Update tiIndicator
Namespace: microsoft.graph
Wichtig
APIs unter der /beta Version in Microsoft Graph können geändert werden. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in Version 1.0 verfügbar ist, verwenden Sie die Versionsauswahl .
Dient zum Aktualisieren der Eigenschaften eines tiIndicator-Objekts.
Berechtigungen
Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, unter anderem zur Auswahl von Berechtigungen, finden Sie im Artikel zum Thema Berechtigungen.
| Berechtigungstyp | Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten) |
|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | ThreatIndicators.ReadWrite.OwnedBy |
| Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt |
| Anwendung | ThreatIndicators.ReadWrite.OwnedBy |
HTTP-Anforderung
PATCH /security/tiIndicators/{id}
Anforderungsheader
| Name | Beschreibung |
|---|---|
| Authorization | Bearer {code} Erforderlich |
| Prefer | return=representation |
Anforderungstext
Geben Sie im Anforderungstext die Werte für die relevanten Felder an, die aktualisiert werden sollen. Vorhandene Eigenschaften, die nicht im Anforderungstext enthalten sind, behalten ihre vorherigen Werte oder werden basierend auf Änderungen an anderen Eigenschaftswerten neu berechnet. Geben Sie aus Gründen der Leistung vorhandene Werte, die nicht geändert wurden, nicht an. Erforderliche Felder sind: id , expirationDateTime , targetProduct .
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| Aktion | string | Die Aktion, die angewendet werden soll, wenn der Indikator innerhalb des TargetProduct-Sicherheitstools abgeglichen wird. Mögliche Werte: unknown, allow, block, alert |
| activityGroupNames | Zeichenfolgenauflistung | Die Namen der Cyberbedrohungsintelligenz für die Parteien, die für die vom Bedrohungsindikator abgedeckten böswilligen Aktivitäten verantwortlich sind. |
| additionalInformation | Zeichenfolge | Ein Catchallbereich, in den zusätzliche Daten aus dem Indikator, die nicht von den anderen tiIndicator-Eigenschaften abgedeckt werden, platziert werden können. In additionalInformation abgelegte Daten werden in der Regel nicht vom TargetProduct-Sicherheitstool verwendet. |
| confidence | Int32 | Eine ganze Zahl, die die Konfidenz der Daten innerhalb des Indikators darstellt, identifiziert schädliches Verhalten genau. Zulässige Werte sind 0 – 100, wobei 100 die höchste ist. |
| description | Zeichenfolge | Kurze Beschreibung (mindestens 100 Zeichen) der Bedrohung, die durch den Indikator dargestellt wird. |
| diamondModel | diamondModel | Der Bereich des Rautenmodells, in dem dieser Indikator vorhanden ist. Mögliche Werte: unknown, adversary, capability, infrastructure, victim. |
| expirationDateTime | DateTimeOffset | DateTime-Zeichenfolge, die angibt, wann der Indikator abläuft. Alle Indikatoren müssen ein Ablaufdatum aufweisen, um zu vermeiden, dass veraltete Indikatoren im System beibehalten werden. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. |
| externalId | String | Eine Identifikationsnummer, die den Indikator zurück an das System des Indikatoranbieters bindet (z. B. einen Fremdschlüssel). |
| isActive | Boolean | Wird zum Deaktivieren von Indikatoren innerhalb des Systems verwendet. Standardmäßig wird jeder übermittelte Indikator als aktiv festgelegt. Anbieter können jedoch vorhandene Indikatoren mit dieser Einstellung auf "False" übermitteln, um Indikatoren im System zu deaktivieren. |
| killChain | killChain-Sammlung | Ein JSON-Array von Zeichenfolgen, das beschreibt, auf welchen Punkt oder welche Punkte in der Kill Chain dieser Indikator ausgerichtet ist. Genaue Werte finden Sie weiter unten unter "killChain-Werte". |
| knownFalsePositives | Zeichenfolge | Szenarien, in denen der Indikator zu falsch positiven Ergebnissen führen kann. Dabei sollte es sich um lesbaren Text handelt. |
| lastReportedDateTime | DateTimeOffset | Der Zeitpunkt, zu dem der Indikator das letzte Mal angezeigt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. |
| malwareFamilyNames | Zeichenfolgensammlung | Der Schadsoftwarefamilienname, der einem Indikator zugeordnet ist, falls vorhanden. Microsoft bevorzugt nach Möglichkeit den Namen der Schadsoftware von Microsoft, der über den Windows Defender Security Intelligence Threat-Bedrohungs-Bedrohungszustandzu finden ist. |
| passivonly | Boolean | Bestimmt, ob der Indikator ein Ereignis auslösen soll, das für einen Endbenutzer sichtbar ist. Bei Festlegung auf "true" benachrichtigen sicherheitstools den Endbenutzer nicht, dass ein "Treffer" aufgetreten ist. Dies wird von Sicherheitsprodukten am häufigsten als Überwachungs- oder unbeaufsichtigter Modus behandelt, in dem sie einfach protokollieren, dass eine Übereinstimmung aufgetreten ist, die Aktion jedoch nicht ausführt. Standardwert ist "false". |
| Schweregrad | Int32 | Eine ganze Zahl, die den Schweregrad des bösartigen Verhaltens darstellt, das von den Daten innerhalb des Indikators identifiziert wird. Zulässige Werte sind 0 – 5, wobei 5 die schwerwiegendste und Null gar nicht schwerwiegend ist. Der Standardwert ist 3. |
| tags | String-Sammlung | Ein JSON-Array von Zeichenfolgen, in dem beliebige Tags/Schlüsselwörter gespeichert werden. |
| tlpLevel | tlpLevel | Wert des Ampelprotokolls für die Anzeige. Mögliche Werte: unknown, white, green, amber, red. |
Antwort
Wenn die Methode erfolgreich verläuft, wird der Antwortcode 204 No Content zurückgegeben.
Wenn der optionale Anforderungsheader verwendet wird, gibt die Methode einen 200 OK Antwortcode und das aktualisierte tiIndicator -Objekt im Antworttext zurück.
Beispiele
Beispiel 1: Anforderung ohne Prefer-Header
Anforderung
Es folgt ein Beispiel für die Anforderung ohne Prefer den Header.
PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
{
"description": "description-updated",
}
Antwort
Nachfolgend sehen Sie ein Beispiel der Antwort.
HTTP/1.1 204 No Content
Beispiel 2: Anforderung mit "Prefer"-Header
Anforderung
Es folgt ein Beispiel für die Anforderung, die den Prefer Header enthält.
PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
Prefer: return=representation
{
"additionalInformation": "additionalInformation-after-update",
"confidence": 42,
"description": "description-after-update",
}
Antwort
Nachfolgend sehen Sie ein Beispiel der Antwort.
Hinweis
Das hier gezeigte Antwortobjekt wird möglicherweise zur besseren Lesbarkeit verkürzt.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#Security/tiIndicators/$entity",
"id": "e58c072b-c9bb-a5c4-34ce-eb69af44fb1e",
"azureTenantId": "XXXXXXXXXXXXXXXXXXXXXXXXX",
"action": null,
"additionalInformation": "additionalInformation-after-update",
"activityGroupNames": [],
"confidence": 42,
"description": "description-after-update",
}
Feedback
Feedback senden und anzeigen für