你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Threat Intelligence Indicator - Query Indicators

根据筛选条件查询威胁情报指示器。

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/threatIntelligence/main/queryIndicators?api-version=2022-07-01-preview

URI 参数

Name In Required Type Description
resourceGroupName
path True
  • string

资源组的名称。 此名称不区分大小写。

subscriptionId
path True
  • string

目标订阅的 ID。

workspaceName
path True
  • string

工作区的名称。

api-version
query True
  • string

要用于此操作的 API 版本。

请求正文

Name Type Description
ids
  • string[]

威胁情报指标的 ID

includeDisabled
  • boolean

要包含/排除已禁用指示器的参数。

keywords
  • string[]

搜索威胁情报指示器的关键字

maxConfidence
  • integer

最大置信度。

maxValidUntil
  • string

ValidUntil 筛选器的结束时间。

minConfidence
  • integer

最小置信度。

minValidUntil
  • string

ValidUntil 筛选器的开始时间。

pageSize
  • integer

页面大小

patternTypes
  • string[]

模式类型

skipToken
  • string

跳过令牌。

sortBy

要排序依据的列和排序顺序

sources
  • string[]

威胁情报指标的来源

threatTypes
  • string[]

威胁情报指标的威胁类型

响应

Name Type Description
200 OK

确定

Other Status Codes

描述操作失败的原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 Flow

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name Description
user_impersonation 模拟用户帐户

示例

Query threat intelligence indicators as per filtering criteria

Sample Request

POST https://management.azure.com/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/threatIntelligence/main/queryIndicators?api-version=2022-07-01-preview

{
  "pageSize": 100,
  "minConfidence": 25,
  "maxConfidence": 80,
  "minValidUntil": "2021-04-05T17:44:00.114052Z",
  "maxValidUntil": "2021-04-25T17:44:00.114052Z",
  "sources": [
    "Azure Sentinel"
  ],
  "sortBy": [
    {
      "itemKey": "lastUpdatedTimeUtc",
      "sortOrder": "descending"
    }
  ]
}

Sample Response

{
  "value": [
    {
      "id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/ThreatIntelligence/27d963e6-e6e4-e0f9-e9d7-c53985b3bbe8",
      "name": "27d963e6-e6e4-e0f9-e9d7-c53985b3bbe8",
      "etag": "\"00002f2c-0000-0800-0000-5e976a8e0000\"",
      "type": "Microsoft.SecurityInsights/ThreatIntelligence",
      "kind": "indicator",
      "properties": {
        "confidence": 90,
        "created": "2021-04-15T20:11:57.9666134Z",
        "createdByRef": "contoso@contoso.com",
        "externalId": "indicator--8516d567-0daa-4614-8745-e3591e1b48cf",
        "externalReferences": [],
        "granularMarkings": [],
        "lastUpdatedTimeUtc": "2020-04-15T20:15:11.0746926Z",
        "revoked": false,
        "source": "Azure Sentinel",
        "threatIntelligenceTags": [
          "new schema"
        ],
        "displayName": "new schema 2",
        "description": "debugging indicators 2",
        "threatTypes": [
          "compromised"
        ],
        "killChainPhases": [],
        "pattern": "[url:value = 'https://www.contoso.com']",
        "patternType": "url",
        "validFrom": "2021-04-15T17:44:00.114052Z",
        "parsedPattern": [
          {
            "patternTypeKey": "network-traffic",
            "patternTypeValues": [
              {
                "valueType": "0",
                "value": "SSH-2.0-PuTTY_Release_0.64"
              },
              {
                "valueType": "1",
                "value": "194.88.106.146"
              }
            ]
          }
        ]
      }
    },
    {
      "id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/ThreatIntelligence/e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
      "name": "e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
      "etag": "\"00002a2c-0000-0800-0000-5e97683b0000\"",
      "type": "Microsoft.SecurityInsights/ThreatIntelligence",
      "kind": "indicator",
      "properties": {
        "confidence": 78,
        "created": "2021-04-15T19:51:17.1050923Z",
        "createdByRef": "contoso@contoso.com",
        "externalId": "indicator--73be1729-babb-4348-a6c4-94621cae2530",
        "externalReferences": [],
        "granularMarkings": [],
        "lastUpdatedTimeUtc": "2021-04-15T20:15:11.074903Z",
        "revoked": false,
        "source": "Azure Sentinel",
        "threatIntelligenceTags": [
          "patching tags"
        ],
        "displayName": "updated indicator",
        "description": "debugging indicators",
        "threatTypes": [
          "compromised"
        ],
        "killChainPhases": [],
        "pattern": "[url:value = 'https://www.contoso.com']",
        "patternType": "url",
        "validFrom": "2021-04-15T17:44:00.114052Z"
      }
    }
  ]
}

定义

CloudError

错误响应结构。

CloudErrorBody

错误详细信息。

createdByType

创建资源的标识的类型。

systemData

与创建和上次修改资源相关的元数据。

ThreatIntelligenceExternalReference

描述外部参考

ThreatIntelligenceFilteringCriteria

用于查询威胁情报指示器的筛选条件。

ThreatIntelligenceGranularMarkingModel

描述威胁粒度标记模型实体

ThreatIntelligenceIndicatorModel

威胁智能指示器实体。

ThreatIntelligenceInformationList

所有威胁情报信息对象的列表。

ThreatIntelligenceKillChainPhase

描述威胁终止链阶段实体

ThreatIntelligenceParsedPattern

描述分析的模式实体

ThreatIntelligenceParsedPatternTypeValue

描述威胁终止链阶段实体

ThreatIntelligenceSortingCriteria

用于排序的可用列列表

ThreatIntelligenceSortingCriteriaEnum

排序顺序 (升序/降序/未排序) 。

CloudError

错误响应结构。

Name Type Description
error

错误数据

CloudErrorBody

错误详细信息。

Name Type Description
code
  • string

错误的标识符。 代码是固定的,旨在以编程方式使用。

message
  • string

描述错误的消息,旨在适合在用户界面中显示。

createdByType

创建资源的标识的类型。

Name Type Description
Application
  • string
Key
  • string
ManagedIdentity
  • string
User
  • string

systemData

与创建和上次修改资源相关的元数据。

Name Type Description
createdAt
  • string

资源创建时间戳 (UTC) 。

createdBy
  • string

创建资源的标识。

createdByType

创建资源的标识的类型。

lastModifiedAt
  • string

资源上次修改的时间戳 (UTC)

lastModifiedBy
  • string

上次修改资源的标识。

lastModifiedByType

上次修改资源的标识的类型。

ThreatIntelligenceExternalReference

描述外部参考

Name Type Description
description
  • string

外部参考说明

externalId
  • string

外部引用 ID

hashes
  • object

外部引用哈希

sourceName
  • string

外部引用源名称

url
  • string

外部引用 URL

ThreatIntelligenceFilteringCriteria

用于查询威胁情报指示器的筛选条件。

Name Type Description
ids
  • string[]

威胁情报指标的 ID

includeDisabled
  • boolean

要包含/排除已禁用指示器的参数。

keywords
  • string[]

搜索威胁情报指示器的关键字

maxConfidence
  • integer

最大置信度。

maxValidUntil
  • string

ValidUntil 筛选器的结束时间。

minConfidence
  • integer

最小置信度。

minValidUntil
  • string

ValidUntil 筛选器的开始时间。

pageSize
  • integer

页面大小

patternTypes
  • string[]

模式类型

skipToken
  • string

跳过令牌。

sortBy

要排序依据的列和排序顺序

sources
  • string[]

威胁情报指标的来源

threatTypes
  • string[]

威胁情报指标的威胁类型

ThreatIntelligenceGranularMarkingModel

描述威胁粒度标记模型实体

Name Type Description
language
  • string

语言粒度标记模型

markingRef
  • integer

标记引用粒度标记模型

selectors
  • string[]

精细标记模型选择器

ThreatIntelligenceIndicatorModel

威胁智能指示器实体。

Name Type Description
etag
  • string

Azure 资源的 Etag

id
  • string

资源的完全限定的资源 ID。 Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:
  • indicator

实体的类型。

name
  • string

资源的名称

properties.additionalData
  • object

应属于实体的自定义字段的包,将向用户显示。

properties.confidence
  • integer

威胁情报实体的信心

properties.created
  • string

创建者

properties.createdByRef
  • string

由威胁情报实体引用创建

properties.defanged
  • boolean

威胁情报实体已解除处理

properties.description
  • string

威胁情报实体的说明

properties.displayName
  • string

威胁情报实体的显示名称

properties.extensions

扩展映射

properties.externalId
  • string

威胁情报实体的外部 ID

properties.externalLastUpdatedTimeUtc
  • string

UTC 中的外部上次更新时间

properties.externalReferences

外部引用

properties.friendlyName
  • string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.granularMarkings

精细标记

properties.indicatorTypes
  • string[]

威胁情报实体的指示器类型

properties.killChainPhases

终止链阶段

properties.labels
  • string[]

威胁智能实体的标签

properties.language
  • string

威胁智能实体的语言

properties.lastUpdatedTimeUtc
  • string

上次更新时间(UTC)

properties.modified
  • string

修改者

properties.objectMarkingRefs
  • string[]

威胁情报实体对象标记引用

properties.parsedPattern

已分析的模式

properties.pattern
  • string

威胁情报实体的模式

properties.patternType
  • string

威胁智能实体的模式类型

properties.patternVersion
  • string

威胁智能实体的模式版本

properties.revoked
  • boolean

威胁情报实体是否已撤销

properties.source
  • string

威胁情报实体的来源

properties.threatIntelligenceTags
  • string[]

标记列表

properties.threatTypes
  • string[]

威胁类型

properties.validFrom
  • string

有效发件人

properties.validUntil
  • string

有效期至

systemData

Azure 资源管理器包含 createdBy 和 modifiedBy 信息的元数据。

type
  • string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

ThreatIntelligenceInformationList

所有威胁情报信息对象的列表。

Name Type Description
nextLink
  • string

用于提取下一组信息对象的 URL。

value ThreatIntelligenceInformation[]:

威胁情报信息对象的数组。

ThreatIntelligenceKillChainPhase

描述威胁终止链阶段实体

Name Type Description
killChainName
  • string

Kill chainName 名称

phaseName
  • string

阶段名称

ThreatIntelligenceParsedPattern

描述分析的模式实体

Name Type Description
patternTypeKey
  • string

模式类型键

patternTypeValues

模式类型键

ThreatIntelligenceParsedPatternTypeValue

描述威胁终止链阶段实体

Name Type Description
value
  • string

已分析模式的值

valueType
  • string

值的类型

ThreatIntelligenceSortingCriteria

用于排序的可用列列表

Name Type Description
itemKey
  • string

列名

sortOrder

排序顺序 (升序/降序/未排序) 。

ThreatIntelligenceSortingCriteriaEnum

排序顺序 (升序/降序/未排序) 。

Name Type Description
ascending
  • string
descending
  • string
unsorted
  • string