tiIndicator-RessourcentyptiIndicator resource type

Wichtig

APIs unter der /beta Version in Microsoft Graph können Änderungen unterworfen werden.APIs under the /beta version in Microsoft Graph are subject to change. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt.Use of these APIs in production applications is not supported.

Indikatoren für die Bedrohungs Intelligenz (TI) stellen Daten dar, die zum Identifizieren bösartiger Aktivitäten verwendet werden.Threat intelligence (TI) indicators represent data used to identify malicious activities. Wenn Ihre Organisation mit Bedrohungs Indikatoren arbeitet, entweder durch das Generieren ihrer eigenen, das Abrufen von Open-Source-Feeds, die Freigabe mit Partnerorganisationen oder-Communities oder durch den Erwerb von Datenfeeds, sollten Sie diese Indikatoren in verschiedenen Sicherheitseinstellungen verwenden. Tools für die Übereinstimmung mit Protokolldaten.If your organization works with threat indicators, either by generating your own, obtaining them from open source feeds, sharing with partner organizations or communities, or by purchasing feeds of data, you might want to use these indicators in various security tools for matching with log data. Die Microsoft Graph-Sicherheits-API- tiIndicators -Entität ermöglicht es Ihnen, ihre Bedrohungs Indikatoren für die Aktionen von allow, Block oder Alert in Microsoft-Sicherheitstools hochzuladen.The Microsoft Graph Security API tiIndicators entity allows you to upload your threat indicators to Microsoft security tools for the actions of allow, block, or alert.

Bedrohungs Indikatoren, die über tiIndicators hochgeladen werden, werden in Verbindung mit Microsoft Threat Intelligence verwendet, um eine angepasste Sicherheitslösung für Ihre Organisation bereitzustellen.Threat indicators uploaded via tiIndicators will be used in conjunction with Microsoft threat intelligence to provide a customized security solution for your organization. Bei Verwendung der tiIndicators -Entität Geben Sie die Microsoft-Sicherheitslösung an, für die Sie die Indikatoren über die targetProduct -Eigenschaft verwenden möchten, und geben die Aktion (zulassen, blockieren oder Warnung) an, für die die Sicherheitslösung verwendet werden soll. wenden Sie die Indikatoren über die Action -Eigenschaft an.When using the tiIndicators entity, you specify the Microsoft security solution you want to utilize the indicators for via the targetProduct property and you specify the action (allow, block, or alert) to which the security solution should apply the indicators via the action property.

MethodenMethods

MethodeMethod RückgabetypReturn Type BeschreibungDescription
Get tiIndicatorGet tiIndicator tiIndicatortiIndicator Lesen von Eigenschaften und Beziehungen des tiIndicator-Objekts.Read properties and relationships of tiIndicator object.
Create tiIndicatorCreate tiIndicator tiIndicatortiIndicator Erstellen Sie eine neue tiIndicator durch Veröffentlichung in der tiIndicators-Auflistung.Create a new tiIndicator by posting to the tiIndicators collection.
List tiIndicatorsList tiIndicators tiIndicator -SammlungtiIndicator collection Rufen Sie eine tiIndicator-Objektsammlung ab.Get a tiIndicator object collection.
UpdateUpdate tiIndicatortiIndicator Aktualisieren des tiIndicator-Objekts.Update tiIndicator object.
DeleteDelete KeineNone DELETE tiIndicator-Objekt.Delete tiIndicator object.
deleteTiIndicatorsdeleteTiIndicators KeineNone Löscht mehrere tiIndicator-Objekte.Delete multiple tiIndicator objects.
deleteTiIndicatorsByExternalIddeleteTiIndicatorsByExternalId KeineNone Löschen Sie mehrere tiIndicator-Objekte externalId durch die-Eigenschaft.Delete multiple tiIndicator objects by the externalId property.
submitTiIndicatorssubmitTiIndicators tiIndicator -SammlungtiIndicator collection Erstellen Sie neue tiIndicators durch Veröffentlichen einer tiIndicators-Auflistung.Create new tiIndicators by posting a tiIndicators collection.
updateTiIndicatorsupdateTiIndicators tiIndicator -SammlungtiIndicator collection Aktualisieren mehrerer tiIndicator-Objekte.Update multiple tiIndicator objects.

EigenschaftenProperties

EigenschaftProperty TypType BeschreibungDescription
Aktionaction stringstring Die Aktion, die angewendet werden soll, wenn das Kennzeichen innerhalb des targetProduct-Sicherheitstools abgeglichen wird.The action to apply if the indicator is matched from within the targetProduct security tool. Mögliche Werte: unknown, allow, block, alert.Possible values are: unknown, allow, block, alert. ErforderlichRequired.
activityGroupNamesactivityGroupNames String collectionString collection Die Cyber Threat Intelligence-Namen für die Parteien, die für die böswilligen Aktivitäten zuständig sind, die vom Bedrohungs Indikator erfasst werden.The cyber threat intelligence name(s) for the parties responsible for the malicious activity covered by the threat indicator.
ZusatzinformationenadditionalInformation StringString Ein CatchAll-Bereich, in den zusätzliche Daten aus dem Indikator, die nicht von den anderen tiIndicator-Eigenschaften abgedeckt werden, möglicherweise eingefügt werden können.A catchall area into which extra data from the indicator not covered by the other tiIndicator properties may be placed. Daten, die in Zusatzinformationen gespeichert werden, werden normalerweise nicht vom targetProduct-Sicherheitstool verwendet.Data placed into additionalInformation will typically not be utilized by the targetProduct security tool.
azureTenantIdazureTenantId StringString Wird vom System gestempelt, wenn das Symbol aufgenommen wird.Stamped by the system when the indicator is ingested. Die Azure Active Directory Mandanten-ID des übermittelnden Clients.The Azure Active Directory tenant id of submitting client. ErforderlichRequired.
confidenceconfidence Int32Int32 Eine ganze Zahl, die das Vertrauen angibt, das die Daten innerhalb des Indikators das böswillige Verhalten genau erkennen.An integer representing the confidence the data within the indicator accurately identifies malicious behavior. Zulässige Werte sind 0 – 100, wobei 100 die höchste ist.Acceptable values are 0 – 100 with 100 being the highest.
descriptiondescription ZeichenfolgeString Kurze Beschreibung (100 Zeichen oder kleiner) der Bedrohung, die durch das Symbol dargestellt wird.Brief description (100 characters or less) of the threat represented by the indicator. ErforderlichRequired.
diamondModeldiamondModel diamondModeldiamondModel Der Bereich des Diamant Modells, in dem dieses Symbol vorhanden ist.The area of the Diamond Model in which this indicator exists. Mögliche Werte: unknown, adversary, capability, infrastructure, victim.Possible values are: unknown, adversary, capability, infrastructure, victim.
expirationDateTimeexpirationDateTime DateTimeOffsetDateTimeOffset DateTime-Zeichenfolge, die angibt, wann der Indikator abläuft.DateTime string indicating when the Indicator expires. Alle Indikatoren müssen ein Ablaufdatum aufweisen, damit veraltete Indikatoren im System dauerhaft bleiben.All indicators must have an expiration date to avoid stale indicators persisting in the system. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben.The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. Mitternacht UTC-Zeit am 1. Januar 2014 würde z. B. wie folgt aussehen: '2014-01-01T00:00:00Z'.For example, midnight UTC on Jan 1, 2014 would look like this: '2014-01-01T00:00:00Z'. ErforderlichRequired.
externalIdexternalId StringString Eine Identifikationsnummer, die den Indikator zurück an das System des Indikator Anbieters bindet (beispielsweise einen Fremdschlüssel).An identification number that ties the indicator back to the indicator provider’s system (e.g. a foreign key).
idid ZeichenfolgeString Erstellt vom System, wenn das Symbol aufgenommen wird.Created by the system when the indicator is ingested. Generierter GUID/eindeutiger Bezeichner.Generated GUID/unique identifier. Schreibgeschützt.Read-only.
ingestedDateTimeingestedDateTime DateTimeOffsetDateTimeOffset Wird vom System gestempelt, wenn das Symbol aufgenommen wird.Stamped by the system when the indicator is ingested. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben.The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. Mitternacht UTC-Zeit am 1. Januar 2014 würde z. B. wie folgt aussehen: '2014-01-01T00:00:00Z'For example, midnight UTC on Jan 1, 2014 would look like this: '2014-01-01T00:00:00Z'
isActiveisActive BooleschBoolean Wird verwendet, um Indikatoren im System zu deaktivieren.Used to deactivate indicators within system. Standardmäßig ist jeder übermittelte Indikator als aktiv festgelegt.By default, any indicator submitted is set as active. Anbieter können jedoch vorhandene Indikatoren mit dieser Einstellung auf "false" übermitteln, um die Indikatoren im System zu deaktivieren.However, providers may submit existing indicators with this set to ‘False’ to deactivate indicators in the system.
killChainkillChain killChain -SammlungkillChain collection Ein JSON-Array mit Zeichenfolgen, das den Punkt oder die Punkte auf der Kill-Kette dieses Indikators beschreibt.A JSON array of strings that describes which point or points on the Kill Chain this indicator targets. Genaue Werte finden Sie unten unter "killChain values".See ‘killChain values’ below for exact values.
knownFalsePositivesknownFalsePositives StringString Szenarien, in denen das Symbol zu falsch positiven Ergebnissen führen kann.Scenarios in which the indicator may cause false positives. Dies sollte für den Menschen lesbaren Text sein.This should be human-readable text.
lastReportedDateTimelastReportedDateTime DateTimeOffsetDateTimeOffset Der Zeitpunkt, zu dem der Indikator zuletzt angezeigt wurde.The last time the indicator was seen. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben.The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. Mitternacht UTC-Zeit am 1. Januar 2014 würde z. B. wie folgt aussehen: '2014-01-01T00:00:00Z'For example, midnight UTC on Jan 1, 2014 would look like this: '2014-01-01T00:00:00Z'
malwareFamilyNamesmalwareFamilyNames String collectionString collection Der Name der Schadsoftware-Familie, der einem Indikator zugeordnet ist, falls vorhanden.The malware family name associated with an indicator if it exists. Microsoft bevorzugt den Microsoft-Malware-Familiennamen, wenn möglich, der über die Sicherheits-Enzyklopädie "Windows Defender Security Intelligence Threat" gefunden werden kann.Microsoft prefers the Microsoft malware family name if at all possible which can be found via the Windows Defender Security Intelligence threat encyclopedia.
passiveOnlypassiveOnly BooleschBoolean Bestimmt, ob der Indikator ein Ereignis auslösen soll, das für einen Endbenutzer sichtbar ist.Determines if the indicator should trigger an event that is visible to an end-user. Bei Festlegung auf "true" wird der Endbenutzer von den Sicherheitstools nicht benachrichtigt, dass ein "Hit" aufgetreten ist.When set to ‘true,’ security tools will not notify the end user that a ‘hit’ has occurred. Dies wird häufig als Überwachungs-oder Unbeaufsichtigter Modus durch Sicherheitsprodukte behandelt, bei denen Sie einfach protokollieren, dass eine Übereinstimmung aufgetreten ist, die Aktion jedoch nicht ausgeführt wird.This is most often treated as audit or silent mode by security products where they will simply log that a match occurred but will not perform the action. Standardwert ist "false".Default value is false.
Schweregradseverity Int32Int32 Eine ganze Zahl, die den Schweregrad des böswilligen Verhaltens darstellt, das durch die Daten innerhalb des Indikators identifiziert wird.An integer representing the severity of the malicious behavior identified by the data within the indicator. Zulässige Werte sind 0 – 5, wobei 5 die schwerste ist und NULL nicht schwerwiegend ist.Acceptable values are 0 – 5 where 5 is the most severe and zero is not severe at all. Der Standardwert ist 3.Default value is 3.
tagstags ZeichenfolgenauflistungString collection Ein JSON-Array mit Zeichenfolgen, in dem beliebige Tags/Stichwörter gespeichert werden.A JSON array of strings that stores arbitrary tags/keywords.
targetProducttargetProduct StringString Ein String-Wert, der ein einzelnes Sicherheitsprodukt darstellt, auf das das Indikator angewendet werden soll.A string value representing a single security product to which the indicator should be applied. Zulässige Werte sind: Azure Sentinel.Acceptable values are: Azure Sentinel. RequiredRequired
threattypethreatType threattypethreatType Jeder Indikator muss einen gültigen Indikator Threat-Typ aufweisen.Each indicator must have a valid Indicator Threat Type. Mögliche Werte: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList.Possible values are: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList. ErforderlichRequired.
tlpLeveltlpLevel tlpLeveltlpLevel Ampel Protokollwert für den Indikator.Traffic Light Protocol value for the indicator. Mögliche Werte: unknown, white, green, amber, red.Possible values are: unknown, white, green, amber, red. ErforderlichRequired.

Indikator beobachtbare-e-MailIndicator Observables - Email

EigenschaftProperty TypType BeschreibungDescription
emailEncodingemailEncoding StringString Der Typ der in der e-Mail verwendeten Textcodierung.The type of text encoding used in the email.
emailLanguageemailLanguage StringString Die Sprache der e-Mail.The language of the email.
emailRecipientemailRecipient StringString E-Mail-Adresse des Empfängers.Recipient email address.
emailSenderAddressemailSenderAddress StringString E-Mail-Adresse des Angreifers|Opfers.Email address of the attacker|victim.
emailSenderNameemailSenderName StringString Angezeigter Name des Angreifers|Opfers.Displayed name of the attacker|victim.
emailSourceDomainemailSourceDomain StringString In der e-Mail verwendete Domäne.Domain used in the email.
emailSourceIpAddressemailSourceIpAddress StringString Quell-IP-Adresse der e-Mail.Source IP address of email.
EmailSubjectemailSubject StringString Betreffzeile der e-Mail.Subject line of email.
emailXMaileremailXMailer StringString In der e-Mail verwendeter X-Mailer-Wert.X-Mailer value used in the email.

Indikator beobachtbare-DateiIndicator Observables - File

EigenschaftProperty TypType BeschreibungDescription
fileCompileDateTimefileCompileDateTime DateTimeOffsetDateTimeOffset DateTime, als die Datei kompiliert wurde.DateTime when the file was compiled. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben.The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. Mitternacht UTC-Zeit am 1. Januar 2014 würde z. B. wie folgt aussehen: '2014-01-01T00:00:00Z'For example, midnight UTC on Jan 1, 2014 would look like this: '2014-01-01T00:00:00Z'
fileCreatedDateTimefileCreatedDateTime DateTimeOffsetDateTimeOffset DateTime beim Erstellen der Datei. Der timestamp-Typ stellt Datums-und Uhrzeitinformationen im Format ISO 8601 dar und ist immer in UTC-Zeit.DateTime when the file was created.The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. Mitternacht UTC-Zeit am 1. Januar 2014 würde z. B. wie folgt aussehen: '2014-01-01T00:00:00Z'For example, midnight UTC on Jan 1, 2014 would look like this: '2014-01-01T00:00:00Z'
fileHashTypefileHashType stringstring Der Typ des in filehashvalue gespeicherten Hashs.The type of hash stored in fileHashValue. Mögliche Werte: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph.Possible values are: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph.
filehashvaluefileHashValue StringString Der Datei Hash Wert.The file hash value.
filemutexnamefileMutexName StringString In dateibasierten Erkennungen verwendeter Mutex-Name.Mutex name used in file-based detections.
fileNamefileName StringString Der Name der Datei, wenn das Symboldatei basiert ist.Name of the file if the indicator is file-based. Mehrere Dateinamen können durch Kommas getrennt werden.Multiple file names may be delimited by commas.
FilePackerfilePacker StringString Der Packer, der zum Erstellen der fraglichen Datei verwendet wurde.The packer used to build the file in question.
FilePathfilePath StringString Pfad der Datei, der den Kompromiss angibt.Path of file indicating compromise. Möglicherweise handelt es sich um einen Windows-oder * nix-Formatvorlagen Pfad.May be a Windows or *nix style path.
FilesizefileSize Int64Int64 Größe der Datei in Bytes.Size of the file in bytes.
fileTypefileType StringString Text Beschreibung des Datei Typs.Text description of the type of file. Beispiel: "Word-Dokument" oder "Binary".For example, “Word Document” or “Binary”.

Indikator beobachtbares-NetzwerkIndicator Observables - Network

EigenschaftProperty TypType BeschreibungDescription
DomännamedomainName ZeichenfolgeString Der diesem Indikator zugeordnete Domänenname.Domain name associated with this indicator. Sollte das Format Subdomain. Domain. TopLevelDomain (beispielsweise baddomain.Domain.net) haben.Should be of the format subdomain.domain.topleveldomain (For example, baddomain.domain.net)
networkCidrBlocknetworkCidrBlock StringString CIDR-Block Notations Darstellung des in diesem Indikator referenzierten Netzwerks.CIDR Block notation representation of the network referenced in this indicator. Nur verwenden, wenn die Quelle und das Ziel nicht identifiziert werden können.Use only if the Source and Destination cannot be identified.
networkDestinationAsnnetworkDestinationAsn Int32Int32 Der autonome Zielsystem Bezeichner des Netzwerks, auf das im Indikator verwiesen wird.The destination autonomous system identifier of the network referenced in the indicator.
networkDestinationCidrBlocknetworkDestinationCidrBlock StringString CIDR-Block Notations Darstellung des Zielnetzwerks in diesem Indikator.CIDR Block notation representation of the destination network in this indicator.
networkDestinationIPv4networkDestinationIPv4 StringString IPv4-IP-Adress Ziel.IPv4 IP address destination.
networkDestinationIPv6networkDestinationIPv6 StringString IPv6-IP-Adress Ziel.IPv6 IP address destination.
networkDestinationPortnetworkDestinationPort Int32Int32 TCP-Port Ziel.TCP port destination.
networkIPv4networkIPv4 StringString IPv4-IP-Adresse.IPv4 IP address. Nur verwenden, wenn die Quelle und das Ziel nicht identifiziert werden können.Use only if the Source and Destination cannot be identified.
networkIPv6networkIPv6 StringString IPv6-IP-Adresse.IPv6 IP address. Nur verwenden, wenn die Quelle und das Ziel nicht identifiziert werden können.Use only if the Source and Destination cannot be identified.
networkPortnetworkPort Int32Int32 TCP-Port.TCP port. Nur verwenden, wenn die Quelle und das Ziel nicht identifiziert werden können.Use only if the Source and Destination cannot be identified.
networkProtocolnetworkProtocol Int32Int32 Dezimaldarstellung des Protokoll Felds im IPv4-Header.Decimal representation of the protocol field in the IPv4 header.
networkSourceAsnnetworkSourceAsn Int32Int32 Die Quelle des autonomen Systembezeichners des Netzwerks, auf das im Indikator verwiesen wird.The source autonomous system identifier of the network referenced in the indicator.
networkSourceCidrBlocknetworkSourceCidrBlock StringString CIDR-Block Notations Darstellung des Quellnetzwerks in diesem IndikatorCIDR Block notation representation of the source network in this indicator
networkSourceIPv4networkSourceIPv4 StringString IPv4-IP-Adressquelle.IPv4 IP Address source.
networkSourceIPv6networkSourceIPv6 StringString IPv6-IP-Adressquelle.IPv6 IP Address source.
networkSourcePortnetworkSourcePort Int32Int32 TCP-Port Quelle.TCP port source.
urlurl StringString Uniform Resource Locator.Uniform Resource Locator. Diese URL muss RFC 1738 entsprechen.This URL must comply with RFC 1738.
UserAgentuserAgent StringString Benutzer-Agent-Zeichenfolge aus einer Webanforderung, die auf eine Gefährdung hindeuten könnte.User-Agent string from a web request that could indicate compromise.

diamondModel-WertediamondModel values

Informationen zu diesem Modell finden Sie unter Diamond Model.For information about this model, see The Diamond Model.

ElementMember WertValue BeschreibungDescription
unknownunknown 00
Gegneradversary 11 Der Indikator beschreibt den Gegner.The indicator describes the adversary.
Fähigkeitcapability 22 Indikator ist eine Funktion des Gegners.Indicator is a capability of the adversary.
Infrastrukturinfrastructure 33 Der Indikator beschreibt die Infrastruktur des Gegners.The indicator describes infrastructure of the adversary.
Opfervictim 44 Das Symbol beschreibt das Opfer des Gegners.The indicator describes the victim of the adversary.
Enumerationsmember unknownfuturevalue "unknownFutureValue 127127

killChain-WertekillChain values

MemberMember BeschreibungDescription
AktionenActions Indcates, dass der Angreifer das kompromittierte System nutzt, um Aktionen wie einen verteilten Denial-of-Service-Angriff durchzuführen.Indcates that the attacker is leveraging the compromised system to take actions such as a distributed denial of service attack.
C2 befindetC2 Stellt den Steuerelement Kanal dar, mit dem ein kompromittiertes System manipuliert wird.Represents the control channel by which a compromised system is manipulated.
ÜbermittlungDelivery Der Prozess der Verteilung des Exploit-Codes an die Opfer (beispielsweise USB, e-Mail, Websites).The process of distributing the exploit code to victims (for example USB, email, websites).
AusbeutungExploitation Der Exploitcode unter Nutzung von Sicherheitsanfälligkeiten (beispielsweise Codeausführung).The exploit code taking advantage of vulnerabilities (for example, code execution).
InstallationInstallation Installieren von Schadsoftware nach Ausnutzung einer Sicherheitsanfälligkeit.Installing malware after a vulnerability has been exploited.
AufklärungsReconnaissance Indikator ist ein Beweis für eine Aktivitätsgruppe, die Informationen sammelt, die bei einem zukünftigen Angriff verwendet werden sollen.Indicator is evidence of an activity group harvesting information to be used in a future attack.
StationierungWeaponization Deaktivieren einer Sicherheitsanfälligkeit in Exploitcode (beispielsweise Schadsoftware).Turning a vulnerability into exploit code (for example, malware).

threattype-WertethreatType values

MemberMember BeschreibungDescription
BotnetBotnet Kennzeichen ist ein Botnet-Knoten/-Mitglied detailliert.Indicator is detailing a botnet node/member.
C2 befindetC2 Ein Indikator enthält eine Beschreibung eines Befehls #a0 Steuerelementknoten eines Botnets.Indicator is detailing a Command & Control node of a botnet.
CryptoMiningCryptoMining Datenverkehr mit dieser Netzwerkadresse/-URL ist ein Indiz für CyrptoMining/Ressourcen Missbrauch.Traffic involving this network address / URL is an indication of CyrptoMining / Resource abuse.
DarknetDarknet Indikator ist der eines Darknet-Knotens/Netzwerks.Indicator is that of a Darknet node/network.
DDoSDDoS Indikatoren für eine aktive oder bevorstehende DDoS-Kampagne.Indicators relating to an active or upcoming DDoS campaign.
MaliciousUrlMaliciousUrl URL, die Schadsoftware bedient.URL that is serving malware.
SchadsoftwareMalware Indikator, der eine bösartige Datei oder Dateien beschreibt.Indicator describing a malicious file or files.
Phishing-E-MailPhishing Indikatoren im Zusammenhang mit einer Phishing-Kampagne.Indicators relating to a phishing campaign.
ProxyProxy Indikator ist der eines Proxy Diensts.Indicator is that of a proxy service.
PuaPUA Potenziell unerwünschte Anwendung.Potentially Unwanted Application.
WatchlistWatchList Dies ist der generische Bucket, in dem Indikatoren positioniert werden, wenn nicht genau ermittelt werden kann, was die Bedrohung ist oder eine manuelle Interpretation erfordert.This is the generic bucket into which indicators are placed when it cannot be determined exactly what the threat is or will require manual interpretation. Dies sollte in der Regel nicht von Partnern verwendet werden, die Daten in das System übermitteln.This should typically not be used by partners submitting data into the system.

tlpLevel-WertetlpLevel values

Jeder Indikator muss auch über einen Ampel Protokollwert verfügen, wenn er übermittelt wird.Every indicator must also have a Traffic Light Protocol value when it is submitted. Dieser Wert stellt die Vertraulichkeit und den freigabebereich eines bestimmten Indikators dar.This value represents the sensitivity and sharing scope of a given indicator.

MemberMember BeschreibungDescription
WeißWhite Freigabebereich: unbegrenzt.Sharing scope: Unlimited. Indikatoren können frei freigegeben werden, ohne Einschränkung.Indicators can be shared freely, without restriction.
GrünGreen Freigabebereich: Community.Sharing scope: Community. Indikatoren können für die Sicherheitscommunity freigegeben werden.Indicators may be shared with the security community.
BernsteinAmber Freigabebereich: Limited.Sharing scope: Limited. Dies ist die Standardeinstellung für Indikatoren und schränkt die Freigabe auf nur diejenigen ein, die über einen "need-to-Know"-Dienst und Dienst Operatoren verfügen, die Threat Intelligence 2 implementieren) Kunden, deren System (en) das Verhalten in Übereinstimmung mit dem Indikator zeigen.This is the default setting for indicators and restricts sharing to only those with a ‘need-to-know’ being 1) Services and service operators that implement threat intelligence 2) Customers whose system(s) exhibit behavior consistent with the indicator.
RotRed Freigabebereich: persönlich.Sharing scope: Personal. Diese Indikatoren werden nur direkt und vorzugsweise persönlich freigegeben.These indicators are to only be shared directly and, preferably, in person. Normalerweise werden TLP Red-Indikatoren aufgrund ihrer vordefinierten Einschränkungen nicht aufgenommen.Typically, TLP Red indicators are not ingested due to their pre-defined restrictions. Wenn TLP Red-Indikatoren übermittelt werden, sollte die "PassiveOnly"- True Eigenschaft ebenfalls auf festgelegt werden.If TLP Red indicators are submitted, the “PassiveOnly” property should be set to True as well.

BeziehungenRelationships

Keine.None.

JSON-DarstellungJSON representation

Es folgt eine JSON-Darstellung der Ressource.The following is a JSON representation of the resource.

{
  "action": "string",
  "activityGroupNames": ["String"],
  "additionalInformation": "String",
  "azureTenantId": "String",
  "confidence": 1024,
  "description": "String",
  "diamondModel": "string",
  "domainName": "String",
  "emailEncoding": "String",
  "emailLanguage": "String",
  "emailRecipient": "String",
  "emailSenderAddress": "String",
  "emailSenderName": "String",
  "emailSourceDomain": "String",
  "emailSourceIpAddress": "String",
  "emailSubject": "String",
  "emailXMailer": "String",
  "expirationDateTime": "String (timestamp)",
  "externalId": "String",
  "fileCompileDateTime": "String (timestamp)",
  "fileCreatedDateTime": "String (timestamp)",
  "fileHashType": "string",
  "fileHashValue": "String",
  "fileMutexName": "String",
  "fileName": "String",
  "filePacker": "String",
  "filePath": "String",
  "fileSize": 1024,
  "fileType": "String",
  "id": "String (identifier)",
  "ingestedDateTime": "String (timestamp)",
  "isActive": true,
  "killChain": ["String"],
  "knownFalsePositives": "String",
  "lastReportedDateTime": "String (timestamp)",
  "malwareFamilyNames": ["String"],
  "networkCidrBlock": "String",
  "networkDestinationAsn": 1024,
  "networkDestinationCidrBlock": "String",
  "networkDestinationIPv4": "String",
  "networkDestinationIPv6": "String",
  "networkDestinationPort": 1024,
  "networkIPv4": "String",
  "networkIPv6": "String",
  "networkPort": 1024,
  "networkProtocol": 1024,
  "networkSourceAsn": 1024,
  "networkSourceCidrBlock": "String",
  "networkSourceIPv4": "String",
  "networkSourceIPv6": "String",
  "networkSourcePort": 1024,
  "passiveOnly": true,
  "severity": 1024,
  "tags": ["String"],
  "targetProduct": "String",
  "threatType": "String",
  "tlpLevel": "string",
  "url": "String",
  "userAgent": "String"
}