tiIndicator-Ressourcentyp
Namespace: microsoft.graph
Wichtig
APIs unter der /beta Version in Microsoft Graph können geändert werden. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in Version 1.0 verfügbar ist, verwenden Sie die Versionsauswahl .
Ti-Indikatoren (Threat Intelligence) stellen Daten dar, die zur Identifizierung bösartiger Aktivitäten verwendet werden. Wenn Ihre Organisation mit Bedrohungsindikatoren arbeitet, indem sie entweder Eigene generiert, sie aus Open Source-Feeds erhält, mit Partnerorganisationen oder Communitys teilt oder Feeds von Daten erwirbt, sollten Sie diese Indikatoren in verschiedenen Sicherheitstools für den Abgleich mit Protokolldaten verwenden. Die Microsoft Graph Security API tiIndicators-Entität ermöglicht es Ihnen, Ihre Bedrohungsindikatoren in Microsoft-Sicherheitstools hochzuladen, um Aktionen wie Zulassen, Blockieren oder Warnen auszuführen.
Über tiIndicators hochgeladene Bedrohungsindikatoren werden zusammen mit Microsoft Threat Intelligence verwendet, um eine angepasste Sicherheitslösung für Ihre Organisation bereitzustellen. Wenn Sie die tiIndicators-Entität verwenden, geben Sie die Microsoft-Sicherheitslösung an, für die Sie die Indikatoren über die targetProduct-Eigenschaft verwenden möchten, und Sie geben die Aktion (Zulassen, Blockieren oder Warnung) an, auf die die Sicherheitslösung die Indikatoren über die Aktionseigenschaft anwenden soll.
Die aktuelle TargetProduct-Unterstützung umfasst Folgendes:
Azure Sentinel – Unterstützt alle dokumentierten tiIndicators-Methoden, die im folgenden Abschnitt aufgeführt sind.
Microsoft Defender für Endpunkt – Unterstützt die folgenden tiIndicators-Methoden:
Unterstützung für die Massenmethoden wird in Kürze verfügbar sein.
Hinweis
Die folgenden Indikatortypen werden von Microsoft Defender für Endpunkt targetProduct unterstützt:
- Dateien
- IP-Adressen: Microsoft Defender für Endpunkt unterstützt nur IPv4/IPv6-Ziel– Legen Sie die Eigenschaft in den Eigenschaften networkDestinationIPv4 oder networkDestinationIPv6 in Microsoft Graph Security API tiIndicator fest.
- URLs/Domänen
Es gibt einen Grenzwert von 15.000 Indikatoren pro Mandant für Microsoft Defender für Endpunkt.
Ausführliche Informationen zu den unterstützten Indikatortypen und den Beschränkungen der Indikatoranzahl pro Mandant finden Sie unter Verwalten von Indikatoren.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Get tiIndicator | tiIndicator | Dient zum Lesen der Eigenschaften und der Beziehungen des tiIndicator-Objekts. |
| Create tiIndicator | tiIndicator | Erstellen Sie einen neuen tiIndicator durch Veröffentlichen in der tiIndicators-Auflistung. |
| List tiIndicators | tiIndicator-Auflistung | Dient zum Abrufen einer tiIndicator-Objektauflistung. |
| Update | tiIndicator | Dient zum Aktualisieren des tiIndicator-Objekts. |
| Löschen | Keine | TiIndicator-Objekt löschen. |
| deleteTiIndicators | Keine | Löschen Sie mehrere tiIndicator-Objekte. |
| deleteTiIndicatorsByExternalId | Keine | Löscht mehrere tiIndicator-Objekte durch die externalId Eigenschaft. |
| submitTiIndicators | tiIndicator-Auflistung | Erstellen Sie neue tiIndicators, indem Sie eine tiIndicators-Auflistung veröffentlichen. |
| updateTiIndicators | tiIndicator-Auflistung | Dient zum Aktualisieren mehrerer tiIndicator-Objekte. |
Von jedem Zielprodukt unterstützte Methoden
| Methode | Azure Sentinel | Microsoft Defender für Endpunkt |
|---|---|---|
| Create tiIndicator | Erforderliche Felder sind: action , , , , , , und mindestens eine azureTenantId description expirationDateTime targetProduct threatType tlpLevel E-Mail, ein Netzwerk oder eine Datei feststellbar. |
Erforderliche Felder sind: action und einer der folgenden Werte: , , , , ( muss im Falle von ) angegeben domainName url networkDestinationIPv4 networkDestinationIPv6 fileHashValue fileHashType fileHashValue werden. |
| Submit tiIndicators | Informationen zu den erforderlichen Feldern für jeden tiIndicator finden Sie in der Create tiIndicator-Methode. Es gibt einen Grenzwert von 100 tiIndicators pro Anforderung. | Informationen zu den erforderlichen Feldern für jeden tiIndicator finden Sie in der Create tiIndicator-Methode. Es gibt einen Grenzwert von 100 tiIndicators pro Anforderung. |
| Update tiIndicator | Erforderliche Felder sind: id , expirationDateTime , targetProduct . Bearbeitbare Felder sind: action , , , , , , , , activityGroupNames , , , additionalInformation , , confidence , , , description diamondModel , expirationDateTime externalId isActive killChain knownFalsePositives lastReportedDateTime malwareFamilyNames passiveOnly severity tags tlpLevel . |
Erforderliche Felder sind: id , expirationDateTime , targetProduct . Bearbeitbare Felder sind: expirationDateTime , severity , description . |
| TiIndicators aktualisieren | Informationen zu erforderlichen und bearbeitbaren Feldern für jeden tiIndicator finden Sie in der Update tiIndicator-Methode. | |
| Delete tiIndicator | Erforderliches Feld ist: id . |
Erforderliches Feld ist: id . |
| tiIndicators löschen | In der obigen Delete tiIndicator-Methode finden Sie die erforderlichen Felder für jeden tiIndicator. |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| Aktion | string | Die Aktion, die angewendet werden soll, wenn der Indikator innerhalb des TargetProduct-Sicherheitstools abgeglichen wird. Mögliche Werte: unknown, allow, block, alert. Erforderlich. |
| activityGroupNames | Zeichenfolgensammlung | Die Namen der Cyberbedrohungsintelligenz für die Parteien, die für die vom Bedrohungsindikator abgedeckten böswilligen Aktivitäten verantwortlich sind. |
| additionalInformation | Zeichenfolge | Ein Catchallbereich, in den zusätzliche Daten aus dem Indikator, die nicht von den anderen tiIndicator-Eigenschaften abgedeckt werden, platziert werden können. In additionalInformation abgelegte Daten werden in der Regel nicht vom TargetProduct-Sicherheitstool verwendet. |
| azureTenantId | String | Stempelt vom System, wenn der Indikator aufgenommen wird. Die Azure Active Directory Mandanten-ID des übermittlungsclients. Erforderlich. |
| confidence | Int32 | Eine ganze Zahl, die die Konfidenz der Daten innerhalb des Indikators darstellt, identifiziert schädliches Verhalten genau. Zulässige Werte sind 0 – 100, wobei 100 die höchste ist. |
| description | Zeichenfolge | Kurze Beschreibung (mindestens 100 Zeichen) der Bedrohung, die durch den Indikator dargestellt wird. Erforderlich. |
| diamondModel | diamondModel | Der Bereich des Rautenmodells, in dem dieser Indikator vorhanden ist. Mögliche Werte: unknown, adversary, capability, infrastructure, victim. |
| expirationDateTime | DateTimeOffset | DateTime-Zeichenfolge, die angibt, wann der Indikator abläuft. Alle Indikatoren müssen ein Ablaufdatum aufweisen, um zu vermeiden, dass veraltete Indikatoren im System beibehalten werden. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. Erforderlich. |
| externalId | String | Eine Identifikationsnummer, die den Indikator zurück an das System des Indikatoranbieters bindet (z. B. einen Fremdschlüssel). |
| id | Zeichenfolge | Wird vom System erstellt, wenn der Indikator aufgenommen wird. Generierte GUID/eindeutiger Bezeichner. Schreibgeschützt. |
| ingestedDateTime | DateTimeOffset | Stempelt vom System, wenn der Indikator aufgenommen wird. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
| isActive | Boolesch | Wird zum Deaktivieren von Indikatoren innerhalb des Systems verwendet. Standardmäßig wird jeder übermittelte Indikator als aktiv festgelegt. Anbieter können jedoch vorhandene Indikatoren mit dieser Einstellung auf "False" übermitteln, um Indikatoren im System zu deaktivieren. |
| killChain | killChain-Sammlung | Ein JSON-Array von Zeichenfolgen, das beschreibt, auf welchen Punkt oder welche Punkte in der Kill Chain dieser Indikator ausgerichtet ist. Genaue Werte finden Sie unten unter "killChain-Werte". |
| knownFalsePositives | Zeichenfolge | Szenarien, in denen der Indikator zu falsch positiven Ergebnissen führen kann. Dabei sollte es sich um lesbaren Text handelt. |
| lastReportedDateTime | DateTimeOffset | Der Zeitpunkt, zu dem der Indikator das letzte Mal angezeigt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
| malwareFamilyNames | Zeichenfolgensammlung | Der Schadsoftwarefamilienname, der einem Indikator zugeordnet ist, falls vorhanden. Microsoft bevorzugt nach Möglichkeit den Namen der Schadsoftware von Microsoft, der über die Windows Defender Security Intelligence Threat-Bedrohungs-Bedrohungengefunden werden kann. |
| passivonly | Boolesch | Bestimmt, ob der Indikator ein Ereignis auslösen soll, das für einen Endbenutzer sichtbar ist. Bei Festlegung auf "true" benachrichtigen sicherheitstools den Endbenutzer nicht, dass ein "Treffer" aufgetreten ist. Dies wird von Sicherheitsprodukten am häufigsten als Überwachungs- oder unbeaufsichtigter Modus behandelt, in dem sie einfach protokollieren, dass eine Übereinstimmung aufgetreten ist, die Aktion jedoch nicht ausführt. Standardwert ist "false". |
| Schweregrad | Int32 | Eine ganze Zahl, die den Schweregrad des bösartigen Verhaltens darstellt, das von den Daten innerhalb des Indikators identifiziert wird. Zulässige Werte sind 0 – 5, wobei 5 die schwerwiegendste und Null gar nicht schwerwiegend ist. Der Standardwert ist 3. |
| tags | String-Sammlung | Ein JSON-Array von Zeichenfolgen, in dem beliebige Tags/Schlüsselwörter gespeichert werden. |
| targetProduct | Zeichenfolge | Ein Zeichenfolgenwert, der ein einzelnes Sicherheitsprodukt darstellt, auf das der Indikator angewendet werden soll. Zulässige Werte sind: Azure Sentinel , Microsoft Defender ATP . Erforderlich |
| threatType | threatType | Jeder Indikator muss über einen gültigen Indikator-Bedrohungstyp verfügen. Mögliche Werte: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList. Erforderlich. |
| tlpLevel | tlpLevel | Wert des Ampelprotokolls für die Anzeige. Mögliche Werte: unknown, white, green, amber, red. Erforderlich. |
Indikatorbeobservablen – E-Mail
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| emailEncoding | Zeichenfolge | Der Typ der in der E-Mail verwendeten Textcodierung. |
| emailLanguage | Zeichenfolge | Die Sprache der E-Mail. |
| emailRecipient | Zeichenfolge | Empfänger-E-Mail-Adresse. |
| emailSenderAddress | Zeichenfolge | E-Mail-Adresse des Angreifers|Opfers. |
| emailSenderName | Zeichenfolge | Anzeige des Namens des Angreifers|Opfers. |
| emailSourceDomain | Zeichenfolge | In der E-Mail verwendete Domäne. |
| emailSourceIpAddress | Zeichenfolge | Quell-IP-Adresse der E-Mail. |
| Emailsubject | Zeichenfolge | Betreffzeile der E-Mail. |
| emailXMailer | Zeichenfolge | In der E-Mail verwendeter X-Mailer-Wert. |
Indikator-Observables – Datei
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| fileCompileDateTime | DateTimeOffset | DateTime, als die Datei kompiliert wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
| fileCreatedDateTime | DateTimeOffset | DateTime, als die Datei erstellt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen im ISO 8601-Format dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
| fileHashType | string | Der Typ des in fileHashValue gespeicherten Hashs. Mögliche Werte: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
| fileHashValue | Zeichenfolge | Der Dateihashwert. |
| fileMutexName | Zeichenfolge | Mutex-Name, der bei dateibasierten Erkennungen verwendet wird. |
| fileName | String | Name der Datei, wenn der Indikator dateibasiert ist. Mehrere Dateinamen können durch Kommas getrennt werden. |
| filePacker | Zeichenfolge | Der Packer, der zum Erstellen der betreffenden Datei verwendet wurde. |
| Filepath | Zeichenfolge | Pfad der Datei, die eine Gefährdung angibt. Kann ein Windows- oder *nix-Formatpfad sein. |
| Dateigröße | Int64 | Größe der Datei in Bytes. |
| Filetype | Zeichenfolge | Textbeschreibung des Dateityps. Beispiel: "Word-Dokument" oder "Binär". |
Indikatorbeobservablen – Netzwerk
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| Domänname | Zeichenfolge | Domänenname, der diesem Indikator zugeordnet ist. Sollte das Format "subdomain.domain.topleveldomain" aufweisen (z. B. baddomain.domain.net) |
| networkCidrBlock | Zeichenfolge | CIDR-Blockierungsdarstellung des Netzwerks, auf das in diesem Indikator verwiesen wird. Verwenden Sie dies nur, wenn Quelle und Ziel nicht identifiziert werden können. |
| networkDestinationAsn | Int32 | Der zielautonome Systembezeichner des Netzwerks, auf das im Indikator verwiesen wird. |
| networkDestinationCidrBlock | Zeichenfolge | CIDR-Blockierungsdarstellung des Zielnetzwerks in diesem Indikator. |
| networkDestinationIPv4 | Zeichenfolge | IPv4-IP-Adressziel. |
| networkDestinationIPv6 | Zeichenfolge | IPv6-IP-Adressziel. |
| networkDestinationPort | Int32 | TCP-Portziel. |
| networkIPv4 | Zeichenfolge | IPv4-IP-Adresse. Verwenden Sie dies nur, wenn Quelle und Ziel nicht identifiziert werden können. |
| networkIPv6 | Zeichenfolge | IPv6-IP-Adresse. Verwenden Sie dies nur, wenn Quelle und Ziel nicht identifiziert werden können. |
| networkPort | Int32 | TCP-Port. Verwenden Sie dies nur, wenn Quelle und Ziel nicht identifiziert werden können. |
| networkProtocol | Int32 | Dezimaldarstellung des Protokollfelds im IPv4-Header. |
| networkSourceAsn | Int32 | Der autonome Quellsystembezeichner des Netzwerks, auf das im Indikator verwiesen wird. |
| networkSourceCidrBlock | Zeichenfolge | CIDR-Blockierungsdarstellung des Quellnetzwerks in diesem Indikator |
| networkSourceIPv4 | Zeichenfolge | IPv4-IP-Adressquelle. |
| networkSourceIPv6 | Zeichenfolge | IPv6-IP-Adressquelle. |
| networkSourcePort | Int32 | TCP-Portquelle. |
| url | Zeichenfolge | Uniform Resource Locator. Diese URL muss RFC 1738 entsprechen. |
| Useragent | Zeichenfolge | User-Agent Zeichenfolge aus einer Webanforderung, die auf eine Gefährdung hinweisen könnte. |
diamondModel-Werte
Informationen zu diesem Modell finden Sie unter Das Rautenmodell.
| Element | Wert | Beschreibung |
|---|---|---|
| unknown | 0 | |
| Gegner | 1 | Der Indikator beschreibt den Angreifer. |
| Fähigkeit | 2 | Indikator ist eine Funktion des Angreifers. |
| Infrastruktur | 3 | Der Indikator beschreibt die Infrastruktur des Angreifers. |
| Opfer | 4 | Der Indikator beschreibt das Opfer des Angreifers. |
| unknownFutureValue | 127 |
killChain-Werte
| Member | Beschreibung |
|---|---|
| Aktionen | Gibt an, dass der Angreifer das kompromittierte System nutzt, um Aktionen wie einen verteilten Denial-of-Service-Angriff auszuführen. |
| C2 | Stellt den Steuerkanal dar, über den ein kompromittiertes System manipuliert wird. |
| Übermittlung | Der Prozess der Verteilung des Exploit-Codes an Opfer (z. B. USB, E-Mail, Websites). |
| Ausbeutung | Der Exploit-Code, der Sicherheitsrisiken nutzt (z. B. Codeausführung). |
| Installation | Installieren von Schadsoftware, nachdem eine Sicherheitslücke ausgenutzt wurde. |
| Reconnaissance | Indikator ist ein Nachweis dafür, dass eine Aktivitätsgruppe Informationen sammeln kann, die bei einem zukünftigen Angriff verwendet werden sollen. |
| Verwendung | Umwandeln einer Sicherheitslücke in Exploit-Code (z. B. Schadsoftware). |
threatType-Werte
| Member | Beschreibung |
|---|---|
| Botnet | Der Indikator zeigt einen Botnetknoten/ein Botnetmitglied an. |
| C2 | Der Indikator zeigt einen Befehls-&-Steuerelementknoten eines Botnets an. |
| CryptoMining | Datenverkehr, der diese Netzwerkadresse/URL betrifft, ist ein Hinweis auf CyrptoMining/Ressourcen-Missbrauch. |
| Darknet | Indikator ist der eines Darknetknotens/Netzwerks. |
| Ddos | Indikatoren für eine aktive oder bevorstehende DDoS-Kampagne. |
| MaliciousUrl | URL, die Schadsoftware bedient. |
| Schadsoftware | Indikator, der eine schädliche Datei oder Dateien beschreibt. |
| Phishing | Indikatoren für eine Phishing-Kampagne. |
| Proxy | Indikator ist der eines Proxydiensts. |
| PUA | Potenziell unerwünschte Anwendung. |
| Watchlist | Dies ist der generische Bucket, in den Indikatoren eingefügt werden, wenn nicht genau ermittelt werden kann, was die Bedrohung ist oder eine manuelle Interpretation erforderlich ist. Dies sollte in der Regel nicht von Partnern verwendet werden, die Daten an das System übermitteln. |
tlpLevel-Werte
Jedes Symbol muss auch einen Wert für das Ampelprotokoll aufweisen, wenn es übermittelt wird. Dieser Wert stellt den Vertraulichkeits- und Freigabeumfang eines bestimmten Indikators dar.
| Member | Beschreibung |
|---|---|
| Weiß | Freigabeumfang: Unbegrenzt. Indikatoren können frei und ohne Einschränkung freigegeben werden. |
| Grün | Freigabebereich: Community. Indikatoren können für die Sicherheitscommunity freigegeben werden. |
| Amber | Freigabeumfang: Begrenzt. Dies ist die Standardeinstellung für Indikatoren und schränkt die Freigabe auf diejenigen ein, deren "Erforderlichkeit" 1 ist) Dienste und Dienstanbieter, die Threat Intelligence implementieren 2) Kunden, deren System(en) ein mit dem Indikator übereinstimmenes Verhalten aufweisen. |
| Rot | Freigabeumfang: Persönlich. Diese Indikatoren dürfen nur direkt und vorzugsweise persönlich freigegeben werden. In der Regel werden TLP Red-Indikatoren aufgrund ihrer vordefinierten Einschränkungen nicht aufgenommen. Wenn TLP Red-Indikatoren übermittelt werden, sollte auch die Eigenschaft "PassiveOnly" festgelegt True werden. |
Beziehungen
Keine.
JSON-Darstellung
Es folgt eine JSON-Darstellung der Ressource.
{
"action": "string",
"activityGroupNames": ["String"],
"additionalInformation": "String",
"azureTenantId": "String",
"confidence": 1024,
"description": "String",
"diamondModel": "string",
"domainName": "String",
"emailEncoding": "String",
"emailLanguage": "String",
"emailRecipient": "String",
"emailSenderAddress": "String",
"emailSenderName": "String",
"emailSourceDomain": "String",
"emailSourceIpAddress": "String",
"emailSubject": "String",
"emailXMailer": "String",
"expirationDateTime": "String (timestamp)",
"externalId": "String",
"fileCompileDateTime": "String (timestamp)",
"fileCreatedDateTime": "String (timestamp)",
"fileHashType": "string",
"fileHashValue": "String",
"fileMutexName": "String",
"fileName": "String",
"filePacker": "String",
"filePath": "String",
"fileSize": 1024,
"fileType": "String",
"id": "String (identifier)",
"ingestedDateTime": "String (timestamp)",
"isActive": true,
"killChain": ["String"],
"knownFalsePositives": "String",
"lastReportedDateTime": "String (timestamp)",
"malwareFamilyNames": ["String"],
"networkCidrBlock": "String",
"networkDestinationAsn": 1024,
"networkDestinationCidrBlock": "String",
"networkDestinationIPv4": "String",
"networkDestinationIPv6": "String",
"networkDestinationPort": 1024,
"networkIPv4": "String",
"networkIPv6": "String",
"networkPort": 1024,
"networkProtocol": 1024,
"networkSourceAsn": 1024,
"networkSourceCidrBlock": "String",
"networkSourceIPv4": "String",
"networkSourceIPv6": "String",
"networkSourcePort": 1024,
"passiveOnly": true,
"severity": 1024,
"tags": ["String"],
"targetProduct": "String",
"threatType": "String",
"tlpLevel": "string",
"url": "String",
"userAgent": "String"
}
Feedback
Feedback senden und anzeigen für