tiindicator リソースの種類tiIndicator resource type

重要

Microsoft Graph の/betaバージョンの api は変更される可能性があります。APIs under the /beta version in Microsoft Graph are subject to change. 実稼働アプリケーションでは、これらの API の使用はサポートされていません。Use of these APIs in production applications is not supported.

脅威インテリジェンス (TI) インジケーターは、悪意のあるアクティビティを識別するために使用されるデータを表します。Threat intelligence (TI) indicators represent data used to identify malicious activities. 組織が脅威指標を使用する場合 (独自のものを生成する、オープンソースフィードから情報を取得する、パートナー組織またはコミュニティと共有する、データのフィードを購入するなど)、さまざまなセキュリティでこれらの指標を使用することをお勧めします。ログデータと照合するためのツール。If your organization works with threat indicators, either by generating your own, obtaining them from open source feeds, sharing with partner organizations or communities, or by purchasing feeds of data, you might want to use these indicators in various security tools for matching with log data. microsoft Graph セキュリティ API のtiindicatorsエンティティを使用すると、許可、ブロック、または警告のアクションについて、脅威インジケーターを microsoft セキュリティツールにアップロードすることができます。The Microsoft Graph Security API tiIndicators entity allows you to upload your threat indicators to Microsoft security tools for the actions of allow, block, or alert.

tiindicators によっ**** てアップロードされた脅威指標は、組織に合わせてカスタマイズされたセキュリティソリューションを提供するために、Microsoft の脅威インテリジェンスと組み合わせて使用されます。Threat indicators uploaded via tiIndicators will be used in conjunction with Microsoft threat intelligence to provide a customized security solution for your organization. tiindicators エンティティ**** を使用する場合は、 targetproductプロパティを使用してインジケーターを使用する Microsoft セキュリティソリューションを指定し、セキュリティソリューションが必要とするアクション (許可、ブロック、または警告) を指定します。アクションプロパティを使用して、インジケーターを適用します。When using the tiIndicators entity, you specify the Microsoft security solution you want to utilize the indicators for via the targetProduct property and you specify the action (allow, block, or alert) to which the security solution should apply the indicators via the action property.

メソッドMethods

メソッドMethod 戻り値の型Return Type 説明Description
Get tiIndicatorGet tiIndicator tiindicatortiIndicator tiindicator オブジェクトのプロパティとリレーションシップを読み取ります。Read properties and relationships of tiIndicator object.
Create tiIndicatorCreate tiIndicator tiindicatortiIndicator tiindicator コレクションへの投稿によって、新しい tiindicator を作成します。Create a new tiIndicator by posting to the tiIndicators collection.
List tiIndicatorsList tiIndicators tiindicatorコレクションtiIndicator collection tiindicator オブジェクトのコレクションを取得します。Get a tiIndicator object collection.
更新するUpdate tiindicatortiIndicator tiindicator オブジェクトを更新します。Update tiIndicator object.
削除Delete なしNone tiindicator オブジェクトを削除します。Delete tiIndicator object.
deleteTiIndicatorsdeleteTiIndicators なしNone 複数の tiindicator オブジェクトを削除します。Delete multiple tiIndicator objects.
deleteTiIndicatorsByExternalIddeleteTiIndicatorsByExternalId なしNone externalIdプロパティによって複数の tiindicator オブジェクトを削除します。Delete multiple tiIndicator objects by the externalId property.
submitTiIndicatorssubmitTiIndicators tiindicatorコレクションtiIndicator collection tiindicators コレクションを投稿して、新しい tiindicators を作成します。Create new tiIndicators by posting a tiIndicators collection.
updateTiIndicatorsupdateTiIndicators tiindicatorコレクションtiIndicator collection 複数の tiindicator オブジェクトを更新します。Update multiple tiIndicator objects.

プロパティProperties

プロパティProperty Type 説明Description
actionaction stringstring インジケーターが targetproduct セキュリティツール内から一致した場合に適用するアクション。The action to apply if the indicator is matched from within the targetProduct security tool. 使用可能な値は、unknownallowblockalert です。Possible values are: unknown, allow, block, alert. 必須です。Required.
activitygroupnamesactivityGroupNames String collectionString collection 脅威指標でカバーされる悪意のあるアクティビティを担当する、その当事者のためのサイバー脅威インテリジェンス名。The cyber threat intelligence name(s) for the parties responsible for the malicious activity covered by the threat indicator.
additionalinformationadditionalInformation StringString 他の tiindicator プロパティでカバーされていない特別なデータが配置される可能性がある catchall 領域。A catchall area into which extra data from the indicator not covered by the other tiIndicator properties may be placed. 通常、additionalinformation に配置されるデータは、targetproduct セキュリティツールでは使用されません。Data placed into additionalInformation will typically not be utilized by the targetProduct security tool.
azureTenantIdazureTenantId StringString インジケーターが取り込まれたのときに、システムによってスタンプされます。Stamped by the system when the indicator is ingested. 送信クライアントの Azure Active Directory テナント id。The Azure Active Directory tenant id of submitting client. 必須です。Required.
confidenceconfidence Int32Int32 インジケーター内のデータが悪意のある動作を正確に特定していることを表す整数。An integer representing the confidence the data within the indicator accurately identifies malicious behavior. 指定できる値は 0 ~ 100 で、100は最高です。Acceptable values are 0 – 100 with 100 being the highest.
descriptiondescription StringString インジケーターで表される脅威の簡単な説明 (100 文字以内)。Brief description (100 characters or less) of the threat represented by the indicator. 必須です。Required.
diamondModeldiamondModel diamondModeldiamondModel このインジケーターが存在する菱形モデルの領域。The area of the Diamond Model in which this indicator exists. 可能な値は、unknownadversarycapabilityinfrastructurevictim です。Possible values are: unknown, adversary, capability, infrastructure, victim.
expirationDateTimeexpirationDateTime DateTimeOffsetDateTimeOffset インジケーターがいつ期限切れになるかを示す DateTime 文字列。DateTime string indicating when the Indicator expires. システム内の古いインジケーターが保持されないようにするには、すべてのインジケーターに有効期限が設定されている必要があります。All indicators must have an expiration date to avoid stale indicators persisting in the system. Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、'2014-01-01T00:00:00Z' のようになります。For example, midnight UTC on Jan 1, 2014 would look like this: '2014-01-01T00:00:00Z'. 必須です。Required.
externalIdexternalId StringString インジケーターをインジケータープロバイダーのシステム (例: 外部キー) に結びつける識別番号。An identification number that ties the indicator back to the indicator provider’s system (e.g. a foreign key).
idid StringString インジケーターが取り込まれたの場合に、システムによって作成されます。Created by the system when the indicator is ingested. 生成された GUID/一意の識別子。Generated GUID/unique identifier. 読み取り専用です。Read-only.
ingestedDateTimeingestedDateTime DateTimeOffsetDateTimeOffset インジケーターが取り込まれたのときに、システムによってスタンプされます。Stamped by the system when the indicator is ingested. Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、必ず UTC 時間です。The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、次のようになります。'2014-01-01T00:00:00Z'For example, midnight UTC on Jan 1, 2014 would look like this: '2014-01-01T00:00:00Z'
isActiveisActive BooleanBoolean システム内のインジケーターを非アクティブ化するために使用されます。Used to deactivate indicators within system. 既定では、送信されたインジケーターはすべてアクティブとして設定されます。By default, any indicator submitted is set as active. ただし、プロバイダーは、この設定を使用した既存のインジケーターを ' False ' に送信して、システム内のインジケーターを非アクティブ化することができます。However, providers may submit existing indicators with this set to ‘False’ to deactivate indicators in the system.
"出てきたチェイン"killChain 指定したコレクションkillChain collection このインジケーターが対象とする、キルチェーン上の点または点を表す文字列の JSON 配列。A JSON array of strings that describes which point or points on the Kill Chain this indicator targets. 正確な値については、以下の「次を参照してください」を参照してください。See ‘killChain values’ below for exact values.
knownfalse 陽性knownFalsePositives StringString インジケーターが誤検知を引き起こす可能性があるシナリオ。Scenarios in which the indicator may cause false positives. これは、人間が判読できるテキストである必要があります。This should be human-readable text.
lastReportedDateTimelastReportedDateTime DateTimeOffsetDateTimeOffset 最後にインジケーターが表示された時刻。The last time the indicator was seen. Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、必ず UTC 時間です。The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、次のようになります。'2014-01-01T00:00:00Z'For example, midnight UTC on Jan 1, 2014 would look like this: '2014-01-01T00:00:00Z'
悪意のある refrefamilynamesmalwareFamilyNames String collectionString collection インジケーターに関連付けられたマルウェアファミリ名 (存在する場合)。The malware family name associated with an indicator if it exists. microsoft では、Windows Defender セキュリティインテリジェンスの脅威の百科事典を使用して検出できる場合は、microsoft マルウェアファミリ名を推奨しています。Microsoft prefers the Microsoft malware family name if at all possible which can be found via the Windows Defender Security Intelligence threat encyclopedia.
「いいえ veonly」passiveOnly BooleanBoolean エンドユーザーに表示されるイベントをインジケーターがトリガーするかどうかを決定します。Determines if the indicator should trigger an event that is visible to an end-user. [true] に設定されている場合、セキュリティツールは、' hit ' が発生したことをエンドユーザーに通知しません。When set to ‘true,’ security tools will not notify the end user that a ‘hit’ has occurred. これは、通常、一致が発生したが、その操作は実行されないことをログに記録するセキュリティ製品によって、監査またはサイレントモードとして扱われます。This is most often treated as audit or silent mode by security products where they will simply log that a match occurred but will not perform the action. 既定値は False です。Default value is false.
重大度severity Int32Int32 インジケーター内のデータによって識別される、悪意のある動作の重要度を表す整数。An integer representing the severity of the malicious behavior identified by the data within the indicator. 指定可能な値は0–5で、5は最も深刻であり、0はまったく重要ではありません。Acceptable values are 0 – 5 where 5 is the most severe and zero is not severe at all. 既定値は3です。Default value is 3.
tagstags String コレクションString collection 任意のタグ/キーワードを格納する文字列の JSON 配列。A JSON array of strings that stores arbitrary tags/keywords.
targetproducttargetProduct StringString インジケーターを適用する1つのセキュリティ製品を表す文字列型 (string) の値を指定します。A string value representing a single security product to which the indicator should be applied. 指定できる値はAzure Sentinel次のとおりです。Acceptable values are: Azure Sentinel. 必須Required
threatTypethreatType threatTypethreatType 各インジケーターには、有効なインジケーターの脅威の種類が含まれている必要があります。Each indicator must have a valid Indicator Threat Type. 使用可能な値は、BotnetC2CryptoMiningDarknetDDoSMaliciousUrlMalwarePhishingProxyPUAWatchList です。Possible values are: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList. 必須です。Required.
tlpLeveltlpLevel tlpLeveltlpLevel インジケーターのトラフィックライトプロトコルの値。Traffic Light Protocol value for the indicator. 可能な値は、unknownwhitegreenamberred です。Possible values are: unknown, white, green, amber, red. 必須です。Required.

インジケーター Observables-電子メールIndicator Observables - Email

プロパティProperty Type 説明Description
emailencodingemailEncoding StringString 電子メールで使用されるテキストエンコードの種類。The type of text encoding used in the email.
emaillanguageemailLanguage StringString 電子メールの言語。The language of the email.
emailrecipientemailRecipient StringString 受信者の電子メールアドレス。Recipient email address.
emailSenderAddressemailSenderAddress StringString attacker& # 124; 犠牲者の電子メールアドレス。Email address of the attacker|victim.
emailsendernameemailSenderName StringString attacker& # 124; 犠牲者の表示名。Displayed name of the attacker|victim.
emailsourcedomainemailSourceDomain StringString 電子メールで使用されるドメイン。Domain used in the email.
emailSourceIpAddressemailSourceIpAddress StringString 電子メールの送信元 IP アドレス。Source IP address of email.
emailSubjectemailSubject StringString 電子メールの件名。Subject line of email.
emailxmaileremailXMailer StringString 電子メールで使用される X メーラの値。X-Mailer value used in the email.

インジケーター Observables-ファイルIndicator Observables - File

プロパティProperty Type 説明Description
fileCompileDateTimefileCompileDateTime DateTimeOffsetDateTimeOffset ファイルがコンパイルされた日時。DateTime when the file was compiled. Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、必ず UTC 時間です。The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、次のようになります。'2014-01-01T00:00:00Z'For example, midnight UTC on Jan 1, 2014 would look like this: '2014-01-01T00:00:00Z'
fileCreatedDateTimefileCreatedDateTime DateTimeOffsetDateTimeOffset ファイルが作成された日時。Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。DateTime when the file was created.The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、次のようになります。'2014-01-01T00:00:00Z'For example, midnight UTC on Jan 1, 2014 would look like this: '2014-01-01T00:00:00Z'
fileHashTypefileHashType stringstring filehashvalue に格納されているハッシュの種類。The type of hash stored in fileHashValue. 可能な値は、unknownsha1sha256md5authenticodeHash256lsHashctph です。Possible values are: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph.
filehashvaluefileHashValue StringString ファイルハッシュ値。The file hash value.
filemutexnamefileMutexName StringString ファイルベースの検出で使用されるミューテックス名。Mutex name used in file-based detections.
fileNamefileName StringString マークがファイルベースの場合は、ファイルの名前。Name of the file if the indicator is file-based. 複数のファイル名をコンマで区切ることができます。Multiple file names may be delimited by commas.
filepackerfilePacker StringString 対象のファイルをビルドするために使用される packer。The packer used to build the file in question.
パスfilePath StringString 危険を示しているファイルのパス。Path of file indicating compromise. Windows または * nix スタイルパスの場合があります。May be a Windows or *nix style path.
fileSizefileSize Int64Int64 ファイルのサイズ (バイト単位)。Size of the file in bytes.
fileTypefileType StringString ファイルの種類の説明テキスト。Text description of the type of file. たとえば、「Word 文書」や「バイナリ」などです。For example, “Word Document” or “Binary”.

インジケーター Observables-ネットワークIndicator Observables - Network

プロパティProperty Type 説明Description
domainNamedomainName StringString このインジケーターに関連付けられているドメイン名。Domain name associated with this indicator. topleveldomain の形式にする必要があります (たとえば、baddomain.domain.net)。Should be of the format subdomain.domain.topleveldomain (For example, baddomain.domain.net)
networkCidrBlocknetworkCidrBlock StringString このインジケーターで参照されているネットワークの CIDR ブロック表記表現。CIDR Block notation representation of the network referenced in this indicator. 送信元と送信先を識別できない場合にのみ使用します。Use only if the Source and Destination cannot be identified.
networkdestinationasnnetworkDestinationAsn Int32Int32 インジケーターで参照されているネットワークの宛先自律システム識別子。The destination autonomous system identifier of the network referenced in the indicator.
networkDestinationCidrBlocknetworkDestinationCidrBlock StringString このインジケーターに含まれる、宛先ネットワークの CIDR ブロック表記表現。CIDR Block notation representation of the destination network in this indicator.
networkDestinationIPv4networkDestinationIPv4 StringString IPv4 IP アドレスの宛先。IPv4 IP address destination.
networkDestinationIPv6networkDestinationIPv6 StringString IPv6 IP アドレスの宛先。IPv6 IP address destination.
networkdestinationportnetworkDestinationPort Int32Int32 TCP ポートの宛先。TCP port destination.
networkIPv4networkIPv4 StringString IPv4 IP アドレス。IPv4 IP address. 送信元と送信先を識別できない場合にのみ使用します。Use only if the Source and Destination cannot be identified.
networkIPv6networkIPv6 StringString IPv6 IP アドレス。IPv6 IP address. 送信元と送信先を識別できない場合にのみ使用します。Use only if the Source and Destination cannot be identified.
networkportnetworkPort Int32Int32 TCP ポート。TCP port. 送信元と送信先を識別できない場合にのみ使用します。Use only if the Source and Destination cannot be identified.
networkprotocolnetworkProtocol Int32Int32 IPv4 ヘッダーの protocol フィールドの10進表現。Decimal representation of the protocol field in the IPv4 header.
networksourceasnnetworkSourceAsn Int32Int32 インジケーターで参照されているネットワークの送信元の自律システム識別子。The source autonomous system identifier of the network referenced in the indicator.
networksourc要素 drblocknetworkSourceCidrBlock StringString このインジケーターに表示されるソースネットワークの CIDR ブロック表記CIDR Block notation representation of the source network in this indicator
networkSourceIPv4networkSourceIPv4 StringString IPv4 IP アドレスソース。IPv4 IP Address source.
networkSourceIPv6networkSourceIPv6 StringString IPv6 IP アドレスソース。IPv6 IP Address source.
networksourceportnetworkSourcePort Int32Int32 TCP ポートのソース。TCP port source.
urlurl StringString Uniform resource Locator。Uniform Resource Locator. この URL は、RFC 1738 に準拠している必要があります。This URL must comply with RFC 1738.
userAgentuserAgent StringString 危険を示している可能性がある web 要求のユーザーエージェント文字列。User-Agent string from a web request that could indicate compromise.

diamondModel の値diamondModel values

このモデルの詳細については、ダイヤモンドモデルを参照してください。For information about this model, see The Diamond Model.

メンバーMember Value 説明Description
不明unknown .00
攻撃adversary 1-d1 このマークは、敵対について説明します。The indicator describes the adversary.
capabilitycapability pbm-22 インジケーターは敵対機の機能です。Indicator is a capability of the adversary.
構築infrastructure 1/33 このインジケーターは、敵対のインフラストラクチャを示しています。The indicator describes infrastructure of the adversary.
犠牲victim 2/44 インジケーターは、敵対者の被害者を示します。The indicator describes the victim of the adversary.
unknownfuturevalue というunknownFutureValue 127127

指定した値の継承killChain values

メンバーMember 説明Description
アクションActions セキュリティ侵害されたシステムを悪用して、分散型のサービス拒否攻撃などの操作を実行していることを、攻撃者が示しています。Indcates that the attacker is leveraging the compromised system to take actions such as a distributed denial of service attack.
基準C2 侵害されたシステムの操作によって制御されるチャネルを表します。Represents the control channel by which a compromised system is manipulated.
DeliveryDelivery 悪用コードを (例: USB、電子メール、web サイトなどの) 被害に分配するプロセス。The process of distributing the exploit code to victims (for example USB, email, websites).
活用Exploitation 脆弱性を利用するエクスプロイトコード (例: コードの実行)。The exploit code taking advantage of vulnerabilities (for example, code execution).
インストールInstallation 脆弱性が悪用された後にマルウェアをインストールする。Installing malware after a vulnerability has been exploited.
予備Reconnaissance マークは、今後の攻撃で使用されるアクティビティグループの情報の証拠です。Indicator is evidence of an activity group harvesting information to be used in a future attack.
WeaponizationWeaponization 脆弱性を悪用コードに変える (たとえば、マルウェア)。Turning a vulnerability into exploit code (for example, malware).

threatType の値threatType values

メンバーMember 説明Description
ますBotnet インジケーターは、ます node/member の詳細を示しています。Indicator is detailing a botnet node/member.
基準C2 インジケーターは、ますのコマンド & Control ノードの詳細を示しています。Indicator is detailing a Command & Control node of a botnet.
cryptominingCryptoMining このネットワークアドレスまたは URL を含むトラフィックは、CyrptoMining/リソースの乱用を示しています。Traffic involving this network address / URL is an indication of CyrptoMining / Resource abuse.
DarknetDarknet インジケーターは、Darknet ノード/ネットワークのものです。Indicator is that of a Darknet node/network.
DDoSDDoS アクティブまたは今後の DDoS キャンペーンに関連する指標。Indicators relating to an active or upcoming DDoS campaign.
MaliciousUrlMaliciousUrl マルウェアに対して提供されている URL。URL that is serving malware.
マルウェアMalware 悪意のあるファイルやファイルを説明するインジケーター。Indicator describing a malicious file or files.
フィッシングPhishing フィッシングキャンペーンに関連するインジケーター。Indicators relating to a phishing campaign.
プロキシProxy インジケーターは、プロキシサービスのことです。Indicator is that of a proxy service.
私用PUA 望ましくない可能性があるアプリケーション。Potentially Unwanted Application.
WatchListWatchList これは、脅威が正確であるかどうか、または手動での解釈が必要な場合に、インジケーターが配置される一般的なバケットです。This is the generic bucket into which indicators are placed when it cannot be determined exactly what the threat is or will require manual interpretation. これは通常、システムにデータを送信するパートナーによって使用されることはありません。This should typically not be used by partners submitting data into the system.

tlpLevel の値tlpLevel values

また、すべてのインジケーターに、送信時にトラフィック信号プロトコルの値が含まれている必要があります。Every indicator must also have a Traffic Light Protocol value when it is submitted. この値は、特定のインジケーターの感度と共有の範囲を表します。This value represents the sensitivity and sharing scope of a given indicator.

メンバーMember 説明Description
ホワイトWhite 共有スコープ: 無制限。Sharing scope: Unlimited. インジケーターは無制限に共有できます。制限はありません。Indicators can be shared freely, without restriction.
Green 共有スコープ: コミュニティ。Sharing scope: Community. インジケーターはセキュリティコミュニティと共有できます。Indicators may be shared with the security community.
黄色いAmber 共有スコープ: 制限されています。Sharing scope: Limited. これは、インジケーターの既定の設定であり、システムの動作がインジケーターと一致することを示す、脅威インテリジェンス2を実装するサービスおよびサービスオペレーターに対してのみ、共有を制限します。This is the default setting for indicators and restricts sharing to only those with a ‘need-to-know’ being 1) Services and service operators that implement threat intelligence 2) Customers whose system(s) exhibit behavior consistent with the indicator.
Red 共有スコープ: Personal。Sharing scope: Personal. これらのインジケーターは、本人でのみ直接共有されるようになっています。These indicators are to only be shared directly and, preferably, in person. 通常は、指定された制限によって tlp 赤のインジケーターは取り込まれたされません。Typically, TLP Red indicators are not ingested due to their pre-defined restrictions. tlp 赤のインジケーターが送信された場合は、"" "の表示のTrue設定のみ" プロパティをに設定する必要があります。If TLP Red indicators are submitted, the “PassiveOnly” property should be set to True as well.

リレーションシップRelationships

なし。None.

JSON 表記JSON representation

リソースの JSON 表記を次に示します。The following is a JSON representation of the resource.

{
  "action": "string",
  "activityGroupNames": ["String"],
  "additionalInformation": "String",
  "azureTenantId": "String",
  "confidence": 1024,
  "description": "String",
  "diamondModel": "string",
  "domainName": "String",
  "emailEncoding": "String",
  "emailLanguage": "String",
  "emailRecipient": "String",
  "emailSenderAddress": "String",
  "emailSenderName": "String",
  "emailSourceDomain": "String",
  "emailSourceIpAddress": "String",
  "emailSubject": "String",
  "emailXMailer": "String",
  "expirationDateTime": "String (timestamp)",
  "externalId": "String",
  "fileCompileDateTime": "String (timestamp)",
  "fileCreatedDateTime": "String (timestamp)",
  "fileHashType": "string",
  "fileHashValue": "String",
  "fileMutexName": "String",
  "fileName": "String",
  "filePacker": "String",
  "filePath": "String",
  "fileSize": 1024,
  "fileType": "String",
  "id": "String (identifier)",
  "ingestedDateTime": "String (timestamp)",
  "isActive": true,
  "killChain": ["String"],
  "knownFalsePositives": "String",
  "lastReportedDateTime": "String (timestamp)",
  "malwareFamilyNames": ["String"],
  "networkCidrBlock": "String",
  "networkDestinationAsn": 1024,
  "networkDestinationCidrBlock": "String",
  "networkDestinationIPv4": "String",
  "networkDestinationIPv6": "String",
  "networkDestinationPort": 1024,
  "networkIPv4": "String",
  "networkIPv6": "String",
  "networkPort": 1024,
  "networkProtocol": 1024,
  "networkSourceAsn": 1024,
  "networkSourceCidrBlock": "String",
  "networkSourceIPv4": "String",
  "networkSourceIPv6": "String",
  "networkSourcePort": 1024,
  "passiveOnly": true,
  "severity": 1024,
  "tags": ["String"],
  "targetProduct": "String",
  "threatType": "String",
  "tlpLevel": "string",
  "url": "String",
  "userAgent": "String"
}