tiIndicator リソースの種類
名前空間: microsoft.graph
重要
Microsoft Graph のバージョンの /beta API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 API が v1.0 で使用できるかどうかを確認するには、 バージョン セレクターを使用します。
脅威インテリジェンス (TI) インジケーターは、悪意のあるアクティビティを識別するために使用されるデータを表します。 組織が脅威インジケーターを使用する場合は、独自の生成、オープンソース フィードからの取得、パートナー組織またはコミュニティとの共有、またはデータのフィードの購入によって、ログ データとの照合にさまざまなセキュリティ ツールでこれらのインジケーターを使用できます。 Microsoft Graphセキュリティ API tiIndicators エンティティを使用すると、許可、ブロック、またはアラートのアクションのために脅威インジケーターを Microsoft セキュリティ ツールにアップロードできます。
tiIndicators を 介してアップロードされた脅威インジケーターは、Microsoft の脅威インテリジェンスと組み合わせて使用され、組織にカスタマイズされたセキュリティ ソリューションを提供します。 tiIndicators エンティティを使用する場合は 、targetProduct プロパティを使用してインジケーターを使用する Microsoft セキュリティ ソリューションを指定し、セキュリティ ソリューションが action プロパティを介してインジケーターを適用するアクション (許可、ブロック、またはアラート) を指定します。
現在 の targetProduct のサポートには、次の内容が含まれます。
Azure Sentinel – 次のセクションに記載されている文書化された tiIndicators メソッドをサポートします。
Microsoft Defender for Endpoint – 次の tiIndicators メソッドを サポートします。
バルク メソッドのサポートは近日公開予定です。
注意
次のインジケーターの種類は、Microsoft Defender for Endpoint targetProduct でサポートされています。
- Files
- IP アドレス: エンドポイント用 Microsoft Defender は、宛先 IPv4/IPv6 のみをサポートします。microsoft Graph Security API tiIndicator の networkDestinationIPv4 プロパティまたは networkDestinationIPv6 プロパティのプロパティを設定します。
- URL/ドメイン
Microsoft Defender for Endpoint には、テナントごとに 15000 のインジケーターの制限があります。
サポートされているインジケーターの種類の詳細と、テナントごとのインジケーターのカウントに対する制限については、「インジケーターを管理する」を参照してください。
メソッド
| メソッド | 戻り値の型 | 説明 |
|---|---|---|
| TI インジケーターを取得する | tiIndicator | tiIndicator オブジェクトのプロパティとリレーションシップを読み取る。 |
| TI インジケーターを作成する | tiIndicator | tiIndicators コレクションに投稿して、新しい tiIndicator を作成します。 |
| TI インジケーターを一覧表示する | tiIndicator コレクション | tiIndicator オブジェクト コレクションを取得します。 |
| 更新 | tiIndicator | tiIndicator オブジェクトを更新します。 |
| Delete | なし | tiIndicator オブジェクトを削除します。 |
| deleteTiIndicators | なし | 複数の tiIndicator オブジェクトを削除します。 |
| deleteTiIndicatorsByExternalId | なし | プロパティによって複数の tiIndicator オブジェクトを削除 externalId します。 |
| submitTiIndicators | tiIndicator コレクション | tiIndicators コレクションを投稿して、新しい tiIndicators を作成します。 |
| updateTiIndicators | tiIndicator コレクション | 複数の tiIndicator オブジェクトを更新します。 |
各ターゲット製品でサポートされるメソッド
| メソッド | Azure Sentinel | Microsoft Defender for Endpoint |
|---|---|---|
| TI インジケーターを作成する | 必須フィールドは、、、、、および少なくとも 1 つの電子メール、ネットワーク、またはファイル action azureTenantId description expirationDateTime targetProduct threatType tlpLevel 監視可能です。 |
必須フィールドは、、 、および次のいずれかの値です。 , , , , ( の場合に指定 action domainName url networkDestinationIPv4 networkDestinationIPv6 fileHashValue fileHashType する必要があります fileHashValue )。 |
| TI インジケーターを送信する | 各 tiIndicator の必須フィールドについては、Create tiIndicator メソッドを参照してください。 要求ごとに 100 tiIndicators の制限があります。 | 各 tiIndicator の必須フィールドについては、Create tiIndicator メソッドを参照してください。 要求ごとに 100 tiIndicators の制限があります。 |
| TI インジケーターを更新する | 必須フィールドは id 、、 expirationDateTime 、 です targetProduct 。 編集可能なフィールドは action activityGroupNames 、、 、 additionalInformation 、 confidence description diamondModel 、 expirationDateTime externalId isActive killChain knownFalsePositives lastReportedDateTime malwareFamilyNames passiveOnly severity tags です tlpLevel 。 |
必須フィールドは id 、、 expirationDateTime 、 です targetProduct 。 編集可能なフィールドは expirationDateTime 、、 severity 、 です description 。 |
| tiIndicators の更新 | 各 tiIndicator の必須フィールドと編集可能フィールドについては、Update tiIndicator メソッドを参照してください。 | |
| TI インジケーターを削除する | 必須フィールドは次の値です id 。 |
必須フィールドは次の値です id 。 |
| tiIndicators の削除 | 各 tiIndicator の必須フィールドについては、上記の Delete tiIndicator メソッドを参照してください。 |
プロパティ
| プロパティ | 種類 | 説明 |
|---|---|---|
| action | string | targetProduct セキュリティ ツール内からインジケーターが一致する場合に適用するアクション。 使用可能な値: unknown、allow、block、alert。 必ず指定します。 |
| activityGroupNames | String コレクション | 脅威インジケーターの対象となる悪意のあるアクティビティを担当する関係者のサイバー脅威インテリジェンス名。 |
| additionalInformation | String | 他の tiIndicator プロパティでカバーされていないインジケーターの追加データを配置できるキャッチオール 領域。 追加のInformationに配置されたデータは、通常、targetProduct セキュリティ ツールでは利用されません。 |
| azureTenantId | String | インジケーターが取り込まれたときにシステムによってスタンプされます。 クライアントAzure Active Directoryのテナント ID を指定します。 必ず指定します。 |
| confidence | Int32 | インジケーター内のデータの信頼度を表す整数は、悪意のある動作を正確に識別します。 許容値は 0 ~ 100 で、100 は最も高い値です。 |
| 説明 | String | インジケーターで表される脅威の簡単な説明 (100 文字以下)。 必ず指定します。 |
| diamondModel | diamondModel | このインジケーターが存在するダイヤモンド モデルの領域。 可能な値は、unknown、adversary、capability、infrastructure、victim です。 |
| expirationDateTime | DateTimeOffset | インジケーターの有効期限を示す DateTime 文字列。 システムで古いインジケーターが保持されるのを避けるためには、すべてのインジケーターに有効期限が必要です。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 必須。 |
| externalId | String | インジケーターをインジケーター プロバイダーのシステム (外部キーなど) に関連付け戻す識別番号。 |
| id | String | インジケーターが取り込まれたときにシステムによって作成されます。 生成された GUID/一意識別子。 読み取り専用。 |
| ingestedDateTime | DateTimeOffset | インジケーターが取り込まれたときにシステムによってスタンプされます。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 |
| isActive | ブール型 | システム内のインジケーターを非アクティブ化するために使用します。 既定では、送信されたインジケーターはアクティブに設定されます。 ただし、プロバイダーは、システム内のインジケーターを非アクティブ化するために、この設定を "False" に設定した既存のインジケーターを送信できます。 |
| killChain | killChain コレクション | このインジケーターが対象とする Kill Chain 上のポイントまたはポイントを表す文字列の JSON 配列。 正確な値については、以下の「killChain values」を参照してください。 |
| knownFalsePositives | String | インジケーターが誤検知を引き起こす可能性があるシナリオ。 これは、人間が読み取り可能なテキストである必要があります。 |
| lastReportedDateTime | DateTimeOffset | インジケーターが最後に表示された時刻。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 |
| malwareFamilyNames | String コレクション | インジケーターが存在する場合、インジケーターに関連付けられているマルウェア ファミリ名。 Microsoft は、セキュリティ インテリジェンスの脅威百科事典を介して見つWindows Defender Microsoft マルウェア ファミリ名を優先します。 |
| passiveOnly | ブール型 | インジケーターがエンド ユーザーに表示されるイベントをトリガーする必要があるかどうかを決定します。 'true' に設定すると、セキュリティ ツールはエンド ユーザーに 'ヒット' が発生したと通知しない。 ほとんどの場合、これはセキュリティ製品によって監査モードまたはサイレント モードとして扱われるので、一致が発生したがアクションは実行されません。 既定値は False です。 |
| severity | Int32 | インジケーター内のデータによって識別される悪意のある動作の重大度を表す整数。 許容値は 0 ~ 5 で、5 は最も厳しく、ゼロは重大ではありません。 既定値は 3 です。 |
| tags | String コレクション | 任意のタグ/キーワードを格納する文字列の JSON 配列。 |
| targetProduct | String | インジケーターを適用する 1 つのセキュリティ製品を表す文字列値。 使用できる値は Azure Sentinel 、、 です Microsoft Defender ATP 。 必須 |
| threatType | threatType | 各インジケーターには、有効なインジケーター脅威の種類が必要です。 使用可能な値は、Botnet、C2、CryptoMining、Darknet、DDoS、MaliciousUrl、Malware、Phishing、Proxy、PUA、WatchList です。 必ず指定します。 |
| tlpLevel | tlpLevel | インジケーターの信号プロトコルの値。 可能な値は、unknown、white、green、amber、red です。 必ず指定します。 |
インジケーター監視 - 電子メール
| プロパティ | 種類 | 説明 |
|---|---|---|
| emailEncoding | String | 電子メールで使用されるテキスト エンコードの種類。 |
| emailLanguage | String | 電子メールの言語。 |
| emailRecipient | String | 受信者の電子メール アドレス。 |
| emailSenderAddress | String | 攻撃者が攻撃を受け取った|アドレス。 |
| emailSenderName | String | 攻撃を受け取った攻撃者の|表示されます。 |
| emailSourceDomain | String | 電子メールで使用されるドメイン。 |
| emailSourceIpAddress | String | 電子メールの送信元 IP アドレス。 |
| emailSubject | String | メールの件名。 |
| emailXMailer | String | 電子メールで使用される X-Mailer 値。 |
インジケーター監視 - ファイル
| プロパティ | 種類 | 説明 |
|---|---|---|
| fileCompileDateTime | DateTimeOffset | ファイルがコンパイルされた日時。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 |
| fileCreatedDateTime | DateTimeOffset | ファイルが作成された日時。タイムスタンプの種類は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時刻です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 |
| fileHashType | string | fileHashValue に格納されているハッシュの種類。 可能な値は、unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph です。 |
| fileHashValue | String | ファイル ハッシュ値。 |
| fileMutexName | String | ファイル ベースの検出で使用されるミュート名。 |
| fileName | String | インジケーターがファイル ベースの場合のファイルの名前。 複数のファイル名をコンマで区切って指定できます。 |
| filePacker | String | 問題のファイルのビルドに使用されるパッカー。 |
| filePath | String | 侵害を示すファイルのパス。 1 つのパスWindows *nix スタイル パスを指定できます。 |
| fileSize | Int64 | ファイルのサイズ (バイト単位)。 |
| fileType | String | ファイルの種類のテキストの説明。 たとえば、"Word Document" または "Binary" などです。 |
インジケーター監視 - ネットワーク
| プロパティ | 種類 | 説明 |
|---|---|---|
| domainName | String | このインジケーターに関連付けられているドメイン名。 subdomain.domain.topleveldomain 形式である必要があります (たとえば、baddomain.domain.net) |
| networkCidrBlock | String | このインジケーターで参照されるネットワークの CIDR ブロック表記表記。 ソースと宛先を識別できない場合にのみ使用します。 |
| networkDestinationAsn | Int32 | インジケーターで参照されるネットワークの宛先自律システム識別子。 |
| networkDestinationCidrBlock | String | このインジケーター内の宛先ネットワークの CIDR ブロック表記表記。 |
| networkDestinationIPv4 | String | IPv4 IP アドレスの宛先。 |
| networkDestinationIPv6 | String | IPv6 IP アドレスの宛先。 |
| networkDestinationPort | Int32 | TCP ポートの宛先。 |
| networkIPv4 | String | IPv4 IP アドレス。 ソースと宛先を識別できない場合にのみ使用します。 |
| networkIPv6 | String | IPv6 IP アドレス。 ソースと宛先を識別できない場合にのみ使用します。 |
| networkPort | Int32 | TCP ポート。 ソースと宛先を識別できない場合にのみ使用します。 |
| networkProtocol | Int32 | IPv4 ヘッダーのプロトコル フィールドの 10 進表記。 |
| networkSourceAsn | Int32 | インジケーターで参照されるネットワークのソース自律システム識別子。 |
| networkSourceCidrBlock | String | このインジケーターのソース ネットワークの CIDR ブロック表記表記 |
| networkSourceIPv4 | String | IPv4 IP アドレス ソース。 |
| networkSourceIPv6 | String | IPv6 IP アドレス ソース。 |
| networkSourcePort | Int32 | TCP ポート ソース。 |
| url | String | Uniform Resource Locator。 この URL は RFC 1738 に準拠している必要があります。 |
| userAgent | String | User-Agentを示す可能性がある Web 要求から文字列を取得します。 |
diamondModel の値
このモデルの詳細については 、「The Diamond Model」を参照してください。
| メンバー | 値 | 説明 |
|---|---|---|
| 不明 | 0 | |
| 敵対者 | 1 | インジケーターは、敵対者を表します。 |
| capability | 2 | インジケーターは、敵対者の機能です。 |
| インフラストラクチャ | 3 | このインジケーターは、敵対者のインフラストラクチャについて説明します。 |
| victim | 4 | このインジケーターは、敵対者の被害者を示します。 |
| unknownFutureValue | 127 |
killChain の値
| メンバー | 説明 |
|---|---|
| Actions | 攻撃者が侵害されたシステムを利用して、分散サービス拒否攻撃などのアクションを実行している可能性があります。 |
| C2 | 侵害されたシステムを操作するコントロール チャネルを表します。 |
| 配信 | 悪用コードを被害者 (USB、電子メール、Web サイトなど) に配布するプロセス。 |
| 悪用 | 脆弱性を利用した悪用コード (コードの実行など)。 |
| インストール | 脆弱性が悪用された後にマルウェアをインストールする。 |
| 偵察 | インジケーターは、将来の攻撃で使用されるアクティビティ グループの収集情報を示す証拠です。 |
| 武器化 | 脆弱性を悪用コード (マルウェアなど) に変換する。 |
threatType の値
| メンバー | 説明 |
|---|---|
| ボットネット | インジケーターはボットネット ノード/メンバーの詳細を示しています。 |
| C2 | インジケーターは、ボットネットのコマンド &コントロール ノードの詳細を示しています。 |
| CryptoMining | このネットワーク アドレス/URL に関係するトラフィックは、CyrptoMining /リソースの乱用を示します。 |
| Darknet | インジケーターは、Darknet ノード/ネットワークのインジケーターです。 |
| DDoS | アクティブまたは今後の DDoS キャンペーンに関連するインジケーター。 |
| MaliciousUrl | マルウェアを提供している URL。 |
| マルウェア | 悪意のあるファイルまたはファイルを記述するインジケーター。 |
| フィッシング詐欺 | フィッシング キャンペーンに関連するインジケーター。 |
| プロキシ | インジケーターはプロキシ サービスの指標です。 |
| PUA | 望ましくない可能性のあるアプリケーション。 |
| WatchList | これは、脅威の正確な判断ができない場合、または手動による解釈が必要な場合にインジケーターを配置する汎用バケットです。 これは、通常、システムにデータを送信するパートナーによって使用される必要があります。 |
tlpLevel 値
すべてのインジケーターは、送信時に信号プロトコルの値も持っている必要があります。 この値は、特定のインジケーターの感度と共有範囲を表します。
| メンバー | 説明 |
|---|---|
| ホワイト | 共有範囲: 無制限。 インジケーターは制限なく自由に共有できます。 |
| 緑 | 共有範囲: Community。 インジケーターはセキュリティ コミュニティと共有できます。 |
| Amber | 共有範囲: 制限付き。 これはインジケーターの既定の設定であり、共有を '知る必要がある' が 1) 脅威インテリジェンスを実装するサービスおよびサービスオペレーターにのみ制限します 2) システムがインジケーターと一致する動作を示す顧客。 |
| 赤 | 共有範囲: 個人用。 これらのインジケーターは直接のみ共有し、できれば直接共有する必要があります。 通常、TLP Red インジケーターは事前に定義された制限のために取り込みされません。 TLP Red インジケーターが送信された場合は、"PassiveOnly" プロパティも同様に True 設定する必要があります。 |
リレーションシップ
なし。
JSON 表記
リソースの JSON 表記を次に示します。
{
"action": "string",
"activityGroupNames": ["String"],
"additionalInformation": "String",
"azureTenantId": "String",
"confidence": 1024,
"description": "String",
"diamondModel": "string",
"domainName": "String",
"emailEncoding": "String",
"emailLanguage": "String",
"emailRecipient": "String",
"emailSenderAddress": "String",
"emailSenderName": "String",
"emailSourceDomain": "String",
"emailSourceIpAddress": "String",
"emailSubject": "String",
"emailXMailer": "String",
"expirationDateTime": "String (timestamp)",
"externalId": "String",
"fileCompileDateTime": "String (timestamp)",
"fileCreatedDateTime": "String (timestamp)",
"fileHashType": "string",
"fileHashValue": "String",
"fileMutexName": "String",
"fileName": "String",
"filePacker": "String",
"filePath": "String",
"fileSize": 1024,
"fileType": "String",
"id": "String (identifier)",
"ingestedDateTime": "String (timestamp)",
"isActive": true,
"killChain": ["String"],
"knownFalsePositives": "String",
"lastReportedDateTime": "String (timestamp)",
"malwareFamilyNames": ["String"],
"networkCidrBlock": "String",
"networkDestinationAsn": 1024,
"networkDestinationCidrBlock": "String",
"networkDestinationIPv4": "String",
"networkDestinationIPv6": "String",
"networkDestinationPort": 1024,
"networkIPv4": "String",
"networkIPv6": "String",
"networkPort": 1024,
"networkProtocol": 1024,
"networkSourceAsn": 1024,
"networkSourceCidrBlock": "String",
"networkSourceIPv4": "String",
"networkSourceIPv6": "String",
"networkSourcePort": 1024,
"passiveOnly": true,
"severity": 1024,
"tags": ["String"],
"targetProduct": "String",
"threatType": "String",
"tlpLevel": "string",
"url": "String",
"userAgent": "String"
}
フィードバック
フィードバックの送信と表示