Compartir a través de


Tipo de recurso tiIndicator (en desuso)

Espacio de nombres: microsoft.graph

Importante

Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.

Nota:

La entidad tiIndicator está en desuso y se quitará en abril de 2026.

Representa los datos usados para identificar actividades malintencionadas.

Si su organización funciona con indicadores de amenazas, ya sea generando los suyos propios, obteniéndolos de fuentes de código abierto, compartiendo con organizaciones o comunidades asociadas, o comprando fuentes de datos, es posible que desee usar estos indicadores en varias herramientas de seguridad para la coincidencia con los datos de registro. La entidad tiIndicators permite cargar los indicadores de amenazas en las herramientas de seguridad de Microsoft para las acciones de permitir, bloquear o alerta.

Los indicadores de amenazas cargados a través de tiIndicator se usan con Microsoft Threat Intelligence para proporcionar una solución de seguridad personalizada para su organización. Al usar la entidad tiIndicator , especifique la solución de seguridad de Microsoft a la que desea utilizar los indicadores a través de la propiedad targetProduct y especifique la acción (permitir, bloquear o alerta) a la que la solución de seguridad debe aplicar los indicadores a través de la propiedad action .

Actualmente, targetProduct admite los siguientes productos:

  • Microsoft Defender para punto de conexión: admite los siguientes métodos tiIndicators:

    Nota:

    Los siguientes tipos de indicadores son compatibles con Microsoft Defender para punto de conexión targetProduct:

    • Archivos
    • Direcciones IP: Microsoft Defender para punto de conexión solo admite IPv4/IPv6 de destino: establezca la propiedad en las propiedades networkDestinationIPv4 o networkDestinationIPv6 en Microsoft Graph API para seguridad tiIndicator.
    • Direcciones URL o dominios

    Hay un límite de 15 000 indicadores por inquilino para Microsoft Defender para punto de conexión.

  • Microsoft Sentinel : solo los clientes existentes pueden usar tiIndicator API para enviar indicadores de inteligencia sobre amenazas a Microsoft Sentinel. Para obtener las instrucciones más actualizadas y detalladas sobre cómo enviar indicadores inteligentes de amenazas a Microsoft Sentinel, consulte Conexión de la plataforma de inteligencia sobre amenazas a Microsoft Sentinel.

Para obtener más información sobre los tipos de indicadores compatibles y los límites de los recuentos de indicadores por inquilino, vea Administrar indicadores.

Métodos

Método Tipo de valor devuelto Descripción
Get tiIndicator Lee las propiedades y las relaciones del objeto tiIndicator.
Crear tiIndicator Create un nuevo tiIndicator publicando en la colección tiIndicators.
Lista colección tiIndicator Obtenga una colección de objetos tiIndicator.
Actualizar tiIndicator Actualice el objeto tiIndicator.
Delete Ninguno Elimine el objeto tiIndicator.
Eliminar varias Ninguno Elimine varios objetos tiIndicator.
Eliminar varias por ID externo Ninguno Elimine varios objetos tiIndicator por la externalId propiedad .
Enviar varias colección tiIndicator Create nuevos tiIndicators publicando una colección tiIndicators.
Actualizar varias colección tiIndicator Actualice varios objetos tiIndicator.

Métodos admitidos por cada producto de destino

Método Azure Sentinel Microsoft Defender para punto de conexión
Crear tiIndicator Los campos obligatorios son: action, azureTenantId, description, expirationDateTime, targetProduct, threatType, tlpLevely al menos un correo electrónico, red o archivo observable. Los campos obligatorios son: action, y uno de estos valores siguientes: domainName, url, networkDestinationIPv4, , networkDestinationIPv6, fileHashValue (debe proporcionar fileHashType en caso de fileHashValue).
Enviar tiIndicators Consulte el método tiIndicator de Create para ver los campos necesarios para cada tiIndicator. Hay un límite de 100 tiIndicators por solicitud. Consulte el método tiIndicator de Create para ver los campos necesarios para cada tiIndicator. Hay un límite de 100 tiIndicators por solicitud.
Actualizar tiIndicator Los campos obligatorios son: id, expirationDateTime, targetProduct.
Los campos editables son: action, activityGroupNames, additionalInformation, confidence, description, diamondModel, expirationDateTime, externalId, isActive, killChain, knownFalsePositives, lastReportedDateTime, malwareFamilyNames, passiveOnly, severity, , tags, tlpLevel.
Los campos obligatorios son: id, expirationDateTime, targetProduct.
Los campos editables son: expirationDateTime, severity, description.
Actualización de tiIndicators Consulte el método Update tiIndicator para ver los campos necesarios y editables para cada tiIndicator.

Informar de problema

Eliminar tiIndicator El campo obligatorio es : id. El campo obligatorio es : id.
Eliminación de tiIndicators Consulte el método Delete tiIndicator anterior para obtener el campo necesario para cada tiIndicator.

Informar de problema

Propiedades

Propiedad Tipo Descripción
acción string Acción que se aplicará si el indicador coincide desde dentro de la herramienta de seguridad targetProduct. Los valores posibles son: unknown, allow, block y alert. Necesario.
activityGroupNames Colección de cadenas Los nombres de inteligencia sobre amenazas cibernéticas para las partes responsables de la actividad malintencionada cubierta por el indicador de amenazas.
additionalInformation Cadena Un área catchall para datos adicionales del indicador que no está específicamente cubierto por otras propiedades de tiIndicator. La herramienta de seguridad especificada por targetProduct normalmente no usa estos datos.
azureTenantId String Estampado por el sistema cuando se ingiere el indicador. El Microsoft Entra identificador de inquilino del envío del cliente. Necesario.
confidence Int32 Entero que representa la confianza que los datos del indicador identifican con precisión el comportamiento malintencionado. Los valores aceptables son de 0 a 100 y 100 son los más altos.
description Cadena Breve descripción (100 caracteres o menos) de la amenaza representada por el indicador. Necesario.
diamondModel diamondModel Área del modelo de diamante en el que existe este indicador. Los valores posibles son: unknown, adversary, capability, infrastructure y victim.
expirationDateTime DateTimeOffset Cadena DateTime que indica cuándo expira el indicador. Todos los indicadores deben tener una fecha de expiración para evitar que los indicadores obsoletos persistan en el sistema. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z. Necesario.
externalId Cadena Número de identificación que vuelve a conectar el indicador al sistema del proveedor del indicador (por ejemplo, una clave externa).
id Cadena Creado por el sistema cuando se ingiere el indicador. Identificador único o GUID generado. Solo lectura.
ingeridoDateTime DateTimeOffset Estampado por el sistema cuando se ingiere el indicador. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z.
isActive Booleano Se usa para desactivar indicadores dentro del sistema. De forma predeterminada, cualquier indicador enviado se establece como activo. Sin embargo, los proveedores pueden enviar indicadores existentes con esta opción establecida en "False" para desactivar los indicadores en el sistema.
killChain colección killChain Matriz JSON de cadenas que describe qué punto o puntos de la cadena de eliminación tiene como destino este indicador. Consulte "killChain values" (Valores killChain) a continuación para ver los valores exactos.
knownFalsePositives Cadena Escenarios en los que el indicador puede provocar falsos positivos. Debe ser texto legible por el ser humano.
lastReportedDateTime DateTimeOffset La última vez que se vio el indicador. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z.
malwareFamilyNames Colección de cadenas Nombre de familia de malware asociado a un indicador si existe. Microsoft prefiere el nombre de la familia de malware de Microsoft si es posible que se pueda encontrar a través de la enciclopedia de amenazas de Inteligencia de seguridad de Windows Defender.
passiveOnly Booleano Determina si el indicador debe desencadenar un evento visible para un usuario final. Cuando se establece en "true", las herramientas de seguridad no notificarán al usuario final que se ha producido un "acierto". Esto suele tratarse como un modo de auditoría o silencioso por parte de los productos de seguridad, donde simplemente registrarán que se produjo una coincidencia, pero no realizarán la acción. El valor predeterminado es false.
severity Int32 Entero que representa la gravedad del comportamiento malintencionado identificado por los datos dentro del indicador. Los valores aceptables son de 0 a 5, donde 5 es el más grave y cero no es grave en absoluto. El valor predeterminado es 3.
tags Colección de cadenas Matriz JSON de cadenas que almacena etiquetas o palabras clave arbitrarias.
targetProduct Cadena Valor de cadena que representa un único producto de seguridad al que se debe aplicar el indicador. Los valores aceptables son: Azure Sentinel, Microsoft Defender ATP. Required
threatType threatType Cada indicador debe tener un tipo de amenaza de indicador válido. Los valores posibles son: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA y WatchList. Necesario.
tlpLevel tlpLevel Valor de Traffic Light Protocol para el indicador. Los valores posibles son: unknown, white, green, amber y red. Necesario.

Indicador observables: correo electrónico

Propiedad Tipo Description
emailEncoding Cadena Tipo de codificación de texto usada en el correo electrónico.
emailLanguage Cadena Idioma del correo electrónico.
emailRecipient Cadena Dirección de correo electrónico del destinatario.
emailSenderAddress Cadena Email dirección del atacante|víctima.
emailSenderName Cadena Se muestra el nombre del atacante|victim.
emailSourceDomain Cadena Dominio usado en el correo electrónico.
emailSourceIpAddress Cadena Dirección IP de origen del correo electrónico.
emailSubject Cadena Línea de asunto de correo electrónico.
emailXMailer Cadena Valor de X-Mailer usado en el correo electrónico.

Indicador observables: archivo

Propiedad Tipo Description
fileCompileDateTime DateTimeOffset DateTime cuando se compiló el archivo. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z.
fileCreatedDateTime DateTimeOffset DateTime cuando se creó el archivo. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z.
fileHashType string Tipo de hash almacenado en fileHashValue. Valores posibles: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph.
fileHashValue Cadena Valor hash del archivo.
fileMutexName Cadena Nombre de exclusión mutua que se usa en las detecciones basadas en archivos.
fileName Cadena Nombre del archivo si el indicador está basado en archivos. Varios nombres de archivo pueden delimitarse por comas.
filePacker Cadena El empaquetador usado para compilar el archivo en cuestión.
Filepath Cadena Ruta de acceso del archivo que indica el riesgo. Puede ser una ruta de acceso de estilo de Windows o *nix.
Tamaño Int64 Tamaño del archivo en bytes.
Eltipo Cadena Descripción del texto del tipo de archivo. Por ejemplo, "Word Document" o "Binary".

Observables indicadores: red

Propiedad Tipo Descripción
domainName Cadena Nombre de dominio asociado a este indicador. Debe tener el formato subdomain.domain.topleveldomain (por ejemplo, baddomain.domain.net)
networkCidrBlock Cadena Representación de notación de bloque CIDR de la red a la que se hace referencia en este indicador. Use solo si el origen y el destino no se pueden identificar.
networkDestinationAsn Int32 Identificador del sistema autónomo de destino de la red a la que se hace referencia en el indicador.
networkDestinationCidrBlock Cadena Representación de notación de bloque CIDR de la red de destino en este indicador.
networkDestinationIPv4 Cadena Destino de la dirección IP IPv4.
networkDestinationIPv6 Cadena Destino de la dirección IP IPv6.
networkDestinationPort Int32 Destino del puerto TCP.
networkIPv4 Cadena Dirección IP IPv4. Use solo si el origen y el destino no se pueden identificar.
networkIPv6 Cadena Dirección IP IPv6. Use solo si el origen y el destino no se pueden identificar.
networkPort Int32 Puerto TCP. Use solo si el origen y el destino no se pueden identificar.
networkProtocol Int32 Representación decimal del campo de protocolo en el encabezado IPv4.
networkSourceAsn Int32 Identificador del sistema autónomo de origen de la red a la que se hace referencia en el indicador.
networkSourceCidrBlock Cadena Representación de notación de bloque CIDR de la red de origen en este indicador
networkSourceIPv4 Cadena Origen de la dirección IP IPv4.
networkSourceIPv6 Cadena Origen de la dirección IP IPv6.
networkSourcePort Int32 Origen del puerto TCP.
URL Cadena Localizador uniforme de recursos. Esta dirección URL debe cumplir con RFC 1738.
userAgent Cadena User-Agent cadena de una solicitud web que podría indicar un peligro.

valores de diamondModel

Para obtener información sobre este modelo, consulte El modelo de diamante.

Miembro Valor Description
desconocido 0
Adversario 1 El indicador describe al adversario.
Capacidad 2 El indicador es una capacidad del adversario.
Infraestructura 3 El indicador describe la infraestructura del adversario.
Víctima 4 El indicador describe a la víctima del adversario.
unknownFutureValue 127

valores killChain

Member Descripción
Acciones Indica que el atacante usa el sistema en peligro para realizar acciones como un ataque de denegación de servicio distribuido.
C2 Representa el canal de control por el que se manipula un sistema en peligro.
Entrega El proceso de distribución del código de vulnerabilidad de seguridad a las víctimas (por ejemplo, USB, correo electrónico, sitios web).
Explotación El código de vulnerabilidad de seguridad que aprovecha las vulnerabilidades (por ejemplo, la ejecución de código).
Instalación Instalar malware después de que se haya aprovechado una vulnerabilidad.
Reconocimiento El indicador es evidencia de que un grupo de actividad recopila información que se usará en un ataque futuro.
Militarización Convertir una vulnerabilidad en código de vulnerabilidad de seguridad (por ejemplo, malware).

valores threatType

Member Descripción
Botnet El indicador detalla un nodo o miembro de botnet.
C2 El indicador detalla un nodo Command & Control de una botnet.
CryptoMining El tráfico que implica esta dirección o dirección URL de red es una indicación de CyrptoMining/Abuso de recursos.
Darknet El indicador es el de un nodo o red darknet.
Ddos Indicadores relacionados con una campaña DDoS activa o próxima.
MaliciousUrl Dirección URL que sirve malware.
Malware Indicador que describe un archivo o archivos malintencionados.
Suplantación de identidad (phishing) Indicadores relacionados con una campaña de suplantación de identidad (phishing).
Proxy El indicador es el de un servicio proxy.
PUA Aplicación potencialmente no deseada.
Lista de reproducción Este es el cubo genérico para los indicadores para los que no se puede determinar la amenaza o que requieren interpretación manual. Los asociados que envían datos al sistema no deben usar esta propiedad.

Valores de tlpLevel

Cada indicador también debe tener un valor de Protocolo de semáforo cuando se envía. Este valor representa el ámbito de confidencialidad y uso compartido de un indicador determinado.

Member Descripción
Blanco Ámbito de uso compartido: ilimitado. Los indicadores se pueden compartir libremente, sin restricciones.
Verde Ámbito de uso compartido: Comunidad. Los indicadores se pueden compartir con la comunidad de seguridad.
Ámbar Ámbito de uso compartido: limitado. Esta es la configuración predeterminada para los indicadores y restringe el uso compartido solo a aquellos con una "necesidad de saber" siendo 1) Servicios y operadores de servicio que implementan inteligencia sobre amenazas 2) Clientes cuyos sistemas muestran un comportamiento coherente con el indicador.
Rojo Ámbito de uso compartido: personal. Estos indicadores solo deben compartirse directamente y, preferiblemente, en persona. Normalmente, los indicadores rojos de TLP no se ingieren debido a sus restricciones predefinidas. Si se envían indicadores rojos de TLP, la propiedad "PassiveOnly" también debe establecerse en True .

Relaciones

Ninguna.

Representación JSON

La siguiente representación JSON muestra el tipo de recurso.

{
  "action": "string",
  "activityGroupNames": ["String"],
  "additionalInformation": "String",
  "azureTenantId": "String",
  "confidence": 1024,
  "description": "String",
  "diamondModel": "string",
  "domainName": "String",
  "emailEncoding": "String",
  "emailLanguage": "String",
  "emailRecipient": "String",
  "emailSenderAddress": "String",
  "emailSenderName": "String",
  "emailSourceDomain": "String",
  "emailSourceIpAddress": "String",
  "emailSubject": "String",
  "emailXMailer": "String",
  "expirationDateTime": "String (timestamp)",
  "externalId": "String",
  "fileCompileDateTime": "String (timestamp)",
  "fileCreatedDateTime": "String (timestamp)",
  "fileHashType": "string",
  "fileHashValue": "String",
  "fileMutexName": "String",
  "fileName": "String",
  "filePacker": "String",
  "filePath": "String",
  "fileSize": 1024,
  "fileType": "String",
  "id": "String (identifier)",
  "ingestedDateTime": "String (timestamp)",
  "isActive": true,
  "killChain": ["String"],
  "knownFalsePositives": "String",
  "lastReportedDateTime": "String (timestamp)",
  "malwareFamilyNames": ["String"],
  "networkCidrBlock": "String",
  "networkDestinationAsn": 1024,
  "networkDestinationCidrBlock": "String",
  "networkDestinationIPv4": "String",
  "networkDestinationIPv6": "String",
  "networkDestinationPort": 1024,
  "networkIPv4": "String",
  "networkIPv6": "String",
  "networkPort": 1024,
  "networkProtocol": 1024,
  "networkSourceAsn": 1024,
  "networkSourceCidrBlock": "String",
  "networkSourceIPv4": "String",
  "networkSourceIPv6": "String",
  "networkSourcePort": 1024,
  "passiveOnly": true,
  "severity": 1024,
  "tags": ["String"],
  "targetProduct": "String",
  "threatType": "String",
  "tlpLevel": "string",
  "url": "String",
  "userAgent": "String"
}