Atualizar tiIndicator
Namespace: microsoft.graph
Importante
As APIs na versão /beta
no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Atualize as propriedades de um objeto tiIndicator .
Essa API está disponível nas seguintes implantações nacionais de nuvem.
Serviço global | Governo dos EUA L4 | GOVERNO DOS EUA L5 (DOD) | China operada pela 21Vianet |
---|---|---|---|
✅ | ❌ | ❌ | ❌ |
Permissões
Escolha a permissão ou as permissões marcadas como menos privilegiadas para essa API. Use uma permissão ou permissões privilegiadas mais altas somente se o aplicativo exigir. Para obter detalhes sobre permissões delegadas e de aplicativo, consulte Tipos de permissão. Para saber mais sobre essas permissões, consulte a referência de permissões.
Tipo de permissão | Permissões menos privilegiadas | Permissões privilegiadas mais altas |
---|---|---|
Delegado (conta corporativa ou de estudante) | ThreatIndicators.ReadWrite.OwnedBy | Indisponível. |
Delegado (conta pessoal da Microsoft) | Sem suporte. | Sem suporte. |
Aplicativo | ThreatIndicators.ReadWrite.OwnedBy | Indisponível. |
Solicitação HTTP
PATCH /security/tiIndicators/{id}
Cabeçalhos de solicitação
Nome | Descrição |
---|---|
Authorization | Portador {code} Necessário |
Preferir | return=representation |
Corpo da solicitação
No corpo da solicitação, forneça os valores para os campos relevantes que devem ser atualizados. As propriedades existentes que não estão incluídas no corpo da solicitação mantêm seus valores anteriores ou são recalculadas com base em alterações em outros valores de propriedade. Para alcançar o melhor desempenho, não inclua valores existentes que não foram alterados. Os campos necessários são: id
, expirationDateTime
, targetProduct
.
Propriedade | Tipo | Descrição |
---|---|---|
ação | cadeia de caracteres | A ação a ser aplicada se o indicador for correspondido de dentro da ferramenta de segurança targetProduct. Os valores possíveis são: unknown , allow , block , alert . |
activityGroupNames | Coleção de cadeias de caracteres | Os nomes de inteligência contra ameaças cibernéticas para as partes responsáveis pela atividade mal-intencionada abordada pelo indicador de ameaça. |
informações adicionais | Cadeia de caracteres | Uma área de captura em que dados extras do indicador não cobertos pelas outras propriedades tiIndicator podem ser colocados. Os dados colocados em informações adicionais normalmente não serão utilizados pela ferramenta de segurança targetProduct. |
confidence | Int32 | Um inteiro que representa a confiança dos dados no indicador identifica com precisão o comportamento mal-intencionado. Os valores aceitáveis são 0 a 100, sendo 100 os mais altos. |
description | Cadeia de caracteres | Descrição breve (100 caracteres ou menos) da ameaça representada pelo indicador. |
diamondModel | diamondModel | A área do Modelo de Diamante na qual esse indicador existe. Os valores possíveis são: unknown , adversary , capability , infrastructure , victim . |
expirationDateTime | DateTimeOffset | Cadeia de caracteres DateTime indicando quando o Indicador expira. Todos os indicadores devem ter uma data de validade para evitar que indicadores obsoletos persistam no sistema. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z . |
externalId | Cadeia de caracteres | Um número de identificação que vincula o indicador de volta ao sistema do provedor de indicadores (por exemplo, uma chave estrangeira). |
isActive | Booliano | Usado para desativar indicadores no sistema. Por padrão, qualquer indicador enviado é definido como ativo. No entanto, os provedores podem enviar indicadores existentes com esse conjunto como 'False' para desativar indicadores no sistema. |
killChain | coleção killChain | Uma matriz JSON de cadeias de caracteres que descreve qual ponto ou pontos na Cadeia de Morte esse indicador é direcionado. Confira "valores killChain" abaixo para obter valores exatos. |
knownFalsePositives | Cadeia de caracteres | Cenários em que o indicador pode causar falsos positivos. Este deve ser um texto legível pelo homem. |
lastReportedDateTime | DateTimeOffset | A última vez que o indicador foi visto. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z . |
malwareFamilyNames | Coleção String | O nome da família de malware associado a um indicador se ele existir. A Microsoft prefere o nome da família de malware da Microsoft, se possível, que pode ser encontrado por meio da enciclopédia de ameaças da Inteligência de Segurança Windows Defender. |
passiveOnly | Booliano | Determina se o indicador deve disparar um evento visível para um usuário final. Quando definido como 'true', as ferramentas de segurança não notificarão o usuário final de que ocorreu um 'hit'. Isso geralmente é tratado como auditoria ou modo silencioso por produtos de segurança em que eles registrarão que uma correspondência ocorreu, mas não executarão a ação. O valor padrão é falso. |
severity | Int32 | Um inteiro que representa a gravidade do comportamento mal-intencionado identificado pelos dados no indicador. Os valores aceitáveis são 0 a 5, em que 5 é o mais grave e zero não é grave. O valor padrão é 3. |
tags | String collection | Uma matriz JSON de cadeias de caracteres que armazena marcas/palavras-chave arbitrárias. |
tlpLevel | tlpLevel | Valor do Protocolo de Semáforo para o indicador. Os valores possíveis são: unknown , white , green , amber , red . |
Resposta
Se tiver êxito, este método retornará um código de resposta 204 No Content
.
Se o cabeçalho de solicitação opcional for usado, o método retornará um código de 200 OK
resposta e o objeto tiIndicator atualizado no corpo da resposta.
Exemplos
Exemplo 1: Solicitar sem Preferir cabeçalho
Solicitação
O exemplo a seguir mostra uma solicitação sem o Prefer
cabeçalho.
PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
{
"description": "description-updated",
}
Resposta
O exemplo a seguir mostra a resposta.
HTTP/1.1 204 No Content
Exemplo 2: Solicitar com o cabeçalho Prefer
Solicitação
O exemplo a seguir mostra uma solicitação que inclui o Prefer
cabeçalho.
PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
Prefer: return=representation
{
"additionalInformation": "additionalInformation-after-update",
"confidence": 42,
"description": "description-after-update",
}
Resposta
O exemplo a seguir mostra a resposta.
Observação
O objeto de resposta mostrado aqui pode ser reduzido para facilitar a leitura.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#Security/tiIndicators/$entity",
"id": "e58c072b-c9bb-a5c4-34ce-eb69af44fb1e",
"azureTenantId": "XXXXXXXXXXXXXXXXXXXXXXXXX",
"action": null,
"additionalInformation": "additionalInformation-after-update",
"activityGroupNames": [],
"confidence": 42,
"description": "description-after-update",
}
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de