tiIndicator を更新するUpdate tiIndicator

重要

Microsoft Graph の/betaバージョンの api は変更される可能性があります。APIs under the /beta version in Microsoft Graph are subject to change. 実稼働アプリケーションでは、これらの API の使用はサポートされていません。Use of these APIs in production applications is not supported.

Tiindicatorオブジェクトのプロパティを更新します。Update the properties of a tiIndicator object.

アクセス許可Permissions

この API を呼び出すには、次のいずれかのアクセス許可が必要です。アクセス許可の選択方法などの詳細については、「アクセス許可」を参照してください。One of the following permissions is required to call this API. To learn more, including how to choose permissions, see Permissions.

アクセス許可の種類Permission type アクセス許可 (特権の小さいものから大きいものへ)Permissions (from least to most privileged)
委任 (職場または学校のアカウント)Delegated (work or school account) ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy
委任 (個人用 Microsoft アカウント)Delegated (personal Microsoft account) サポートされていません。Not supported.
アプリケーションApplication ThreatIndicators.ReadWrite.OwnedByThreatIndicators.ReadWrite.OwnedBy

HTTP 要求HTTP request

PATCH /security/tiIndicators/{id}

要求ヘッダーRequest headers

名前Name 説明Description
AuthorizationAuthorization ベアラー {コード} が必要ですBearer {code} Required
PreferPrefer 戻り値 = 表現return=representation

要求本文Request body

要求本文で、更新する関連フィールドの値を指定します。In the request body, supply the values for relevant fields that should be updated. 要求本文に含まれない既存のプロパティは、以前の値のままになるか、他のプロパティ値の変化に基づいて再計算されます。Existing properties that are not included in the request body will maintain their previous values or be recalculated based on changes to other property values. 最適なパフォーマンスを得るために、変更されていない既存の値を含めないでください。For best performance, don't include existing values that haven't changed.

プロパティProperty Type 説明Description
actionaction stringstring インジケーターが targetProduct セキュリティツール内から一致した場合に適用するアクション。The action to apply if the indicator is matched from within the targetProduct security tool. 使用可能な値は、unknownallowblockalert です。Possible values are: unknown, allow, block, alert.
activityGroupNamesactivityGroupNames 文字列コレクションString collection 脅威指標でカバーされる悪意のあるアクティビティを担当する、その当事者のためのサイバー脅威インテリジェンス名。The cyber threat intelligence name(s) for the parties responsible for the malicious activity covered by the threat indicator.
additionalInformationadditionalInformation StringString 他の tiIndicator プロパティでカバーされていない特別なデータが配置される可能性がある catchall 領域。A catchall area into which extra data from the indicator not covered by the other tiIndicator properties may be placed. 通常、additionalInformation に配置されるデータは、targetProduct セキュリティツールでは使用されません。Data placed into additionalInformation will typically not be utilized by the targetProduct security tool.
confidenceconfidence Int32Int32 インジケーター内のデータが悪意のある動作を正確に特定していることを表す整数。An integer representing the confidence the data within the indicator accurately identifies malicious behavior. 指定できる値は 0 ~ 100 で、100は最高です。Acceptable values are 0 – 100 with 100 being the highest.
descriptiondescription StringString インジケーターで表される脅威の簡単な説明 (100 文字以内)。Brief description (100 characters or less) of the threat represented by the indicator.
diamondModeldiamondModel diamondModeldiamondModel このインジケーターが存在する菱形モデルの領域。The area of the Diamond Model in which this indicator exists. 可能な値は、unknownadversarycapabilityinfrastructurevictim です。Possible values are: unknown, adversary, capability, infrastructure, victim.
expirationDateTimeexpirationDateTime DateTimeOffsetDateTimeOffset インジケーターがいつ期限切れになるかを示す DateTime 文字列。DateTime string indicating when the Indicator expires. システム内の古いインジケーターが保持されないようにするには、すべてのインジケーターに有効期限が設定されている必要があります。All indicators must have an expiration date to avoid stale indicators persisting in the system. Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表します。これは常に UTC 時間です。The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、次のようになります。2014-01-01T00:00:00ZFor example, midnight UTC on Jan 1, 2014 would look like this: 2014-01-01T00:00:00Z.
externalIdexternalId StringString インジケーターをインジケータープロバイダーのシステム (例: 外部キー) に結びつける識別番号。An identification number that ties the indicator back to the indicator provider’s system (e.g. a foreign key).
isActiveisActive BooleanBoolean システム内のインジケーターを非アクティブ化するために使用されます。Used to deactivate indicators within system. 既定では、送信されたインジケーターはすべてアクティブとして設定されます。By default, any indicator submitted is set as active. ただし、プロバイダーは、この設定を使用した既存のインジケーターを ' False ' に送信して、システム内のインジケーターを非アクティブ化することができます。However, providers may submit existing indicators with this set to ‘False’ to deactivate indicators in the system.
"出てきたチェイン"killChain 指定したコレクションkillChain collection このインジケーターが対象とする、キルチェーン上の点または点を表す文字列の JSON 配列。A JSON array of strings that describes which point or points on the Kill Chain this indicator targets. 正確な値については、以下の「"" を参照」の値」を参照してください。See "killChain values" below for exact values.
Knownfalse 陽性knownFalsePositives StringString インジケーターが誤検知を引き起こす可能性があるシナリオ。Scenarios in which the indicator may cause false positives. これは、人間が判読できるテキストである必要があります。This should be human-readable text.
lastReportedDateTimelastReportedDateTime DateTimeOffsetDateTimeOffset 最後にインジケーターが表示された時刻。The last time the indicator was seen. Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、必ず UTC 時間です。The Timestamp type represents date and time information using ISO 8601 format and is always in UTC time. たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、次のようになります。2014-01-01T00:00:00ZFor example, midnight UTC on Jan 1, 2014 would look like this: 2014-01-01T00:00:00Z
悪意のある RefrefamilynamesmalwareFamilyNames 文字列コレクションString collection インジケーターに関連付けられたマルウェアファミリ名 (存在する場合)。The malware family name associated with an indicator if it exists. Microsoft では、Windows Defender セキュリティインテリジェンスの脅威の百科事典を使用して検出できる場合は、microsoft マルウェアファミリ名を推奨しています。Microsoft prefers the Microsoft malware family name if at all possible which can be found via the Windows Defender Security Intelligence threat encyclopedia.
「いいえ Veonly」passiveOnly BooleanBoolean エンドユーザーに表示されるイベントをインジケーターがトリガーするかどうかを決定します。Determines if the indicator should trigger an event that is visible to an end-user. [True] に設定されている場合、セキュリティツールは、' hit ' が発生したことをエンドユーザーに通知しません。When set to ‘true,’ security tools will not notify the end user that a ‘hit’ has occurred. これは、通常、一致が発生したが、その操作は実行されないことをログに記録するセキュリティ製品によって、監査またはサイレントモードとして扱われます。This is most often treated as audit or silent mode by security products where they will simply log that a match occurred but will not perform the action. 既定値は False です。Default value is false.
severityseverity Int32Int32 インジケーター内のデータによって識別される、悪意のある動作の重要度を表す整数。An integer representing the severity of the malicious behavior identified by the data within the indicator. 指定可能な値は0–5で、5は最も深刻であり、0はまったく重要ではありません。Acceptable values are 0 – 5 where 5 is the most severe and zero is not severe at all. 既定値は3です。Default value is 3.
タグtags String collectionString collection 任意のタグ/キーワードを格納する文字列の JSON 配列。A JSON array of strings that stores arbitrary tags/keywords.
tlpLeveltlpLevel tlpLeveltlpLevel インジケーターのトラフィックライトプロトコルの値。Traffic Light Protocol value for the indicator. 可能な値は、unknownwhitegreenamberred です。Possible values are: unknown, white, green, amber, red.

diamondModel の値diamondModel values

このモデルの詳細については、ダイヤモンドモデルを参照してください。For information about this model, see The diamond model.

Values 説明Description
攻撃adversary このマークは、敵対について説明します。The indicator describes the adversary.
capabilitycapability マークは敵対機の機能です。The indicator is a capability of the adversary.
構築infrastructure このインジケーターは、敵対のインフラストラクチャを示しています。The indicator describes infrastructure of the adversary.
犠牲victim インジケーターは、敵対者の被害者を示します。The indicator describes the victim of the adversary.

指定した値の継承killChain values

Values 説明Description
アクションActions "目的に対するアクション" を表します。Represents “Actions on Objectives”. 攻撃者が侵害されたシステムを活用して、分散型サービス拒否攻撃などの処理を実行している。The attacker is leveraging the compromised system to take actions such as a distributed denial of service attack.
基準C2 侵害されたシステムの操作によって制御されるチャネルを表します。Represents the control channel by which a compromised system is manipulated.
DeliveryDelivery 悪用コードを (例: USB、電子メール、web サイトなどの) 被害に分配するプロセス。The process of distributing the exploit code to victims (for example USB, email, websites).
活用Exploitation 脆弱性を利用するエクスプロイトコード (例: コードの実行)。The exploit code taking advantage of vulnerabilities (for example, code execution).
インストールInstallation 脆弱性が悪用された後にマルウェアをインストールする。Installing malware after a vulnerability has been exploited.
予備Reconnaissance マークは、今後の攻撃で使用されるアクティビティグループの情報の証拠です。Indicator is evidence of an activity group harvesting information to be used in a future attack.
WeaponizationWeaponization 脆弱性を悪用コードに変える (たとえば、マルウェア)。Turning a vulnerability into exploit code (for example, malware).

tlpLevel の値tlpLevel values

各インジケーターには、送信時にトラフィックライトプロトコル (tlp) 値が必要です。Every indicator must have a Traffic Light Protocol (tlp) value when it is submitted. この値は、特定のインジケーターの感度と共有の範囲を表します。This value represents the sensitivity and sharing scope of a given indicator.

Values 説明Description
ホワイトWhite 共有スコープ: 無制限。Sharing scope: Unlimited. インジケーターは無制限に共有できます。制限はありません。Indicators can be shared freely, without restriction.
Green 共有スコープ: コミュニティ。Sharing scope: Community. インジケーターはセキュリティコミュニティと共有できます。Indicators can be shared with the security community.
黄色いAmber 共有スコープ: 制限されています。Sharing scope: Limited. これは、インジケーターの既定の設定であり、共有を脅威インテリジェンスを実装するサービスとサービスオペレーターだけに限定し、共有を制限します。2) システムの動作がインジケーターと同じであるお客様。This is the default setting for indicators and restricts sharing to only those with a need-to-know: 1) Services and service operators that implement threat intelligence; 2) Customers whose system(s) exhibit behavior consistent with the indicator.
Red 共有スコープ: Personal。Sharing scope: Personal. これらのインジケーターは、本人でのみ直接共有されるようになっています。These indicators are to only be shared directly and, preferably, in person. 通常は、指定された制限によって TLP 赤のインジケーターは取り込まれたされません。Typically, TLP Red indicators are not ingested due to their pre-defined restrictions. TLP 赤のインジケーターが送信され**** た場合は、"いいえ" のTrueプロパティをに設定する必要があります。If TLP Red indicators are submitted, the passiveOnly property should be set to True as well.

応答Response

成功した場合、このメソッドは 204 No Content 応答コードを返します。If successful, this method returns a 204 No Content response code.

省略可能な200 OK要求ヘッダーが使用されている場合、メソッドは応答コードと、応答本文で更新されたtiindicatorオブジェクトを返します。If the optional request header is used, the method returns a 200 OK response code and the updated tiIndicator object in the response body.

Examples

例 1: 希望するヘッダーのない要求Example 1: Request without Prefer header

要求Request

ヘッダーのPreferない要求の例を次に示します。The following is an example of the request without the Prefer header.

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json

{
  "description": "description-updated",
}

応答Response

応答の例を次に示します。The following is an example of the response.

HTTP/1.1 204 No Content

例 2: 要求ヘッダーを使用した要求Example 2: Request with Prefer header

要求Request

Preferヘッダーを含む要求の例を次に示します。The following is an example of the request that includes the Prefer header.

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
Prefer: return=representation

{
  "additionalInformation": "additionalInformation-after-update",
  "confidence": 42,
  "description": "description-after-update",
}

応答Response

応答の例を次に示します。The following is an example of the response.

注意

ここに示す response オブジェクトは読みやすいように短縮される場合があります。The response object shown here might be shortened for readability. 実際の呼び出しではすべてのプロパティが返されます。All the properties will be returned from an actual call.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Security/tiIndicators/$entity",
    "id": "e58c072b-c9bb-a5c4-34ce-eb69af44fb1e",
    "azureTenantId": "XXXXXXXXXXXXXXXXXXXXXXXXX",
    "action": null,
    "additionalInformation": "additionalInformation-after-update",
    "activityGroupNames": [],
    "confidence": 42,
    "description": "description-after-update",
}