Comentários Editar

Atualizar tiIndicator

  • Artigo
  • 10 minutos para o fim da leitura

Namespace: microsoft.graph

Importante

As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor de versão.

Atualize as propriedades de um objeto tiIndicator.

Permissões

Uma das seguintes permissões é obrigatória para chamar esta API. Para saber mais, incluindo como escolher permissões, confira Permissões.

Tipo de permissão Permissões (da com menos para a com mais privilégios)
Delegado (conta corporativa ou de estudante) ThreatIndicators.ReadWrite.OwnedBy
Delegado (conta pessoal da Microsoft) Sem suporte.
Aplicativo ThreatIndicators.ReadWrite.OwnedBy

Solicitação HTTP

PATCH /security/tiIndicators/{id}

Cabeçalhos de solicitação

Nome Descrição
Autorização Portador {code} Obrigatório
Preferir return=representation

Corpo da solicitação

No corpo da solicitação, forneça os valores para os campos relevantes que devem ser atualizados. Propriedades existentes que não estão incluídas no corpo da solicitação terão seus valores anteriores mantidos ou serão recalculadas com base nas alterações a outros valores de propriedade. Para alcançar o melhor desempenho, não inclua valores existentes que não foram alterados. Os campos necessários são: id , expirationDateTime , targetProduct .

Propriedade Tipo Descrição
ação string A ação a ser aplicada se o indicador for matched de dentro da ferramenta de segurança targetProduct. Os valores possíveis são: unknown, allow, block, alert.
activityGroupNames Coleção String Os nomes(s) de inteligência de ameaças cibernéticas para as partes responsáveis pela atividade mal-intencionada coberta pelo indicador de ameaça.
additionalInformation Cadeia de caracteres Uma área de catchall na qual os dados extras do indicador não cobertos pelas outras propriedades tiIndicator podem ser colocados. Os dados colocados em additionalInformation normalmente não serão usados pela ferramenta de segurança targetProduct.
confidence Int32 Um inteiro que representa a confiança dos dados no indicador identifica com precisão comportamento mal-intencionado. Os valores aceitáveis são 0 – 100 com 100 sendo os mais altos.
description Cadeia de caracteres Breve descrição (100 caracteres ou menos) da ameaça representada pelo indicador.
diamondModel diamondModel A área do Modelo de Diamante na qual esse indicador existe. Os valores possíveis são: unknown, adversary, capability, infrastructure, victim.
expirationDateTime DateTimeOffset Cadeia de caracteres DateTime indicando quando o Indicador expira. Todos os indicadores devem ter uma data de expiração para evitar que os indicadores de stale persistam no sistema. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z.
externalId Cadeia de caracteres Um número de identificação que vincula o indicador ao sistema do provedor de indicadores (por exemplo, uma chave estrangeira).
isActive Booliano Usado para desativar indicadores dentro do sistema. Por padrão, qualquer indicador enviado é definido como ativo. No entanto, os provedores podem enviar indicadores existentes com esse conjunto como "False" para desativar indicadores no sistema.
killChain Coleção killChain Uma matriz JSON de cadeias de caracteres que descreve qual ponto ou pontos na Cadeia de Kill esse indicador tem como destino. Consulte "valores killChain" abaixo para saber os valores exatos.
knownFalsePositives Cadeia de caracteres Cenários em que o indicador pode causar falsos positivos. Este deve ser um texto aceitável para humanos.
lastReportedDateTime DateTimeOffset A última vez que o indicador foi visto. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z.
malwareFamilyNames Coleção de cadeias de caracteres O nome da família de malware associado a um indicador se ele existir. A Microsoft prefere o nome da família de malware da Microsoft, se possível, o que pode ser encontrado por meio da Windows Defender de ameaças doSecurity Intelligence.
passiveOnly Booliano Determina se o indicador deve disparar um evento visível para um usuário final. Quando definida como "true", as ferramentas de segurança não notificarão o usuário final de que ocorreu um "acerto". Isso é tratado com mais frequência como modo de auditoria ou silencioso pelos produtos de segurança, onde eles simplesmente registrarão que ocorreu uma combinação, mas não executarão a ação. O valor padrão é falso.
severity Int32 Um inteiro que representa a gravidade do comportamento mal-intencionado identificado pelos dados dentro do indicador. Os valores aceitáveis são 0 – 5, onde 5 é o mais grave e zero não é grave. O valor padrão é 3.
categorias Coleção de cadeias de caracteres Uma matriz JSON de cadeias de caracteres que armazena marcas/palavras-chave arbitrárias.
tlpLevel tlpLevel Valor do Protocolo de Semáforo para o indicador. Os valores possíveis são: unknown, white, green, amber, red.

Resposta

Se tiver êxito, este método retornará um código de resposta 204 No Content.

Se o header de solicitação opcional for usado, o método retornará um código de resposta e o objeto 200 OK tiIndicator atualizado no corpo da resposta.

Exemplos

Exemplo 1: Solicitar sem o header Prefer

Solicitação

A seguir, um exemplo da solicitação sem Prefer o header.

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json

{
  "description": "description-updated",
}

Resposta

Este é um exemplo de resposta.

HTTP/1.1 204 No Content

Exemplo 2: Solicitar com o header Prefer

Solicitação

A seguir, um exemplo da solicitação que inclui o Prefer header.

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
Prefer: return=representation

{
  "additionalInformation": "additionalInformation-after-update",
  "confidence": 42,
  "description": "description-after-update",
}

Resposta

Este é um exemplo de resposta.

Observação

O objeto de resposta mostrado aqui pode ser reduzido para facilitar a leitura.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Security/tiIndicators/$entity",
    "id": "e58c072b-c9bb-a5c4-34ce-eb69af44fb1e",
    "azureTenantId": "XXXXXXXXXXXXXXXXXXXXXXXXX",
    "action": null,
    "additionalInformation": "additionalInformation-after-update",
    "activityGroupNames": [],
    "confidence": 42,
    "description": "description-after-update",
}