOD),则为 True - 未完全由企业管理。 |
|
已加入混合 Azure 域
|
hostStates.isHybridAzureDomainJoined | boolean |
如此 如果主机已加入本地Microsoft Entra ID 域。 |
|
Net bios 名称
|
hostStates.netBiosName | string |
没有 DNS 域名的本地主机名。 |
|
操作系统名称
|
hostStates.os | string |
主机作系统。 |
|
专用 IP 地址
|
hostStates.privateIpAddress | string |
警报时,专用(不可路由)IPv4 或 IPv6 地址。 |
|
公共 IP 地址
|
hostStates.publicIpAddress | string |
警报时可公开路由的 IPv4 或 IPv6 地址。 |
|
风险评分
|
hostStates.riskScore | string |
主机的提供程序生成的/计算的风险评分。 |
|
恶意软件状态
|
malwareStates | array of object |
提供程序生成的有关与此警报相关的恶意软件的安全相关有状态信息。 |
|
类别
|
malwareStates.category | string |
提供程序生成的恶意软件类别(例如特洛伊木马、勒索软件等)。 |
|
家庭
|
malwareStates.family | string |
提供程序生成的恶意软件系列(例如“wannacry”、“notpetya”等)。 |
|
Name
|
malwareStates.name | string |
提供程序生成的恶意软件变体名称(例如特洛伊木马:Win32/Powessere.H)。 |
|
Severity
|
malwareStates.severity | string |
此恶意软件的提供程序确定严重性。 |
|
正在运行
|
malwareStates.wasRunning | boolean |
指示检测到的文件(恶意软件/漏洞)是在检测时运行的,还是在磁盘上静态检测到。 |
|
网络连接
|
networkConnections | array of object |
提供程序生成的与此警报相关的文件的安全相关有状态信息。 |
|
应用程序名称
|
networkConnections.applicationName | string |
管理网络连接的应用程序的名称(例如 Facebook、SMTP 等)。 |
|
目标地址
|
networkConnections.destinationAddress | string |
网络连接的目标 IP 地址。 |
|
目标域
|
networkConnections.destinationDomain | string |
目标 URL 的目标域部分。(例如“www.contoso.com”)。 |
|
目标端口
|
networkConnections.destinationPort | string |
网络连接的目标端口。 |
|
目标 URL
|
networkConnections.destinationUrl | string |
网络连接 URL/URI 字符串 - 不包括参数。 |
|
方向
|
networkConnections.direction | string |
网络连接方向。 可能的值为:未知、入站、出站。 |
|
域注册的 dateTime
|
networkConnections.domainRegisteredDateTime | date-time |
目标域已注册的日期(UTC)。 |
|
本地 dns 名称
|
networkConnections.localDnsName | string |
本地 DNS 名称解析,因为它出现在主机本地 DNS 缓存中(例如,如果“hosts”文件被篡改)。 |
|
Nat 目标地址
|
networkConnections.natDestinationAddress | string |
网络地址转换目标 IP 地址。 |
|
Nat 目标端口
|
networkConnections.natDestinationPort | string |
网络地址转换目标端口。 |
|
Nat 源地址
|
networkConnections.natSourceAddress | string |
网络地址转换源 IP 地址。 |
|
Nat 源端口
|
networkConnections.natSourcePort | string |
网络地址转换源端口。 |
|
协议
|
networkConnections.protocol | string |
网络协议。 可能的值包括:未知、 ip, icmp, igmp, ggp, ipv4, tcp, pup, udp, idp, ipv6RoutingHeader, ipv6FragmentHeader, ipSecEncapsulatingSecurityPayload, ipSecAuthenticationHeader, icmpV6, ipv6NoNextHeader, ipv6DestinationOptions, nd, raw, ipx, spx, spx, spx。 |
|
风险评分
|
networkConnections.riskScore | string |
提供程序生成的/计算的网络连接风险评分。 |
|
源地址
|
networkConnections.sourceAddress | string |
网络连接的源(即源)IP 地址。 |
|
Source Port
|
networkConnections.sourcePort | string |
网络连接的源(即源)IP 端口。 |
|
状态
|
networkConnections.status | string |
网络连接状态。 可能的值包括:未知、尝试、成功、阻止、失败。 |
|
URL 参数
|
networkConnections.urlParameters | string |
目标 URL 的参数(后缀)作为字符串。 |
|
Processes
|
processes | array of object |
提供程序生成的与安全相关的有状态信息,涉及此警报的进程或进程。 |
|
帐户名
|
processes.accountName | string |
用户帐户标识符(进程运行在下的用户帐户上下文),例如 AccountName、SID 等。 |
|
命令行
|
processes.commandLine | string |
包括所有参数的完整进程调用命令行。 |
|
创建日期时间
|
processes.createdDateTime | date-time |
启动父进程的 DateTime(UTC)。 |
|
完整性级别
|
processes.integrityLevel | string |
进程的完整性级别。 可能的值包括:未知、不受信任、低、中、高、系统。 |
|
提升
|
processes.isElevated | boolean |
如果提升进程,则为 True。 |
|
Name
|
processes.name | string |
进程映像文件的名称。 |
|
父进程创建的日期时间
|
processes.parentProcessCreatedDateTime | date-time |
进程启动的时间(UTC)。 |
|
父进程 ID
|
processes.parentProcessId | integer |
父进程的进程 ID (PID)。 |
|
父进程名称
|
processes.parentProcessName | string |
父进程的映像文件的名称。 |
|
路径
|
processes.path | string |
完整路径,包括文件名。 |
|
进程 ID
|
processes.processId | integer |
进程的进程 ID (PID)。 |
|
类型
|
processes.fileHash.type | string |
文件哈希类型。 可能的值包括:unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph、peSha1、peSha256。 |
|
价值
|
processes.fileHash.value | string |
文件哈希的值。 |
|
注册表项状态
|
registryKeyStates | array of object |
提供程序生成的有关与此警报相关的注册表项的安全相关有状态信息。 |
|
流程
|
registryKeyStates.process | string |
修改注册表项的进程的进程 ID (PID) (进程详细信息将显示在警报“进程”集合中)。 |
|
操作
|
registryKeyStates.operation | string |
更改注册表项名称和/或值的作(添加、修改、删除)。 |
|
值类型
|
registryKeyStates.valueType | string |
注册表项值类型。 可能的值包括:unknown、binary、dword、dwordLittleEndian、dwordBigEndian、expandSz、link、multiSz、none、qword、qwordlittleEndian、sz。 |
|
注册表配置单元
|
registryKeyStates.hive | string |
Windows 注册表配置单元。 可能的值包括:unknown、currentConfig、currentUser、localMachineSam、localMachineSamSoftware、localMachineSystem、usersDefault。 |
|
Key
|
registryKeyStates.key | string |
当前(即已更改)注册表项(不包括 HIVE)。 |
|
值名称
|
registryKeyStates.valueName | string |
当前(即已更改)注册表项值名称。 |
|
值数据
|
registryKeyStates.valueData | string |
当前(即已更改)注册表项值数据(内容)。 |
|
旧密钥
|
registryKeyStates.oldKey | string |
上一个(即在更改之前)注册表项(不包括 HIVE)。 |
|
旧值名称
|
registryKeyStates.oldValueName | string |
上一个(即更改前)注册表项值名称。 |
|
旧值数据
|
registryKeyStates.oldValueData | string |
上一个(即更改前)注册表项值数据(内容)。 |
|
Triggers
|
triggers | array of object |
有关触发警报的特定属性(警报中显示的属性)的安全相关信息。 警报可能包含有关多个用户、主机、文件、IP 地址的信息。 此字段指示哪些属性触发了警报生成。 |
|
Name
|
triggers.name | string |
用作检测触发器的属性的名称。 |
|
类型
|
triggers.type | string |
用于解释的键:值对中的属性类型,例如字符串、布尔值等。 |
|
价值
|
triggers.value | string |
用作检测触发器的特性的值。 |
|
用户状态
|
userStates | array of object |
提供程序生成的与登录用户或与此警报相关的用户的安全相关有状态信息。 |
|
Microsoft Entra ID 用户 ID
|
userStates.aadUserId | string |
Microsoft Entra ID 用户对象标识符 (GUID) - 表示物理/多帐户用户帐户实体。 |
|
帐户名
|
userStates.accountName | string |
用户帐户的帐户名称(未Microsoft Entra ID 域或 DNS 域) - (也称为“mailNickName”)。 |
|
域名
|
userStates.domainName | string |
NetBIOS/Microsoft用户帐户的 Entra ID 域(即域\帐户格式)。 |
|
电子邮件角色
|
userStates.emailRole | string |
对于与电子邮件相关的警报 - 用户帐户电子邮件角色。 |
|
是 Vpn
|
userStates.isVpn | boolean |
指示用户是否通过 VPN 登录。 |
|
登录日期时间
|
userStates.logonDateTime | date-time |
登录发生的时间(UTC)。 |
|
登录 ID
|
userStates.logonId | string |
用户登录 ID。 |
|
登录 IP
|
userStates.logonIp | string |
从中组织登录请求的 IP 地址。 |
|
登录位置
|
userStates.logonLocation | string |
与此用户关联的与用户登录事件关联的位置(按 IP 地址映射)。 |
|
登录类型
|
userStates.logonType | string |
用户登录的方法。 可能的值包括:未知、交互式、remoteInteractive、网络、批处理、服务。 |
|
本地安全标识符
|
userStates.onPremisesSecurityIdentifier | string |
Microsoft用户的条目 ID(本地)安全标识符(SID)。 |
|
风险评分
|
userStates.riskScore | string |
用户帐户的提供程序生成/计算风险评分。 |
|
用户帐户类型
|
userStates.userAccountType | string |
每个 Windows 定义的用户帐户类型(组成员身份)。 可能的值包括:未知、标准、电源、管理员。 |
|
用户主体名称
|
userStates.userPrincipalName | string |
用户登录名称 - Internet 格式: <用户帐户名称>@<用户帐户 DNS 域名>。 |
|
漏洞状态
|
vulnerabilityStates | array of object |
与此警报相关的一个或多个漏洞的威胁情报。 |
|
Cve
|
vulnerabilityStates.cve | string |
漏洞的常见漏洞和暴露(CVE)。 |
|
正在运行
|
vulnerabilityStates.wasRunning | boolean |
指示检测到的漏洞(文件)是在检测时运行的,还是检测到磁盘上的静态文件。 |
|
Severity
|
vulnerabilityStates.severity | string |
此漏洞的基本常见漏洞评分系统(CVSS)严重性评分。 |
Subscription
返回的单个订阅实体
| 名称 | 路径 | 类型 | 说明 |
|---|---|---|---|
|
ID
|
id | string |
订阅的唯一标识符。 |
|
Resource
|
resource | string |
指定将监视更改的资源。 |
|
应用程序 ID
|
applicationId | string |
用于创建订阅的应用程序的标识符。 |
|
更改类型
|
changeType | string |
指示订阅资源中将引发通知的更改类型。 |
|
客户端状态
|
clientState | string |
指定服务在每个通知中发送的 clientState 属性的值。 最大长度为 128 个字符。 客户端可以通过比较与订阅发送的 clientState 属性的值以及每个通知收到的 clientState 属性的值来检查通知是否来自服务。 |
|
通知 URL
|
notificationUrl | string |
将接收通知的终结点的 URL。 此 URL 必须使用 HTTPS 协议。 |
|
到期日期时间
|
expirationDateTime | string |
指定 Webhook 订阅过期的日期和时间(UTC)。 |
|
创建者 ID
|
creatorId | string |
创建订阅的用户或服务主体的标识符。 如果应用使用委派权限创建订阅,此字段将包含代表应用调用的已登录用户的 ID。 如果应用使用了应用程序权限,则此字段包含与应用对应的服务主体的 ID。 |
TiIndicator
返回的单个 TiIndicator 实体
| 名称 | 路径 | 类型 | 说明 |
|---|---|---|---|
|
Action
|
action | string |
在 targetProduct 安全工具中匹配指示器时要应用的作。 值:(未知、允许、阻止、警报)。 |
|
活动组名称
|
activityGroupNames | array of string |
负责威胁指标涵盖的恶意活动的各方的网络威胁情报名称。 |
|
其他信息
|
additionalInformation | string |
可能会放置其他 tiIndicator 属性未涵盖的指示器的额外数据 |
|
Azure 租户 ID
|
azureTenantId | string |
提交客户端的 Microsoft Entra ID 租户 ID。 |
|
置信度
|
confidence | integer |
检测逻辑的置信度(介于 0-100 之间的百分比)。 |
|
Description
|
description | string |
TiIndicator 说明(100 个字符或更少)。 |
|
菱形模型
|
diamondModel | string |
存在此指示器的菱形模型区域。 值:(未知、对手、功能、基础结构、受害者)。 |
|
到期日期时间
|
expirationDateTime | date-time |
指示器过期的时间(UTC)。 |
|
外部 ID
|
externalId | string |
一个标识号,该标识号将指示器与指示器提供程序的系统(例如外键)联系在一起。 |
|
ID
|
id | string |
在引入指示器时由系统创建。 生成的 GUID/唯一标识符。 |
|
引入的日期时间
|
ingestedDateTime | date-time |
引入指示器的时间(UTC)。 |
|
处于活动状态
|
isActive | boolean |
默认情况下,提交的任何指示器都设置为活动状态。 但是,提供程序可能会提交将此设置设置为“False”的现有指示器,以停用系统中的指示器。 |
|
终止链
|
killChain | array of string |
描述终止链上此指示器所面向的点或点的字符串。 值:(行动、C2、交付、剥削、安装、侦察、武器化)。 |
|
已知误报
|
knownFalsePositives | string |
指示符可能导致误报的情况。 |
|
上次报告的日期时间
|
lastReportedDateTime | date-time |
上次看到指示器的时间(UTC)。 |
|
恶意软件系列名称
|
malwareFamilyNames | array of string |
与指示器关联的恶意软件系列名称(如果存在)。 |
|
仅限被动
|
passiveOnly | boolean |
确定指示器是否应触发对最终用户可见的事件。 |
|
Severity
|
severity | integer |
指标中数据标识的恶意行为的严重性。 值从 0 到 5,5 表示最严重。 默认值为 3。 |
|
标记
|
tags | array of string | |
|
目标产品
|
targetProduct | string |
应向其应用指示器的单一安全产品。 可接受的值为:Azure Sentinel、Microsoft Defender ATP。 |
|
威胁类型
|
threatType | string |
每个指示器必须具有有效的指示器威胁类型。 可能的值包括:Botnet、C2、CryptoMining、Darknet、DDoS、Malware、Malware、Phishing、Proxy、PUA、WatchList。 |
|
Tlp 级别
|
tlpLevel | string |
指示器的交通灯协议值。 可能的值为:未知、白色、绿色、琥珀色、红色。 |
|
电子邮件编码
|
emailEncoding | string |
电子邮件中使用的文本编码类型。 |
|
电子邮件语言
|
emailLanguage | string |
电子邮件的语言。 |
|
电子邮件收件人
|
emailRecipient | string |
收件人电子邮件地址。 |
|
电子邮件地址
|
emailSenderAddress | string |
攻击者|受害者的电子邮件地址。 |
|
电子邮件发件人名称
|
emailSenderName | string |
攻击者|受害者的显示名称。 |
|
电子邮件源域
|
emailSourceDomain | string |
电子邮件中使用的域。 |
|
电子邮件源 Ip 地址
|
emailSourceIpAddress | string |
电子邮件的源 IP 地址。 |
|
电子邮件主题
|
emailSubject | string |
电子邮件的主题行。 |
|
电子邮件 XMailer
|
emailXMailer | string |
电子邮件中使用的 X-Mailer 值。 |
|
文件编译日期时间
|
fileCompileDateTime | date-time |
编译文件时的 DateTime。 |
|
文件创建日期时间
|
fileCreatedDateTime | date-time |
创建文件时的 DateTime。 |
|
文件哈希类型
|
fileHashType | string |
存储在 fileHashValue 中的哈希类型。 可能的值包括:unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph。 |
|
文件哈希值
|
fileHashValue | string |
文件哈希值。 |
|
文件互斥体名称
|
fileMutexName | string |
基于文件的检测中使用的互斥体名称。 |
|
文件名
|
fileName | string |
如果指示器基于文件,则该文件的名称。 |
|
文件打包器
|
filePacker | string |
用于生成有问题的文件的包装器。 |
|
文件路径
|
filePath | string |
指示泄露的文件的路径。 可以是 Windows 或 *nix 样式路径。 |
|
文件大小
|
fileSize | integer |
文件的大小(以字节为单位)。 |
|
文件类型
|
fileType | string |
文件类型的文本说明。 例如,“Word 文档”或“Binary”。 |
|
域名
|
domainName | string |
与此指示器关联的域名。 |
|
网络 cidr 块
|
networkCidrBlock | string |
此指示器中引用的网络的 CIDR 块表示法表示形式。 |
|
网络目标 Asn
|
networkDestinationAsn | integer |
指示器中引用的网络的目标自治系统标识符。 |
|
网络目标 cidr 块
|
networkDestinationCidrBlock | string |
此指示器中目标网络的 CIDR 块表示法表示形式。 |
|
网络目标 IPv4
|
networkDestinationIPv4 | string |
IPv4 IP 地址目标。 |
|
网络目标 IPv6
|
networkDestinationIPv6 | string |
IPv6 IP 地址目标。 |
|
网络目标端口
|
networkDestinationPort | integer |
TCP 端口目标。 |
|
网络 IPv4
|
networkIPv4 | string |
IPv4 IP 地址。 |
|
网络 IPv6
|
networkIPv6 | string |
IPv6 IP 地址。 |
|
网络端口
|
networkPort | integer |
TCP 端口。 |
|
网络协议
|
networkProtocol | integer |
IPv4 标头中协议字段的十进制表示形式。 |
|
网络源 Asn
|
networkSourceAsn | integer |
指示器中引用的网络的源自治系统标识符。 |
|
网络源 cidr 块
|
networkSourceCidrBlock | string |
此指示器中源网络的 CIDR 块表示形式。 |
|
网络源 IPv4
|
networkSourceIPv4 | string |
IPv4 IP 地址源。 |
|
网络目标 IPv6
|
networkSourceIPv6 | string |
IPv6 IP 地址源。 |
|
网络源端口
|
networkSourcePort | integer |
TCP 端口源。 |
|
网址
|
url | string |
统一资源定位符。 |
|
用户代理
|
userAgent | string |
从可能表示泄露的 Web 请求 User-Agent 字符串。 |