Actualizar tiIndicator

  • Artículo

Espacio de nombres: microsoft.graph

Importante

Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.

Actualice las propiedades de un objeto tiIndicator .

Esta API está disponible en las siguientes implementaciones nacionales de nube.

Servicio global Gobierno de EE. UU. L4 Us Government L5 (DOD) China operada por 21Vianet

Permissions

Elija el permiso o los permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios superiores solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para obtener más información sobre estos permisos, consulte la referencia de permisos.

Tipo de permiso Permisos con privilegios mínimos Permisos con privilegios más altos
Delegado (cuenta profesional o educativa) ThreatIndicators.ReadWrite.OwnedBy No disponible.
Delegado (cuenta personal de Microsoft) No admitida. No admitida.
Aplicación ThreatIndicators.ReadWrite.OwnedBy No disponible.

Solicitud HTTP

PATCH /security/tiIndicators/{id}

Encabezados de solicitud

Nombre Descripción
Autorización Portador {code} Requerido
Prefer return=representation

Cuerpo de solicitud

En el cuerpo de la solicitud, proporcione los valores de los campos relevantes que deben actualizarse. Las propiedades existentes que no se incluyen en el cuerpo de la solicitud mantienen sus valores anteriores o se recalculan en función de los cambios realizados en otros valores de propiedad. Para obtener el mejor rendimiento, no incluya valores existentes que no hayan cambiado. Los campos obligatorios son: id, expirationDateTime, targetProduct.

Propiedad Tipo Descripción
acción string Acción que se aplicará si el indicador coincide desde dentro de la herramienta de seguridad targetProduct. Los valores posibles son: unknown, allow, block y alert.
activityGroupNames Colección de cadenas Los nombres de inteligencia sobre amenazas cibernéticas para las partes responsables de la actividad malintencionada cubierta por el indicador de amenazas.
additionalInformation Cadena Un área catchall en la que se pueden colocar datos adicionales del indicador no cubiertos por las otras propiedades de tiIndicator. Los datos colocados en additionalInformation normalmente no serán utilizados por la herramienta de seguridad targetProduct.
confidence Int32 Entero que representa la confianza que los datos del indicador identifican con precisión el comportamiento malintencionado. Los valores aceptables son de 0 a 100 y 100 son los más altos.
description Cadena Breve descripción (100 caracteres o menos) de la amenaza representada por el indicador.
diamondModel diamondModel Área del modelo de diamante en el que existe este indicador. Los valores posibles son: unknown, adversary, capability, infrastructure y victim.
expirationDateTime DateTimeOffset Cadena DateTime que indica cuándo expira el indicador. Todos los indicadores deben tener una fecha de expiración para evitar que los indicadores obsoletos persistan en el sistema. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z.
externalId Cadena Número de identificación que vuelve a conectar el indicador al sistema del proveedor del indicador (por ejemplo, una clave externa).
isActive Booleano Se usa para desactivar indicadores dentro del sistema. De forma predeterminada, cualquier indicador enviado se establece como activo. Sin embargo, los proveedores pueden enviar indicadores existentes con esta opción establecida en "False" para desactivar los indicadores en el sistema.
killChain colección killChain Matriz JSON de cadenas que describe qué punto o puntos de la cadena de eliminación tiene como destino este indicador. Consulte "killChain values" (Valores killChain) a continuación para ver los valores exactos.
knownFalsePositives Cadena Escenarios en los que el indicador puede provocar falsos positivos. Debe ser texto legible por el ser humano.
lastReportedDateTime DateTimeOffset La última vez que se vio el indicador. El tipo de marca de tiempo representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z.
malwareFamilyNames Colección de cadenas Nombre de familia de malware asociado a un indicador si existe. Microsoft prefiere el nombre de la familia de malware de Microsoft si es posible que se pueda encontrar a través de la enciclopedia de amenazas Windows Defender Security Intelligence.
passiveOnly Booleano Determina si el indicador debe desencadenar un evento visible para un usuario final. Cuando se establece en "true", las herramientas de seguridad no notificarán al usuario final que se ha producido un "acierto". A menudo, los productos de seguridad tratan esto como auditoría o modo silencioso, donde registrarán que se produjo una coincidencia, pero no realizarán la acción. El valor predeterminado es false.
severity Int32 Entero que representa la gravedad del comportamiento malintencionado identificado por los datos dentro del indicador. Los valores aceptables son de 0 a 5, donde 5 es el más grave y cero no es grave en absoluto. El valor predeterminado es 3.
tags Colección string Matriz JSON de cadenas que almacena etiquetas o palabras clave arbitrarias.
tlpLevel tlpLevel Valor de Traffic Light Protocol para el indicador. Los valores posibles son: unknown, white, green, amber y red.

Respuesta

Si se ejecuta correctamente, este método devuelve un código de respuesta 204 No Content.

Si se usa el encabezado de solicitud opcional, el método devuelve un 200 OK código de respuesta y el objeto tiIndicator actualizado en el cuerpo de la respuesta.

Ejemplos

Ejemplo 1: Solicitud sin encabezado Prefer

Solicitud

En el ejemplo siguiente se muestra una solicitud sin el Prefer encabezado .

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json

{
  "description": "description-updated",
}

Respuesta

En el ejemplo siguiente se muestra la respuesta.

HTTP/1.1 204 No Content

Ejemplo 2: Solicitud con encabezado Prefer

Solicitud

En el ejemplo siguiente se muestra una solicitud que incluye el Prefer encabezado .

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
Prefer: return=representation

{
  "additionalInformation": "additionalInformation-after-update",
  "confidence": 42,
  "description": "description-after-update",
}

Respuesta

En el ejemplo siguiente se muestra la respuesta.

Nota:

El objeto de respuesta que se muestra aquí puede estar acortado para mejorar la legibilidad.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Security/tiIndicators/$entity",
    "id": "e58c072b-c9bb-a5c4-34ce-eb69af44fb1e",
    "azureTenantId": "XXXXXXXXXXXXXXXXXXXXXXXXX",
    "action": null,
    "additionalInformation": "additionalInformation-after-update",
    "activityGroupNames": [],
    "confidence": 42,
    "description": "description-after-update",
}