Threat Intelligence Indicators - List
Obtener todos los indicadores de inteligencia sobre amenazas.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/threatIntelligence/main/indicators?api-version=2024-03-01
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/threatIntelligence/main/indicators?api-version=2024-03-01&$filter={$filter}&$top={$top}&$skipToken={$skipToken}&$orderby={$orderby}
Parámetros de identificador URI
Nombre | En | Requerido | Tipo | Description |
---|---|---|---|---|
resource
|
path | True |
string |
Nombre del grupo de recursos. El nombre distingue mayúsculas de minúsculas. |
subscription
|
path | True |
string |
Identificador de la suscripción de destino. |
workspace
|
path | True |
string |
El nombre del área de trabajo. Regex pattern: |
api-version
|
query | True |
string |
Versión de API que se usará para la operación. |
$filter
|
query |
string |
Filtra los resultados, en función de una condición booleana. Opcional. |
|
$orderby
|
query |
string |
Ordena los resultados. Opcional. |
|
$skip
|
query |
string |
Skiptoken solo se usa si una operación anterior devolvió un resultado parcial. Si una respuesta anterior contiene un elemento nextLink, el valor del elemento nextLink incluirá un parámetro skiptoken que especifica un punto de partida que se usará para las llamadas posteriores. Opcional. |
|
$top
|
query |
integer int32 |
Devuelve solo los primeros n resultados. Opcional. |
Respuestas
Nombre | Tipo | Description |
---|---|---|
200 OK |
Aceptar |
|
Other Status Codes |
Respuesta de error que describe por qué la operación no pudo obtener indicadores. |
Seguridad
azure_auth
Flujo OAuth2 de Azure Active Directory
Type:
oauth2
Flow:
implicit
Authorization URL:
https://login.microsoftonline.com/common/oauth2/authorize
Scopes
Nombre | Description |
---|---|
user_impersonation | suplantación de su cuenta de usuario |
Ejemplos
Get all threat intelligence indicators
Sample Request
GET https://management.azure.com/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/threatIntelligence/main/indicators?api-version=2024-03-01
Sample Response
{
"value": [
{
"id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/ThreatIntelligence/27d963e6-e6e4-e0f9-e9d7-c53985b3bbe8",
"name": "27d963e6-e6e4-e0f9-e9d7-c53985b3bbe8",
"etag": "\"00002f2c-0000-0800-0000-5e976a8e0000\"",
"type": "Microsoft.SecurityInsights/ThreatIntelligence",
"kind": "indicator",
"properties": {
"confidence": 90,
"created": "2020-04-15T20:11:57.9666134Z",
"createdByRef": "contoso@contoso.com",
"externalId": "indicator--8516d567-0daa-4614-8745-e3591e1b48cf",
"externalReferences": [],
"granularMarkings": [],
"lastUpdatedTimeUtc": "2020-04-15T20:15:11.0746926Z",
"revoked": false,
"source": "Azure Sentinel",
"threatIntelligenceTags": [
"new schema"
],
"displayName": "new schema 2",
"description": "debugging indicators",
"threatTypes": [
"compromised"
],
"killChainPhases": [],
"pattern": "[url:value = 'https://www.contoso.com']",
"patternType": "url",
"validFrom": "2020-04-15T17:44:00.114052Z"
}
},
{
"id": "/subscriptions/bd794837-4d29-4647-9105-6339bfdb4e6a/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/ThreatIntelligence/e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
"name": "e16ef847-962e-d7b6-9c8b-a33e4bd30e47",
"etag": "\"00002a2c-0000-0800-0000-5e97683b0000\"",
"type": "Microsoft.SecurityInsights/ThreatIntelligence",
"kind": "indicator",
"properties": {
"confidence": 78,
"created": "2020-04-15T19:51:17.1050923Z",
"createdByRef": "contoso@contoso.com",
"externalId": "indicator--73be1729-babb-4348-a6c4-94621cae2530",
"externalReferences": [],
"granularMarkings": [],
"lastUpdatedTimeUtc": "2020-04-15T20:15:11.074903Z",
"revoked": false,
"source": "Azure Sentinel",
"threatIntelligenceTags": [
"patching tags"
],
"displayName": "updated indicator",
"description": "debugging indicators",
"threatTypes": [
"compromised"
],
"killChainPhases": [],
"pattern": "[url:value = 'https://www.contoso.com']",
"patternType": "url",
"validFrom": "2020-04-15T17:44:00.114052Z"
}
}
]
}
Definiciones
Nombre | Description |
---|---|
Cloud |
Estructura de respuesta de error. |
Cloud |
Detalles del error. |
created |
Tipo de identidad que creó el recurso. |
system |
Metadatos relacionados con la creación y la última modificación del recurso. |
Threat |
Describe la referencia externa |
Threat |
Describe la entidad del modelo de marcado granular de amenazas. |
Threat |
Entidad indicadora de inteligencia sobre amenazas. |
Threat |
Lista de todos los objetos de información de inteligencia sobre amenazas. |
Threat |
Describe la entidad de fase de la cadena de eliminación de amenazas. |
Threat |
Describe la entidad de patrón analizada. |
Threat |
Describe la entidad de fase de la cadena de eliminación de amenazas. |
Threat |
El tipo de entidad de inteligencia sobre amenazas |
CloudError
Estructura de respuesta de error.
Nombre | Tipo | Description |
---|---|---|
error |
Datos inválidos |
CloudErrorBody
Detalles del error.
Nombre | Tipo | Description |
---|---|---|
code |
string |
Identificador del error. Los códigos son invariables y están diseñados para consumirse mediante programación. |
message |
string |
Mensaje que describe el error, diseñado para ser adecuado para mostrarse en una interfaz de usuario. |
createdByType
Tipo de identidad que creó el recurso.
Nombre | Tipo | Description |
---|---|---|
Application |
string |
|
Key |
string |
|
ManagedIdentity |
string |
|
User |
string |
systemData
Metadatos relacionados con la creación y la última modificación del recurso.
Nombre | Tipo | Description |
---|---|---|
createdAt |
string |
Marca de tiempo de creación de recursos (UTC). |
createdBy |
string |
Identidad que creó el recurso. |
createdByType |
Tipo de identidad que creó el recurso. |
|
lastModifiedAt |
string |
Marca de tiempo de la última modificación del recurso (UTC) |
lastModifiedBy |
string |
Identidad que modificó por última vez el recurso. |
lastModifiedByType |
Tipo de identidad que modificó por última vez el recurso. |
ThreatIntelligenceExternalReference
Describe la referencia externa
Nombre | Tipo | Description |
---|---|---|
description |
string |
Descripción de referencia externa |
externalId |
string |
Id. de referencia externa |
hashes |
object |
Hashes de referencia externos |
sourceName |
string |
Nombre del origen de referencia externo |
url |
string |
Dirección URL de referencia externa |
ThreatIntelligenceGranularMarkingModel
Describe la entidad del modelo de marcado granular de amenazas.
Nombre | Tipo | Description |
---|---|---|
language |
string |
Modelo de marcado granular del lenguaje |
markingRef |
integer |
marcar modelo de marcado granular de referencia |
selectors |
string[] |
selectores de modelos de marcado pormenorizados |
ThreatIntelligenceIndicatorModel
Entidad indicadora de inteligencia sobre amenazas.
Nombre | Tipo | Description |
---|---|---|
etag |
string |
Etag del recurso de Azure |
id |
string |
Identificador de recurso completo del recurso. Por ejemplo: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName} |
kind |
string:
indicator |
El tipo de la entidad. |
name |
string |
Nombre del recurso. |
properties.additionalData |
object |
Contenedor de campos personalizados que deben formar parte de la entidad y que se mostrarán al usuario. |
properties.confidence |
integer |
Confianza de la entidad de inteligencia sobre amenazas |
properties.created |
string |
Creado por |
properties.createdByRef |
string |
Creado por referencia de la entidad de inteligencia sobre amenazas |
properties.defanged |
boolean |
¿Está desafangada la entidad de inteligencia sobre amenazas? |
properties.description |
string |
Descripción de una entidad de inteligencia sobre amenazas |
properties.displayName |
string |
Nombre para mostrar de una entidad de inteligencia sobre amenazas |
properties.extensions |
Mapa de extensiones |
|
properties.externalId |
string |
Identificador externo de la entidad de inteligencia sobre amenazas |
properties.externalLastUpdatedTimeUtc |
string |
Hora de última actualización externa en UTC |
properties.externalReferences |
Referencias externas |
|
properties.friendlyName |
string |
El nombre para mostrar del elemento de grafo, que es una descripción breve legible de la instancia del elemento de grafo. Esta propiedad es opcional y podría generarse por el sistema. |
properties.granularMarkings |
Marcas pormenorizadas |
|
properties.indicatorTypes |
string[] |
Tipos de indicadores de entidades de inteligencia sobre amenazas |
properties.killChainPhases |
Fases de cadena de eliminación |
|
properties.labels |
string[] |
Etiquetas de la entidad de inteligencia sobre amenazas |
properties.language |
string |
Lenguaje de la entidad de inteligencia sobre amenazas |
properties.lastUpdatedTimeUtc |
string |
Hora de la última actualización en UTC |
properties.modified |
string |
Modificado por |
properties.objectMarkingRefs |
string[] |
Referencias de marcado de objetos de entidad de inteligencia sobre amenazas |
properties.parsedPattern |
Patrones analizados |
|
properties.pattern |
string |
Patrón de una entidad de inteligencia sobre amenazas |
properties.patternType |
string |
Tipo de patrón de una entidad de inteligencia sobre amenazas |
properties.patternVersion |
string |
Versión de patrón de una entidad de inteligencia sobre amenazas |
properties.revoked |
boolean |
¿Se revoca la entidad de inteligencia sobre amenazas? |
properties.source |
string |
Origen de una entidad de inteligencia sobre amenazas |
properties.threatIntelligenceTags |
string[] |
Lista de etiquetas |
properties.threatTypes |
string[] |
Tipos de amenaza |
properties.validFrom |
string |
Válido desde |
properties.validUntil |
string |
Válido hasta |
systemData |
Metadatos de Azure Resource Manager que contienen información sobre los valores de createdBy y modifiedBy. |
|
type |
string |
Tipo de recurso. Por ejemplo, "Microsoft.Compute/virtualMachines" o "Microsoft.Storage/storageAccounts" |
ThreatIntelligenceInformationList
Lista de todos los objetos de información de inteligencia sobre amenazas.
Nombre | Tipo | Description |
---|---|---|
nextLink |
string |
Dirección URL para capturar el siguiente conjunto de objetos de información. |
value | ThreatIntelligenceInformation[]: |
Matriz de objetos de información de inteligencia sobre amenazas. |
ThreatIntelligenceKillChainPhase
Describe la entidad de fase de la cadena de eliminación de amenazas.
Nombre | Tipo | Description |
---|---|---|
killChainName |
string |
Kill chainName name |
phaseName |
string |
Nombre de fase |
ThreatIntelligenceParsedPattern
Describe la entidad de patrón analizada.
Nombre | Tipo | Description |
---|---|---|
patternTypeKey |
string |
Clave de tipo de patrón |
patternTypeValues |
Claves de tipo de patrón |
ThreatIntelligenceParsedPatternTypeValue
Describe la entidad de fase de la cadena de eliminación de amenazas.
Nombre | Tipo | Description |
---|---|---|
value |
string |
Valor del patrón analizado |
valueType |
string |
Tipo del valor |
ThreatIntelligenceResourceInnerKind
El tipo de entidad de inteligencia sobre amenazas
Nombre | Tipo | Description |
---|---|---|
indicator |
string |
La entidad representa un indicador de inteligencia sobre amenazas en el sistema. |