フィードバック 編集

tiIndicator を更新する

  • [アーティクル]

名前空間: microsoft.graph

重要

Microsoft Graph のバージョンの /beta API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 API が v1.0 で使用できるかどうかを確認するには、 バージョン セレクターを使用します。

tiIndicator オブジェクトのプロパティを更新します。

アクセス許可

この API を呼び出すには、次のいずれかのアクセス許可が必要です。アクセス許可の選択方法などの詳細については、「アクセス許可」を参照してください。

アクセス許可の種類 アクセス許可 (特権の小さいものから大きいものへ)
委任 (職場または学校のアカウント) ThreatIndicators.ReadWrite.OwnedBy
委任 (個人用 Microsoft アカウント) サポートされていません。
アプリケーション ThreatIndicators.ReadWrite.OwnedBy

HTTP 要求

PATCH /security/tiIndicators/{id}

要求ヘッダー

名前 説明
Authorization ベアラー {code} 必須
Prefer return=representation

要求本文

要求本文で、更新する関連フィールドの値を指定します。 要求本文に含まれない既存のプロパティは、以前の値のままになるか、他のプロパティ値の変化に基づいて再計算されます。 最適なパフォーマンスを得るために、変更されていない既存の値を含めないでください。 必須フィールドは id 、、 expirationDateTime 、 です targetProduct

プロパティ 説明
action string targetProduct セキュリティ ツール内からインジケーターが一致する場合に適用するアクション。 使用可能な値: unknownallowblockalert
activityGroupNames String collection 脅威インジケーターの対象となる悪意のあるアクティビティを担当する関係者のサイバー脅威インテリジェンス名。
additionalInformation String 他の tiIndicator プロパティでカバーされていないインジケーターの追加データを配置できるキャッチオール 領域。 追加のInformationに配置されたデータは、通常、targetProduct セキュリティ ツールでは利用されません。
confidence Int32 インジケーター内のデータの信頼度を表す整数は、悪意のある動作を正確に識別します。 許容値は 0 ~ 100 で、100 は最も高い値です。
description String インジケーターで表される脅威の簡単な説明 (100 文字以下)。
diamondModel diamondModel このインジケーターが存在するダイヤモンド モデルの領域。 可能な値は、unknownadversarycapabilityinfrastructurevictim です。
expirationDateTime DateTimeOffset インジケーターの有効期限を示す DateTime 文字列。 システムで古いインジケーターが保持されるのを避けるためには、すべてのインジケーターに有効期限が必要です。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。
externalId String インジケーターをインジケーター プロバイダーのシステム (外部キーなど) に関連付け戻す識別番号。
isActive Boolean システム内のインジケーターを非アクティブ化するために使用します。 既定では、送信されたインジケーターはアクティブに設定されます。 ただし、プロバイダーは、システム内のインジケーターを非アクティブ化するために、この設定を "False" に設定した既存のインジケーターを送信できます。
killChain killChain コレクション このインジケーターが対象とする Kill Chain 上のポイントまたはポイントを表す文字列の JSON 配列。 正確な値については、以下の「killChain values」を参照してください。
knownFalsePositives 文字列 インジケーターが誤検知を引き起こす可能性があるシナリオ。 これは、人間が読み取り可能なテキストである必要があります。
lastReportedDateTime DateTimeOffset インジケーターが最後に表示された時刻。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。
malwareFamilyNames String collection インジケーターが存在する場合、インジケーターに関連付けられているマルウェア ファミリ名。 Microsoft は、セキュリティ インテリジェンスの脅威百科事典を介して見つWindows Defender Microsoft マルウェア ファミリ名を優先します
passiveOnly Boolean インジケーターがエンド ユーザーに表示されるイベントをトリガーする必要があるかどうかを決定します。 'true' に設定すると、セキュリティ ツールはエンド ユーザーに 'ヒット' が発生したと通知しない。 ほとんどの場合、これはセキュリティ製品によって監査モードまたはサイレント モードとして扱われるので、一致が発生したがアクションは実行されません。 既定値は False です。
severity Int32 インジケーター内のデータによって識別される悪意のある動作の重大度を表す整数。 許容値は 0 ~ 5 で、5 は最も厳しく、ゼロは重大ではありません。 既定値は 3 です。
tags String collection 任意のタグ/キーワードを格納する文字列の JSON 配列。
tlpLevel tlpLevel インジケーターの信号プロトコルの値。 可能な値は、unknownwhitegreenamberred です。

応答

成功した場合、このメソッドは 204 No Content 応答コードを返します。

省略可能な要求ヘッダーを使用する場合、メソッドは応答コードと、応答本文で更新された 200 OK tiIndicator オブジェクトを返します。

例 1: Prefer ヘッダーのない要求

要求

ヘッダーのない要求の例を次に示 Prefer します。

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json

{
  "description": "description-updated",
}

応答

応答の例を次に示します。

HTTP/1.1 204 No Content

例 2: Prefer ヘッダーを使用した要求

要求

ヘッダーを含む要求の例を次に示 Prefer します。

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
Prefer: return=representation

{
  "additionalInformation": "additionalInformation-after-update",
  "confidence": 42,
  "description": "description-after-update",
}

応答

応答の例を次に示します。

注意

ここに示す応答オブジェクトは、読みやすさのために短縮されている可能性があります。

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Security/tiIndicators/$entity",
    "id": "e58c072b-c9bb-a5c4-34ce-eb69af44fb1e",
    "azureTenantId": "XXXXXXXXXXXXXXXXXXXXXXXXX",
    "action": null,
    "additionalInformation": "additionalInformation-after-update",
    "activityGroupNames": [],
    "confidence": 42,
    "description": "description-after-update",
}