你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Threat Intelligence Indicator - Query Indicators
根据筛选条件查询威胁智能指示器。
POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/threatIntelligence/main/queryIndicators?api-version=2024-03-01
URI 参数
名称 | 在 | 必需 | 类型 | 说明 |
---|---|---|---|---|
resource
|
path | True |
string |
资源组的名称。 此名称不区分大小写。 |
subscription
|
path | True |
string |
目标订阅的 ID。 |
workspace
|
path | True |
string |
工作区的名称。 Regex pattern: |
api-version
|
query | True |
string |
要用于此操作的 API 版本。 |
请求正文
名称 | 类型 | 说明 |
---|---|---|
ids |
string[] |
威胁智能指示器的 ID |
includeDisabled |
boolean |
包含/排除禁用指示器的参数。 |
keywords |
string[] |
用于搜索威胁智能指示器的关键字 |
maxConfidence |
integer |
最大置信度。 |
maxValidUntil |
string |
ValidUntil 筛选器的结束时间。 |
minConfidence |
integer |
最小置信度。 |
minValidUntil |
string |
ValidUntil 筛选器的开始时间。 |
pageSize |
integer |
页面大小 |
patternTypes |
string[] |
模式类型 |
skipToken |
string |
跳过令牌。 |
sortBy |
排序依据和排序顺序的列 |
|
sources |
string[] |
威胁情报指标的来源 |
threatTypes |
string[] |
威胁智能指示器的威胁类型 |
响应
名称 | 类型 | 说明 |
---|---|---|
200 OK |
确定 |
|
Other Status Codes |
描述操作失败原因的错误响应。 |
安全性
azure_auth
Azure Active Directory OAuth2 流
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
名称 | 说明 |
---|---|
user_impersonation | 模拟用户帐户 |
示例
Query threat intelligence indicators as per filtering criteria
Sample Request
POST https://management.azure.com/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/threatIntelligence/main/queryIndicators?api-version=2024-03-01
{
"pageSize": 100,
"minConfidence": 25,
"maxConfidence": 80,
"minValidUntil": "2020-04-05T17:44:00.114052Z",
"maxValidUntil": "2020-04-25T17:44:00.114052Z",
"sources": [
"Azure Sentinel"
],
"sortBy": [
{
"itemKey": "lastUpdatedTimeUtc",
"sortOrder": "descending"
}
]
}
Sample Response
{
"value": [
{
"id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/ThreatIntelligence/27d963e6-e6e4-e0f9-e9d7-c53985b3bbe8",
"name": "27d963e6-e6e4-e0f9-e9d7-c53985b3bbe8",
"etag": "\"00002f2c-0000-0800-0000-5e976a8e0000\"",
"type": "Microsoft.SecurityInsights/ThreatIntelligence",
"kind": "indicator",
"properties": {
"confidence": 90,
"created": "2020-04-15T20:11:57.9666134Z",
"createdByRef": "contoso@contoso.com",
"externalId": "indicator--8516d567-0daa-4614-8745-e3591e1b48cf",
"externalReferences": [],
"granularMarkings": [],
"lastUpdatedTimeUtc": "2020-04-15T20:15:11.0746926Z",
"revoked": false,
"source": "Azure Sentinel",
"threatIntelligenceTags": [
"new schema"
],
"displayName": "new schema 2",
"description": "debugging indicators 2",
"threatTypes": [
"compromised"
],
"killChainPhases": [],
"pattern": "[url:value = 'https://www.contoso.com']",
"patternType": "url",
"validFrom": "2020-04-15T17:44:00.114052Z",
"parsedPattern": [
{
"patternTypeKey": "network-traffic",
"patternTypeValues": [
{
"valueType": "0",
"value": "SSH-2.0-PuTTY_Release_0.64"
},
{
"valueType": "1",
"value": "194.88.106.146"
}
]
}
]
}
},
{
"id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/ThreatIntelligence/e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
"name": "e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
"etag": "\"00002a2c-0000-0800-0000-5e97683b0000\"",
"type": "Microsoft.SecurityInsights/ThreatIntelligence",
"kind": "indicator",
"properties": {
"confidence": 78,
"created": "2020-04-15T19:51:17.1050923Z",
"createdByRef": "contoso@contoso.com",
"externalId": "indicator--73be1729-babb-4348-a6c4-94621cae2530",
"externalReferences": [],
"granularMarkings": [],
"lastUpdatedTimeUtc": "2020-04-15T20:15:11.074903Z",
"revoked": false,
"source": "Azure Sentinel",
"threatIntelligenceTags": [
"patching tags"
],
"displayName": "updated indicator",
"description": "debugging indicators",
"threatTypes": [
"compromised"
],
"killChainPhases": [],
"pattern": "[url:value = 'https://www.contoso.com']",
"patternType": "url",
"validFrom": "2020-04-15T17:44:00.114052Z"
}
}
]
}
定义
名称 | 说明 |
---|---|
Cloud |
错误响应结构。 |
Cloud |
错误详细信息。 |
created |
创建资源的标识类型。 |
system |
与资源的创建和上次修改相关的元数据。 |
Threat |
描述外部引用 |
Threat |
用于查询威胁情报指标的筛选条件。 |
Threat |
描述威胁粒度标记模型实体 |
Threat |
威胁智能指示器实体。 |
Threat |
所有威胁情报信息对象的列表。 |
Threat |
描述威胁终止链阶段实体 |
Threat |
描述分析的模式实体 |
Threat |
描述威胁终止链阶段实体 |
Threat |
威胁情报实体的类型 |
Threat |
用于排序的可用列列表 |
Threat |
排序顺序 (升序/降序/未排序) 。 |
CloudError
错误响应结构。
名称 | 类型 | 说明 |
---|---|---|
error |
错误数据 |
CloudErrorBody
错误详细信息。
名称 | 类型 | 说明 |
---|---|---|
code |
string |
错误的标识符。 代码是固定的,旨在以编程方式使用。 |
message |
string |
描述错误的消息,该消息适用于在用户界面中显示。 |
createdByType
创建资源的标识类型。
名称 | 类型 | 说明 |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
systemData
与资源的创建和上次修改相关的元数据。
名称 | 类型 | 说明 |
---|---|---|
createdAt |
string |
资源的创建时间戳 (UTC) 。 |
createdBy |
string |
创建资源的标识。 |
createdByType |
创建资源的标识类型。 |
|
lastModifiedAt |
string |
资源上次修改的时间戳 (UTC) |
lastModifiedBy |
string |
上次修改资源的标识。 |
lastModifiedByType |
上次修改资源的标识类型。 |
ThreatIntelligenceExternalReference
描述外部引用
名称 | 类型 | 说明 |
---|---|---|
description |
string |
外部引用说明 |
externalId |
string |
外部引用 ID |
hashes |
object |
外部引用哈希 |
sourceName |
string |
外部引用源名称 |
url |
string |
外部引用 URL |
ThreatIntelligenceFilteringCriteria
用于查询威胁情报指标的筛选条件。
名称 | 类型 | 说明 |
---|---|---|
ids |
string[] |
威胁智能指示器的 ID |
includeDisabled |
boolean |
包含/排除禁用指示器的参数。 |
keywords |
string[] |
用于搜索威胁智能指示器的关键字 |
maxConfidence |
integer |
最大置信度。 |
maxValidUntil |
string |
ValidUntil 筛选器的结束时间。 |
minConfidence |
integer |
最小置信度。 |
minValidUntil |
string |
ValidUntil 筛选器的开始时间。 |
pageSize |
integer |
页面大小 |
patternTypes |
string[] |
模式类型 |
skipToken |
string |
跳过令牌。 |
sortBy |
排序依据和排序顺序的列 |
|
sources |
string[] |
威胁情报指标的来源 |
threatTypes |
string[] |
威胁智能指示器的威胁类型 |
ThreatIntelligenceGranularMarkingModel
描述威胁粒度标记模型实体
名称 | 类型 | 说明 |
---|---|---|
language |
string |
语言粒度标记模型 |
markingRef |
integer |
标记引用粒度标记模型 |
selectors |
string[] |
粒度标记模型选择器 |
ThreatIntelligenceIndicatorModel
威胁智能指示器实体。
名称 | 类型 | 说明 |
---|---|---|
etag |
string |
Azure 资源的 Etag |
id |
string |
资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
indicator |
实体的类型。 |
name |
string |
资源的名称 |
properties.additionalData |
object |
一个自定义字段包,这些字段应是实体的一部分,并将呈现给用户。 |
properties.confidence |
integer |
威胁智能实体的置信度 |
properties.created |
string |
创建者 |
properties.createdByRef |
string |
通过威胁情报实体的引用创建 |
properties.defanged |
boolean |
威胁情报实体是否已解除管制 |
properties.description |
string |
威胁情报实体的说明 |
properties.displayName |
string |
威胁智能实体的显示名称 |
properties.extensions |
扩展映射 |
|
properties.externalId |
string |
威胁智能实体的外部 ID |
properties.externalLastUpdatedTimeUtc |
string |
UTC 的上次外部更新时间 |
properties.externalReferences |
外部引用 |
|
properties.friendlyName |
string |
图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。 |
properties.granularMarkings |
粒度标记 |
|
properties.indicatorTypes |
string[] |
威胁智能实体的指示器类型 |
properties.killChainPhases |
终止链阶段 |
|
properties.labels |
string[] |
威胁智能实体的标签 |
properties.language |
string |
威胁智能实体的语言 |
properties.lastUpdatedTimeUtc |
string |
上次更新时间(UTC) |
properties.modified |
string |
修改者 |
properties.objectMarkingRefs |
string[] |
威胁智能实体对象标记引用 |
properties.parsedPattern |
分析的模式 |
|
properties.pattern |
string |
威胁智能实体的模式 |
properties.patternType |
string |
威胁智能实体的模式类型 |
properties.patternVersion |
string |
威胁智能实体的模式版本 |
properties.revoked |
boolean |
威胁情报实体是否已撤销 |
properties.source |
string |
威胁情报实体的来源 |
properties.threatIntelligenceTags |
string[] |
标记列表 |
properties.threatTypes |
string[] |
威胁类型 |
properties.validFrom |
string |
有效期起始日期 |
properties.validUntil |
string |
有效期截止时间 |
systemData |
包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。 |
|
type |
string |
资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts” |
ThreatIntelligenceInformationList
所有威胁情报信息对象的列表。
名称 | 类型 | 说明 |
---|---|---|
nextLink |
string |
用于提取下一组信息对象的 URL。 |
value | ThreatIntelligenceInformation[]: |
威胁情报信息对象的数组。 |
ThreatIntelligenceKillChainPhase
描述威胁终止链阶段实体
名称 | 类型 | 说明 |
---|---|---|
killChainName |
string |
Kill chainName 名称 |
phaseName |
string |
阶段名称 |
ThreatIntelligenceParsedPattern
描述分析的模式实体
名称 | 类型 | 说明 |
---|---|---|
patternTypeKey |
string |
模式类型键 |
patternTypeValues |
模式类型键 |
ThreatIntelligenceParsedPatternTypeValue
描述威胁终止链阶段实体
名称 | 类型 | 说明 |
---|---|---|
value |
string |
已分析模式的值 |
valueType |
string |
值的类型 |
ThreatIntelligenceResourceInnerKind
威胁情报实体的类型
名称 | 类型 | 说明 |
---|---|---|
indicator |
string |
实体表示系统中的威胁智能指示器。 |
ThreatIntelligenceSortingCriteria
用于排序的可用列列表
名称 | 类型 | 说明 |
---|---|---|
itemKey |
string |
列名称 |
sortOrder |
排序顺序 (升序/降序/未排序) 。 |
ThreatIntelligenceSortingOrder
排序顺序 (升序/降序/未排序) 。
名称 | 类型 | 说明 |
---|---|---|
ascending |
string |
|
descending |
string |
|
unsorted |
string |