Update tiIndicatorUpdate tiIndicator

Wichtig

APIs unter der /beta Version in Microsoft Graph können Änderungen unterworfen werden.APIs under the /beta version in Microsoft Graph are subject to change. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt.Use of these APIs in production applications is not supported.

Aktualisieren der Eigenschaften eines tiIndicator -Objekts.Update the properties of a tiIndicator object.

BerechtigungenPermissions

Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, unter anderem zur Auswahl von Berechtigungen, finden Sie im Artikel zum Thema Berechtigungen.One of the following permissions is required to call this API. To learn more, including how to choose permissions, see Permissions.

BerechtigungstypPermission type Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten)Permissions (from least to most privileged)
Delegiert (Geschäfts-, Schul- oder Unikonto)Delegated (work or school account) ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy
Delegiert (persönliches Microsoft-Konto)Delegated (personal Microsoft account) Nicht unterstütztNot supported.
AnwendungApplication ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy

HTTP-AnforderungHTTP request

PATCH /security/tiIndicators/{id}

AnforderungsheaderRequest headers

NameName BeschreibungDescription
AuthorizationAuthorization Bearer {Code} erforderlichBearer {code} Required
PreferPrefer Return = Darstellungreturn=representation

AnforderungstextRequest body

Geben Sie im Anforderungstext die Werte für die relevanten Felder an, die aktualisiert werden sollen.In the request body, supply the values for relevant fields that should be updated. Vorhandene Eigenschaften, die nicht im Anforderungstext enthalten sind, behalten ihre vorherigen Werte oder werden basierend auf Änderungen an anderen Eigenschaftswerten neu berechnet.Existing properties that are not included in the request body will maintain their previous values or be recalculated based on changes to other property values. Geben Sie aus Gründen der Leistung vorhandene Werte, die nicht geändert wurden, nicht an.For best performance, don't include existing values that haven't changed.

EigenschaftProperty TypType BeschreibungDescription
Aktionaction stringstring Die Aktion, die angewendet werden soll, wenn das Kennzeichen innerhalb des targetProduct-Sicherheitstools abgeglichen wird.The action to apply if the indicator is matched from within the targetProduct security tool. Mögliche Werte: unknown, allow, block, alert.Possible values are: unknown, allow, block, alert.
activityGroupNamesactivityGroupNames String collectionString collection Die Cyber Threat Intelligence-Namen für die Parteien, die für die böswilligen Aktivitäten zuständig sind, die vom Bedrohungs Indikator erfasst werden.The cyber threat intelligence name(s) for the parties responsible for the malicious activity covered by the threat indicator.
ZusatzinformationenadditionalInformation StringString Ein CatchAll-Bereich, in den zusätzliche Daten aus dem Indikator, die nicht von den anderen tiIndicator-Eigenschaften abgedeckt werden, möglicherweise eingefügt werden können.A catchall area into which extra data from the indicator not covered by the other tiIndicator properties may be placed. Daten, die in Zusatzinformationen gespeichert werden, werden normalerweise nicht vom targetProduct-Sicherheitstool verwendet.Data placed into additionalInformation will typically not be utilized by the targetProduct security tool.
confidenceconfidence Int32Int32 Eine ganze Zahl, die das Vertrauen angibt, das die Daten innerhalb des Indikators das böswillige Verhalten genau erkennen.An integer representing the confidence the data within the indicator accurately identifies malicious behavior. Zulässige Werte sind 0 – 100, wobei 100 die höchste ist.Acceptable values are 0 – 100 with 100 being the highest.
descriptiondescription StringString Kurze Beschreibung (100 Zeichen oder kleiner) der Bedrohung, die durch das Symbol dargestellt wird.Brief description (100 characters or less) of the threat represented by the indicator.
diamondModeldiamondModel diamondModeldiamondModel Der Bereich des Diamant Modells, in dem dieses Symbol vorhanden ist.The area of the Diamond Model in which this indicator exists. Mögliche Werte: unknown, adversary, capability, infrastructure, victim.Possible values are: unknown, adversary, capability, infrastructure, victim.
expirationDateTimeexpirationDateTime DateTimeOffsetDateTimeOffset DateTime-Zeichenfolge, die angibt, wann der Indikator abläuft.DateTime string indicating when the Indicator expires. Alle Indikatoren müssen ein Ablaufdatum aufweisen, damit veraltete Indikatoren im System dauerhaft bleiben.All indicators must have an expiration date to avoid stale indicators persisting in the system. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben.The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. Mitternacht UTC-Zeit am 1. Januar 2014 würde z. B. wie folgt aussehen: 2014-01-01T00:00:00Z.For example, midnight UTC on Jan 1, 2014 would look like this: 2014-01-01T00:00:00Z.
externalIdexternalId StringString Eine Identifikationsnummer, die den Indikator zurück an das System des Indikator Anbieters bindet (beispielsweise einen Fremdschlüssel).An identification number that ties the indicator back to the indicator provider’s system (e.g. a foreign key).
isActiveisActive BooleschBoolean Wird verwendet, um Indikatoren im System zu deaktivieren.Used to deactivate indicators within system. Standardmäßig ist jeder übermittelte Indikator als aktiv festgelegt.By default, any indicator submitted is set as active. Anbieter können jedoch vorhandene Indikatoren mit dieser Einstellung auf "false" übermitteln, um die Indikatoren im System zu deaktivieren.However, providers may submit existing indicators with this set to ‘False’ to deactivate indicators in the system.
killChainkillChain killChain -SammlungkillChain collection Ein JSON-Array mit Zeichenfolgen, das den Punkt oder die Punkte auf der Kill-Kette dieses Indikators beschreibt.A JSON array of strings that describes which point or points on the Kill Chain this indicator targets. Genaue Werte finden Sie unten unter "killChain values".See "killChain values" below for exact values.
knownFalsePositivesknownFalsePositives StringString Szenarien, in denen das Symbol zu falsch positiven Ergebnissen führen kann.Scenarios in which the indicator may cause false positives. Dies sollte für den Menschen lesbaren Text sein.This should be human-readable text.
lastReportedDateTimelastReportedDateTime DateTimeOffsetDateTimeOffset Der Zeitpunkt, zu dem der Indikator zuletzt angezeigt wurde.The last time the indicator was seen. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben.The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. Mitternacht UTC-Zeit am 1. Januar 2014 würde z. B. wie folgt aussehen: 2014-01-01T00:00:00ZFor example, midnight UTC on Jan 1, 2014 would look like this: 2014-01-01T00:00:00Z
malwareFamilyNamesmalwareFamilyNames String collectionString collection Der Name der Schadsoftware-Familie, der einem Indikator zugeordnet ist, falls vorhanden.The malware family name associated with an indicator if it exists. Microsoft bevorzugt den Microsoft-Malware-Familiennamen, wenn möglich, der über die Sicherheits-Enzyklopädie "Windows Defender Security Intelligence Threat" gefunden werden kann.Microsoft prefers the Microsoft malware family name if at all possible which can be found via the Windows Defender Security Intelligence threat encyclopedia.
passiveOnlypassiveOnly BooleschBoolean Bestimmt, ob der Indikator ein Ereignis auslösen soll, das für einen Endbenutzer sichtbar ist.Determines if the indicator should trigger an event that is visible to an end-user. Bei Festlegung auf "true" wird der Endbenutzer von den Sicherheitstools nicht benachrichtigt, dass ein "Hit" aufgetreten ist.When set to ‘true,’ security tools will not notify the end user that a ‘hit’ has occurred. Dies wird häufig als Überwachungs-oder Unbeaufsichtigter Modus durch Sicherheitsprodukte behandelt, bei denen Sie einfach protokollieren, dass eine Übereinstimmung aufgetreten ist, die Aktion jedoch nicht ausgeführt wird.This is most often treated as audit or silent mode by security products where they will simply log that a match occurred but will not perform the action. Standardwert ist "false".Default value is false.
Schweregradseverity Int32Int32 Eine ganze Zahl, die den Schweregrad des böswilligen Verhaltens darstellt, das durch die Daten innerhalb des Indikators identifiziert wird.An integer representing the severity of the malicious behavior identified by the data within the indicator. Zulässige Werte sind 0 – 5, wobei 5 die schwerste ist und NULL nicht schwerwiegend ist.Acceptable values are 0 – 5 where 5 is the most severe and zero is not severe at all. Der Standardwert ist 3.Default value is 3.
tagstags ZeichenfolgenauflistungString collection Ein JSON-Array mit Zeichenfolgen, in dem beliebige Tags/Stichwörter gespeichert werden.A JSON array of strings that stores arbitrary tags/keywords.
tlpLeveltlpLevel tlpLeveltlpLevel Ampel Protokollwert für den Indikator.Traffic Light Protocol value for the indicator. Mögliche Werte: unknown, white, green, amber, red.Possible values are: unknown, white, green, amber, red.

diamondModel-WertediamondModel values

Informationen zu diesem Modell finden Sie unter Diamond Model.For information about this model, see The diamond model.

WerteValues BeschreibungDescription
Gegneradversary Der Indikator beschreibt den Gegner.The indicator describes the adversary.
Fähigkeitcapability Das Symbol ist eine Funktion des Gegners.The indicator is a capability of the adversary.
Infrastrukturinfrastructure Der Indikator beschreibt die Infrastruktur des Gegners.The indicator describes infrastructure of the adversary.
Opfervictim Das Symbol beschreibt das Opfer des Gegners.The indicator describes the victim of the adversary.

killChain-WertekillChain values

WerteValues BeschreibungDescription
AktionenActions Stellt "Actions on Objectives" dar.Represents “Actions on Objectives”. Der Angreifer nutzt das kompromittierte System, um Aktionen wie einen verteilten Denial-of-Service-Angriff durchzuführen.The attacker is leveraging the compromised system to take actions such as a distributed denial of service attack.
C2 befindetC2 Stellt den Steuerelement Kanal dar, mit dem ein kompromittiertes System manipuliert wird.Represents the control channel by which a compromised system is manipulated.
ÜbermittlungDelivery Der Prozess der Verteilung des Exploit-Codes an die Opfer (beispielsweise USB, e-Mail, Websites).The process of distributing the exploit code to victims (for example USB, email, websites).
AusbeutungExploitation Der Exploitcode unter Nutzung von Sicherheitsanfälligkeiten (beispielsweise Codeausführung).The exploit code taking advantage of vulnerabilities (for example, code execution).
InstallationInstallation Installieren von Schadsoftware nach Ausnutzung einer Sicherheitsanfälligkeit.Installing malware after a vulnerability has been exploited.
AufklärungsReconnaissance Indikator ist ein Beweis für eine Aktivitätsgruppe, die Informationen sammelt, die bei einem zukünftigen Angriff verwendet werden sollen.Indicator is evidence of an activity group harvesting information to be used in a future attack.
StationierungWeaponization Deaktivieren einer Sicherheitsanfälligkeit in Exploitcode (beispielsweise Schadsoftware).Turning a vulnerability into exploit code (for example, malware).

tlpLevel-WertetlpLevel values

Jeder Indikator muss einen TLP-Wert (Traffic Light Protocol) aufweisen, wenn er übermittelt wird.Every indicator must have a Traffic Light Protocol (tlp) value when it is submitted. Dieser Wert stellt die Vertraulichkeit und den freigabebereich eines bestimmten Indikators dar.This value represents the sensitivity and sharing scope of a given indicator.

WerteValues BeschreibungDescription
WeißWhite Freigabebereich: unbegrenzt.Sharing scope: Unlimited. Indikatoren können frei freigegeben werden, ohne Einschränkung.Indicators can be shared freely, without restriction.
GrünGreen Freigabebereich: Community.Sharing scope: Community. Indikatoren können für die Sicherheitscommunity freigegeben werden.Indicators can be shared with the security community.
BernsteinAmber Freigabebereich: Limited.Sharing scope: Limited. Dies ist die Standardeinstellung für Indikatoren und schränkt die Freigabe auf nur diejenigen ein, die über einen need-to-Know: 1)-Dienst und Dienst Operatoren verfügen, die Threat Intelligence implementieren; 2) Kunden, deren System (en) Verhalten im Einklang mit dem Indikator zeigen.This is the default setting for indicators and restricts sharing to only those with a need-to-know: 1) Services and service operators that implement threat intelligence; 2) Customers whose system(s) exhibit behavior consistent with the indicator.
RotRed Freigabebereich: persönlich.Sharing scope: Personal. Diese Indikatoren werden nur direkt und vorzugsweise persönlich freigegeben.These indicators are to only be shared directly and, preferably, in person. Normalerweise werden TLP Red-Indikatoren aufgrund ihrer vordefinierten Einschränkungen nicht aufgenommen.Typically, TLP Red indicators are not ingested due to their pre-defined restrictions. Wenn TLP Red-Indikatoren übermittelt werden, sollte die passiveOnly - True Eigenschaft ebenfalls auf festgelegt werden.If TLP Red indicators are submitted, the passiveOnly property should be set to True as well.

AntwortResponse

Wenn die Methode erfolgreich verläuft, wird der Antwortcode 204 No Content zurückgegeben.If successful, this method returns a 204 No Content response code.

Wenn der optionale Anforderungsheader verwendet wird, gibt die Methode 200 OK den Antwortcode und das aktualisierte tiIndicator -Objekt im Antworttext zurück.If the optional request header is used, the method returns a 200 OK response code and the updated tiIndicator object in the response body.

BeispieleExamples

Beispiel 1: Anforderung ohne Vorzugs KopfzeileExample 1: Request without Prefer header

AnforderungRequest

Nachfolgend sehen Sie ein Beispiel für die Anforderung ohne Prefer Kopfzeile.The following is an example of the request without the Prefer header.

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json

{
  "description": "description-updated",
}

AntwortResponse

Nachfolgend sehen Sie ein Beispiel der Antwort.The following is an example of the response.

HTTP/1.1 204 No Content

Beispiel 2: Anforderung mit Vorzugs KopfzeileExample 2: Request with Prefer header

AnforderungRequest

Im folgenden finden Sie ein Beispiel für die Anforderung, die Prefer den Header enthält.The following is an example of the request that includes the Prefer header.

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
Prefer: return=representation

{
  "additionalInformation": "additionalInformation-after-update",
  "confidence": 42,
  "description": "description-after-update",
}

AntwortResponse

Nachfolgend sehen Sie ein Beispiel der Antwort.The following is an example of the response.

Hinweis

Das hier gezeigte Antwortobjekt kann zur Lesbarkeit gekürzt werden.The response object shown here might be shortened for readability. Ein tatsächlicher Aufruf gibt alle Eigenschaften zurück.All the properties will be returned from an actual call.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Security/tiIndicators/$entity",
    "id": "e58c072b-c9bb-a5c4-34ce-eb69af44fb1e",
    "azureTenantId": "XXXXXXXXXXXXXXXXXXXXXXXXX",
    "action": null,
    "additionalInformation": "additionalInformation-after-update",
    "activityGroupNames": [],
    "confidence": 42,
    "description": "description-after-update",
}