tipo de recurso tiIndicator (preterido)
Namespace: microsoft.graph
Importante
As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Observação
A entidade tiIndicator está preterida e será removida até abril de 2026.
Representa dados usados para identificar atividades mal-intencionadas.
Se sua organização trabalhar com indicadores de ameaça, gerando seus próprios, obtendo-os de feeds código aberto, compartilhando com organizações ou comunidades parceiras ou comprando feeds de dados, talvez você queira usar esses indicadores em várias ferramentas de segurança para combinar com dados de log. A entidade tiIndicators permite carregar seus indicadores de ameaça nas ferramentas de segurança da Microsoft para as ações de permissão, bloqueio ou alerta.
Os indicadores de ameaça carregados por tiIndicator são usados com inteligência contra ameaças da Microsoft para fornecer uma solução de segurança personalizada para sua organização. Ao usar a entidade tiIndicator , especifique a solução de segurança da Microsoft que você deseja utilizar os indicadores por meio da propriedade targetProduct e especifique a ação (permitir, bloquear ou alerta) à qual a solução de segurança deve aplicar os indicadores por meio da propriedade de ação .
Atualmente, targetProduct dá suporte aos seguintes produtos:
Microsoft Defender para Ponto de Extremidade – dá suporte aos seguintes métodos tiIndicators:
Observação
Os seguintes tipos de indicador são compatíveis com Microsoft Defender para Ponto de Extremidade targetProduct:
- Arquivos
- Endereços IP: Microsoft Defender para Ponto de Extremidade dá suporte somente às propriedades IPv4/IPv6 de destino – propriedade definida em networkDestinationIPv4 ou networkDestinationIPv6 no Microsoft Graph API de Segurança tiIndicator.
- URLs/domínios
Há um limite de 15.000 indicadores por locatário para Microsoft Defender para Ponto de Extremidade.
Microsoft Sentinel – somente clientes existentes podem usar a API tiIndicator para enviar indicadores de inteligência contra ameaças ao Microsoft Sentinel. Para obter as instruções mais atualizadas e detalhadas sobre como enviar indicadores inteligentes de ameaças ao Microsoft Sentinel, consulte Conectar sua plataforma de inteligência contra ameaças ao Microsoft Sentinel.
Para mais detalhes sobre os tipos de indicadores com suporte e limites de contagens de indicadores por locatário, confira Gerenciar indicadores.
Métodos
| Método | Tipo de retorno | Descrição |
|---|---|---|
| Obter tiIndicator | tiIndicator | Leia propriedades e relações do objeto tiIndicator. |
| Criar tiIndicator | tiIndicator | Crie um tiIndicator postando na coleção tiIndicators. |
| Listar tiIndicators | coleção tiIndicator | Obtenha uma coleção de objetos tiIndicator. |
| Atualizar | tiIndicator | Atualizar o objeto tiIndicator. |
| Delete | Nenhum | Excluir objeto tiIndicator. |
| deleteTiIndicators | Nenhum | Exclua vários objetos tiIndicator. |
| deleteTiIndicatorsByExternalId | Nenhum | Exclua vários objetos tiIndicator pela externalId propriedade. |
| submitTiIndicators | coleção tiIndicator | Crie novos tiIndicators postando uma coleção tiIndicators. |
| updateTiIndicators | coleção tiIndicator | Atualize vários objetos tiIndicator. |
Métodos compatíveis com cada produto de destino
| Método | Azure Sentinel | Microsoft Defender para Ponto de Extremidade |
|---|---|---|
| Criar tiIndicator | Os campos necessários são: action, , azureTenantId, descriptionexpirationDateTime, targetProduct, threatType, , tlpLevele pelo menos um email, rede ou arquivo observável. |
Os campos necessários são: action, e um destes valores a seguir: domainName, url, networkDestinationIPv4, networkDestinationIPv6, fileHashValue (deve ser fornecido fileHashType no caso de fileHashValue). |
| Enviar tiIndicators | Consulte o método Criar tiIndicator para campos necessários para cada tiIndicator. Há um limite de 100 tiIndicators por solicitação. | Consulte o método Criar tiIndicator para campos necessários para cada tiIndicator. Há um limite de 100 tiIndicators por solicitação. |
| Atualizar tiIndicator | Os campos necessários são: id, expirationDateTime, targetProduct. Os campos editáveis são: action, , activityGroupNames, additionalInformation, confidence, description, diamondModelexpirationDateTime, , isActiveexternalId, killChain, knownFalsePositives, lastReportedDateTime, malwareFamilyNames, passiveOnly, severity, , tags, . tlpLevel |
Os campos necessários são: id, expirationDateTime, targetProduct. Os campos editáveis são: expirationDateTime, severity, description. |
| Atualizar tiIndicators | Consulte o método Atualizar tiIndicator para campos necessários e editáveis para cada tiIndicator. | |
| Excluir tiIndicator | O campo necessário é: id. |
O campo necessário é: id. |
| Excluir tiIndicadores | Consulte o método Excluir tiIndicator acima para o campo necessário para cada tiIndicator. |
Propriedades
| Propriedade | Tipo | Descrição |
|---|---|---|
| ação | string | A ação a ser aplicada se o indicador for correspondido de dentro da ferramenta de segurança targetProduct. Os valores possíveis são: unknown, allow, block, alert. Obrigatório. |
| activityGroupNames | String collection | Os nomes de inteligência contra ameaças cibernéticas para as partes responsáveis pela atividade mal-intencionada abordada pelo indicador de ameaça. |
| informações adicionais | Cadeia de caracteres | Uma área catchall para dados extras do indicador que não é especificamente abordado por outras propriedades tiIndicator. A ferramenta de segurança especificada pelo targetProduct normalmente não utiliza esses dados. |
| azureTenantId | String | Carimbado pelo sistema quando o indicador é ingerido. A Microsoft Entra id do locatário do cliente de envio. Obrigatório. |
| confidence | Int32 | Um inteiro que representa a confiança dos dados no indicador identifica com precisão o comportamento mal-intencionado. Os valores aceitáveis são 0 a 100, sendo 100 os mais altos. |
| description | Cadeia de caracteres | Descrição breve (100 caracteres ou menos) da ameaça representada pelo indicador. Obrigatório. |
| diamondModel | diamondModel | A área do Modelo de Diamante na qual esse indicador existe. Os valores possíveis são: unknown, adversary, capability, infrastructure, victim. |
| expirationDateTime | DateTimeOffset | Cadeia de caracteres DateTime indicando quando o Indicador expira. Todos os indicadores devem ter uma data de validade para evitar que indicadores obsoletos persistam no sistema. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. Obrigatório. |
| externalId | Cadeia de caracteres | Um número de identificação que vincula o indicador de volta ao sistema do provedor de indicadores (por exemplo, uma chave estrangeira). |
| id | Cadeia de caracteres | Criado pelo sistema quando o indicador é ingerido. Identificador guid/exclusivo gerado. Somente leitura. |
| ingestedDateTime | DateTimeOffset | Carimbado pelo sistema quando o indicador é ingerido. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z |
| isActive | Booliano | Usado para desativar indicadores no sistema. Por padrão, qualquer indicador enviado é definido como ativo. No entanto, os provedores podem enviar indicadores existentes com esse conjunto como 'False' para desativar indicadores no sistema. |
| killChain | coleção killChain | Uma matriz JSON de cadeias de caracteres que descreve qual ponto ou pontos na Cadeia de Morte esse indicador é direcionado. Confira 'valores killChain' abaixo para obter valores exatos. |
| knownFalsePositives | Cadeia de caracteres | Cenários em que o indicador pode causar falsos positivos. Este deve ser um texto legível pelo homem. |
| lastReportedDateTime | DateTimeOffset | A última vez que o indicador foi visto. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z |
| malwareFamilyNames | Coleção String | O nome da família de malware associado a um indicador se ele existir. A Microsoft prefere o nome da família de malware da Microsoft, se possível, que pode ser encontrado por meio da enciclopédia de ameaças da Inteligência de Segurança Windows Defender. |
| passiveOnly | Booliano | Determina se o indicador deve disparar um evento visível para um usuário final. Quando definido como 'true', as ferramentas de segurança não notificarão o usuário final de que ocorreu um 'hit'. Isso geralmente é tratado como auditoria ou modo silencioso por produtos de segurança em que eles simplesmente registrarão que uma correspondência ocorreu, mas não executarão a ação. O valor padrão é falso. |
| severity | Int32 | Um inteiro que representa a gravidade do comportamento mal-intencionado identificado pelos dados no indicador. Os valores aceitáveis são 0 a 5, em que 5 é o mais grave e zero não é grave. O valor padrão é 3. |
| tags | String collection | Uma matriz JSON de cadeias de caracteres que armazena marcas/palavras-chave arbitrárias. |
| targetProduct | Cadeia de caracteres | Um valor de cadeia de caracteres que representa um único produto de segurança ao qual o indicador deve ser aplicado. Os valores aceitáveis são: Azure Sentinel, Microsoft Defender ATP. Required |
| threatType | threatType | Cada indicador deve ter um tipo de ameaça de indicador válido. Os valores possíveis são: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList. Obrigatório. |
| tlpLevel | tlpLevel | Valor do Protocolo de Semáforo para o indicador. Os valores possíveis são: unknown, white, green, amber, red. Obrigatório. |
Observáveis de indicador – email
| Propriedade | Tipo | Descrição |
|---|---|---|
| emailEncoding | Cadeia de caracteres | O tipo de codificação de texto usado no email. |
| emailLanguage | Cadeia de caracteres | O idioma do email. |
| emailRecipient | Cadeia de caracteres | Endereço de e-mail do destinatário. |
| emailSenderAddress | Cadeia de caracteres | Email endereço da vítima do invasor|. |
| emailSenderName | Cadeia de caracteres | Nome exibido da vítima do invasor|. |
| emailSourceDomain | Cadeia de caracteres | Domínio usado no email. |
| emailSourceIpAddress | Cadeia de caracteres | Endereço IP de origem do email. |
| emailSubject | Cadeia de caracteres | Linha de assunto de email. |
| emailXMailer | Cadeia de caracteres | Valor do X-Mailer usado no email. |
Observáveis de indicador – arquivo
| Propriedade | Tipo | Descrição |
|---|---|---|
| fileCompileDateTime | DateTimeOffset | DateTime quando o arquivo foi compilado. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z |
| fileCreatedDateTime | DateTimeOffset | DateTime quando o arquivo foi criado. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z |
| fileHashType | string | O tipo de hash armazenado no arquivoHashValue. Os valores possíveis são: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
| fileHashValue | Cadeia de caracteres | O valor do hash do arquivo. |
| fileMutexName | Cadeia de caracteres | Nome mutex usado em detecções baseadas em arquivo. |
| fileName | Cadeia de caracteres | Nome do arquivo se o indicador for baseado em arquivo. Vários nomes de arquivo podem ser delimitados por vírgulas. |
| filePacker | Cadeia de caracteres | O empacotador usado para criar o arquivo em questão. |
| Filepath | Cadeia de caracteres | Caminho do arquivo que indica comprometimento. Pode ser um caminho de estilo do Windows ou *nix. |
| Filesize | Int64 | Tamanho do arquivo em bytes. |
| Filetype | Cadeia de caracteres | Descrição de texto do tipo de arquivo. Por exemplo, "Word Documento" ou "Binário". |
Observáveis de indicador – rede
| Propriedade | Tipo | Descrição |
|---|---|---|
| domainName | Cadeia de caracteres | Nome de domínio associado a esse indicador. Deve ser do formato subdomain.domain.topleveldomain (por exemplo, baddomain.domain.net) |
| networkCidrBlock | Cadeia de caracteres | Representação de notação do BLOCO CIDR da rede referenciada neste indicador. Use somente se a Origem e o Destino não puderem ser identificados. |
| networkDestinationAsn | Int32 | O identificador do sistema autônomo de destino da rede referenciada no indicador. |
| networkDestinationCidrBlock | Cadeia de caracteres | Representação de notação de bloco CIDR da rede de destino neste indicador. |
| networkDestinationIPv4 | Cadeia de caracteres | Destino do endereço IP IPv4. |
| networkDestinationIPv6 | Cadeia de caracteres | Destino do endereço IP IPv6. |
| networkDestinationPort | Int32 | Destino da porta TCP. |
| networkIPv4 | Cadeia de caracteres | Endereço IP IPv4. Use somente se a Origem e o Destino não puderem ser identificados. |
| networkIPv6 | Cadeia de caracteres | Endereço IP IPv6. Use somente se a Origem e o Destino não puderem ser identificados. |
| networkPort | Int32 | Porta TCP. Use somente se a Origem e o Destino não puderem ser identificados. |
| Networkprotocol | Int32 | Representação decimal do campo de protocolo no cabeçalho IPv4. |
| networkSourceAsn | Int32 | O identificador do sistema autônomo de origem da rede referenciada no indicador. |
| networkSourceCidrBlock | Cadeia de caracteres | Representação de notação de bloco CIDR da rede de origem neste indicador |
| networkSourceIPv4 | Cadeia de caracteres | Origem do endereço IP IPv4. |
| networkSourceIPv6 | Cadeia de caracteres | Origem do endereço IP IPv6. |
| networkSourcePort | Int32 | Fonte da porta TCP. |
| url | Cadeia de caracteres | Localizador de recursos uniforme. Essa URL deve estar em conformidade com o RFC 1738. |
| Useragent | Cadeia de caracteres | User-Agent cadeia de caracteres de uma solicitação Web que pode indicar comprometimento. |
valores diamondModel
Para obter informações sobre esse modelo, consulte O Modelo de Diamante.
| Membro | Valor | Descrição |
|---|---|---|
| desconhecido | 0 | |
| Adversário | 1 | O indicador descreve o adversário. |
| Capacidade | 2 | Indicador é uma funcionalidade do adversário. |
| Infra-estrutura | 3 | O indicador descreve a infraestrutura do adversário. |
| Vítima | 4 | O indicador descreve a vítima do adversário. |
| unknownFutureValue | 127 |
valores killChain
| Member | Descrição |
|---|---|
| Ações | Indica que o invasor está usando o sistema comprometido para executar ações como um ataque de negação de serviço distribuído. |
| C2 | Representa o canal de controle pelo qual um sistema comprometido é manipulado. |
| Entrega | O processo de distribuição do código de exploração às vítimas (por exemplo, USB, email, sites). |
| Exploração | O código de exploração que aproveita as vulnerabilidades (por exemplo, execução de código). |
| Instalação | Instalar malware após a exploração de uma vulnerabilidade. |
| Reconhecimento | O indicador é uma evidência de um grupo de atividades coletando informações a serem usadas em um ataque futuro. |
| Armação | Transformando uma vulnerabilidade em código de exploração (por exemplo, malware). |
valores threatType
| Member | Descrição |
|---|---|
| Botnet | O indicador está detalhando um nó/membro de botnet. |
| C2 | O indicador está detalhando um nó Comando & Controle de uma botnet. |
| CryptoMining | O tráfego envolvendo esse endereço de rede/URL é uma indicação de CyrptoMining/Abuso de recursos. |
| Darknet | Indicador é o de um nó/rede darknet. |
| Ddos | Indicadores relacionados a uma campanha DDoS ativa ou futura. |
| MaliciousUrl | URL que está servindo malware. |
| Malware | Indicador que descreve um arquivo ou arquivos mal-intencionados. |
| Phishing | Indicadores relacionados a uma campanha de phishing. |
| Proxy | Indicador é o de um serviço proxy. |
| PUA | Aplicativo potencialmente indesejado. |
| Watchlist | Este é o bucket genérico para indicadores para os quais a ameaça não pode ser determinada ou que exigem interpretação manual. Os parceiros que enviarem dados para o sistema não devem usar essa propriedade. |
valores tlpLevel
Cada indicador também deve ter um valor de Protocolo de Semáforo quando ele é enviado. Esse valor representa o escopo de confidencialidade e compartilhamento de um determinado indicador.
| Member | Descrição |
|---|---|
| Branco | Escopo de compartilhamento: ilimitado. Os indicadores podem ser compartilhados livremente, sem restrições. |
| Verde | Escopo de compartilhamento: Comunidade. Os indicadores podem ser compartilhados com a comunidade de segurança. |
| Âmbar | Escopo de compartilhamento: limitado. Essa é a configuração padrão para indicadores e restringe o compartilhamento apenas para aqueles com uma "necessidade de saber" sendo 1) Serviços e operadores de serviço que implementam a inteligência contra ameaças 2) Clientes cujos sistemas exibem comportamento consistente com o indicador. |
| Vermelho | Escopo de compartilhamento: pessoal. Esses indicadores devem ser compartilhados diretamente e, preferencialmente, pessoalmente. Normalmente, os indicadores TLP Red não são ingeridos devido às restrições predefinidas. Se os indicadores TLP Red forem enviados, a propriedade "PassiveOnly" também deverá ser definida True como. |
Relações
Nenhum
Representação JSON
A representação JSON a seguir mostra o tipo de recurso.
{
"action": "string",
"activityGroupNames": ["String"],
"additionalInformation": "String",
"azureTenantId": "String",
"confidence": 1024,
"description": "String",
"diamondModel": "string",
"domainName": "String",
"emailEncoding": "String",
"emailLanguage": "String",
"emailRecipient": "String",
"emailSenderAddress": "String",
"emailSenderName": "String",
"emailSourceDomain": "String",
"emailSourceIpAddress": "String",
"emailSubject": "String",
"emailXMailer": "String",
"expirationDateTime": "String (timestamp)",
"externalId": "String",
"fileCompileDateTime": "String (timestamp)",
"fileCreatedDateTime": "String (timestamp)",
"fileHashType": "string",
"fileHashValue": "String",
"fileMutexName": "String",
"fileName": "String",
"filePacker": "String",
"filePath": "String",
"fileSize": 1024,
"fileType": "String",
"id": "String (identifier)",
"ingestedDateTime": "String (timestamp)",
"isActive": true,
"killChain": ["String"],
"knownFalsePositives": "String",
"lastReportedDateTime": "String (timestamp)",
"malwareFamilyNames": ["String"],
"networkCidrBlock": "String",
"networkDestinationAsn": 1024,
"networkDestinationCidrBlock": "String",
"networkDestinationIPv4": "String",
"networkDestinationIPv6": "String",
"networkDestinationPort": 1024,
"networkIPv4": "String",
"networkIPv6": "String",
"networkPort": 1024,
"networkProtocol": 1024,
"networkSourceAsn": 1024,
"networkSourceCidrBlock": "String",
"networkSourceIPv4": "String",
"networkSourceIPv6": "String",
"networkSourcePort": 1024,
"passiveOnly": true,
"severity": 1024,
"tags": ["String"],
"targetProduct": "String",
"threatType": "String",
"tlpLevel": "string",
"url": "String",
"userAgent": "String"
}
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de