你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Threat Intelligence Indicator - Replace Tags

替换添加到威胁智能指示器的标记。

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/threatIntelligence/main/indicators/{name}/replaceTags?api-version=2021-10-01

URI 参数

Name In Required Type Description
name
path True
  • string

威胁智能指示器名称字段。

resourceGroupName
path True
  • string

资源组的名称。 此名称不区分大小写。

subscriptionId
path True
  • string

目标订阅的 ID。

workspaceName
path True
  • string

工作区的名称。

api-version
query True
  • string

要用于此操作的 API 版本。

请求正文

Name Required Type Description
kind True string:
  • indicator

实体的类型。

etag
  • string

Azure 资源的 Etag

properties.confidence
  • integer

威胁情报实体的信心

properties.created
  • string

创建者

properties.createdByRef
  • string

由威胁情报实体引用创建

properties.defanged
  • boolean

威胁情报实体已解除处理

properties.description
  • string

威胁情报实体的说明

properties.displayName
  • string

威胁情报实体的显示名称

properties.extensions

扩展映射

properties.externalId
  • string

威胁情报实体的外部 ID

properties.externalLastUpdatedTimeUtc
  • string

UTC 中的外部上次更新时间

properties.externalReferences

外部引用

properties.granularMarkings

精细标记

properties.indicatorTypes
  • string[]

威胁情报实体的指示器类型

properties.killChainPhases

终止链阶段

properties.labels
  • string[]

威胁智能实体的标签

properties.language
  • string

威胁智能实体的语言

properties.lastUpdatedTimeUtc
  • string

上次更新时间(UTC)

properties.modified
  • string

修改者

properties.objectMarkingRefs
  • string[]

威胁情报实体对象标记引用

properties.parsedPattern

已分析的模式

properties.pattern
  • string

威胁情报实体的模式

properties.patternType
  • string

威胁智能实体的模式类型

properties.patternVersion
  • string

威胁智能实体的模式版本

properties.revoked
  • boolean

威胁情报实体是否已撤销

properties.source
  • string

威胁情报实体的来源

properties.threatIntelligenceTags
  • string[]

标记列表

properties.threatTypes
  • string[]

威胁类型

properties.validFrom
  • string

有效发件人

properties.validUntil
  • string

有效期至

响应

Name Type Description
200 OK ThreatIntelligenceInformation:

OK

Other Status Codes

描述操作未能替换标记的原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 Flow

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

Name Description
user_impersonation 模拟用户帐户

示例

Replace tags to a Threat Intelligence

Sample Request

POST https://management.azure.com/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/threatIntelligence/main/indicators/d9cd6f0b-96b9-3984-17cd-a779d1e15a93/replaceTags?api-version=2021-10-01

{
  "etag": "\"0000262c-0000-0800-0000-5e9767060000\"",
  "kind": "indicator",
  "properties": {
    "threatIntelligenceTags": [
      "patching tags"
    ]
  }
}

Sample Response

{
  "id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/ThreatIntelligence/e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
  "name": "e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
  "etag": "\"00002a2c-0000-0800-0000-5e97683b0000\"",
  "type": "Microsoft.SecurityInsights/ThreatIntelligence",
  "kind": "indicator",
  "properties": {
    "confidence": 78,
    "created": "2020-04-15T19:51:17.1050923Z",
    "createdByRef": "aztestConnectors@dataconnector.ccsctp.net",
    "externalId": "indicator--73be1729-babb-4348-a6c4-94621cae2530",
    "externalReferences": [],
    "granularMarkings": [],
    "lastUpdatedTimeUtc": "2020-04-15T19:56:08.828946Z",
    "revoked": false,
    "source": "Azure Sentinel",
    "threatIntelligenceTags": [
      "patching tags"
    ],
    "displayName": "updated indicator",
    "description": "debugging indicators",
    "threatTypes": [
      "compromised"
    ],
    "killChainPhases": [],
    "pattern": "[url:value = 'https://abc.com']",
    "patternType": "url",
    "validFrom": "2020-04-15T17:44:00.114052Z"
  }
}

定义

CloudError

错误响应结构。

CloudErrorBody

错误详细信息。

createdByType

创建资源的标识的类型。

systemData

与创建和上次修改资源相关的元数据。

ThreatIntelligenceExternalReference

描述外部参考

ThreatIntelligenceGranularMarkingModel

描述威胁粒度标记模型实体

ThreatIntelligenceIndicatorModel

威胁智能指示器实体。

ThreatIntelligenceKillChainPhase

描述威胁终止链阶段实体

ThreatIntelligenceParsedPattern

描述分析的模式实体

ThreatIntelligenceParsedPatternTypeValue

描述威胁终止链阶段实体

ThreatIntelligenceResourceInnerKind

威胁情报实体的类型

CloudError

错误响应结构。

Name Type Description
error

错误数据

CloudErrorBody

错误详细信息。

Name Type Description
code
  • string

错误的标识符。 代码是固定的,旨在以编程方式使用。

message
  • string

描述错误的消息,旨在适合在用户界面中显示。

createdByType

创建资源的标识的类型。

Name Type Description
Application
  • string
Key
  • string
ManagedIdentity
  • string
User
  • string

systemData

与创建和上次修改资源相关的元数据。

Name Type Description
createdAt
  • string

资源创建时间戳 (UTC) 。

createdBy
  • string

创建资源的标识。

createdByType

创建资源的标识的类型。

lastModifiedAt
  • string

资源上次修改的时间戳 (UTC)

lastModifiedBy
  • string

上次修改资源的标识。

lastModifiedByType

上次修改资源的标识的类型。

ThreatIntelligenceExternalReference

描述外部参考

Name Type Description
description
  • string

外部参考说明

externalId
  • string

外部引用 ID

hashes
  • object

外部引用哈希

sourceName
  • string

外部引用源名称

url
  • string

外部引用 URL

ThreatIntelligenceGranularMarkingModel

描述威胁粒度标记模型实体

Name Type Description
language
  • string

语言粒度标记模型

markingRef
  • integer

标记引用粒度标记模型

selectors
  • string[]

精细标记模型选择器

ThreatIntelligenceIndicatorModel

威胁智能指示器实体。

Name Type Description
etag
  • string

Azure 资源的 Etag

id
  • string

资源的完全限定的资源 ID。 Ex - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}

kind string:
  • indicator

实体的类型。

name
  • string

资源的名称

properties.additionalData
  • object

应属于实体的自定义字段的包,将向用户显示。

properties.confidence
  • integer

威胁情报实体的信心

properties.created
  • string

创建者

properties.createdByRef
  • string

由威胁情报实体引用创建

properties.defanged
  • boolean

威胁情报实体已解除处理

properties.description
  • string

威胁情报实体的说明

properties.displayName
  • string

威胁情报实体的显示名称

properties.extensions

扩展映射

properties.externalId
  • string

威胁情报实体的外部 ID

properties.externalLastUpdatedTimeUtc
  • string

UTC 中的外部上次更新时间

properties.externalReferences

外部引用

properties.friendlyName
  • string

图形项显示名称,它是图形项实例的简短可读说明。 此属性是可选的,可能是系统生成的。

properties.granularMarkings

精细标记

properties.indicatorTypes
  • string[]

威胁情报实体的指示器类型

properties.killChainPhases

终止链阶段

properties.labels
  • string[]

威胁智能实体的标签

properties.language
  • string

威胁智能实体的语言

properties.lastUpdatedTimeUtc
  • string

上次更新时间(UTC)

properties.modified
  • string

修改者

properties.objectMarkingRefs
  • string[]

威胁情报实体对象标记引用

properties.parsedPattern

已分析的模式

properties.pattern
  • string

威胁情报实体的模式

properties.patternType
  • string

威胁智能实体的模式类型

properties.patternVersion
  • string

威胁智能实体的模式版本

properties.revoked
  • boolean

威胁情报实体是否已撤销

properties.source
  • string

威胁情报实体的来源

properties.threatIntelligenceTags
  • string[]

标记列表

properties.threatTypes
  • string[]

威胁类型

properties.validFrom
  • string

有效发件人

properties.validUntil
  • string

有效期至

systemData

Azure 资源管理器包含 createdBy 和 modifiedBy 信息的元数据。

type
  • string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft”。存储/storageAccounts”

ThreatIntelligenceKillChainPhase

描述威胁终止链阶段实体

Name Type Description
killChainName
  • string

Kill chainName 名称

phaseName
  • string

阶段名称

ThreatIntelligenceParsedPattern

描述分析的模式实体

Name Type Description
patternTypeKey
  • string

模式类型键

patternTypeValues

模式类型键

ThreatIntelligenceParsedPatternTypeValue

描述威胁终止链阶段实体

Name Type Description
value
  • string

已分析模式的值

valueType
  • string

值的类型

ThreatIntelligenceResourceInnerKind

威胁情报实体的类型

Name Type Description
indicator
  • string

实体表示系统中的威胁情报指示器。