Обновление объекта tiIndicator
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Обновите свойства объекта tiIndicator .
Этот API доступен в следующих национальных облачных развертываниях.
| Глобальная служба | Правительство США L4 | Правительство США L5 (DOD) | Китай управляется 21Vianet |
|---|---|---|---|
| ✅ | ❌ | ❌ | ❌ |
Разрешения
Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более привилегированное разрешение или разрешения только в том случае, если это требуется приложению. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.
| Тип разрешения | Разрешения с наименьшими привилегиями | Более высокие привилегированные разрешения |
|---|---|---|
| Делегированные (рабочая или учебная учетная запись) | ThreatIndicators.ReadWrite.OwnedBy | Недоступно. |
| Делегированные (личная учетная запись Майкрософт) | Не поддерживается. | Не поддерживается. |
| Приложение | ThreatIndicators.ReadWrite.OwnedBy | Недоступно. |
HTTP-запрос
PATCH /security/tiIndicators/{id}
Заголовки запросов
| Имя | Описание |
|---|---|
| Авторизация | Требуется носитель {code} |
| Prefer | return=representation |
Текст запроса
В тексте запроса укажите значения для соответствующих полей, которые необходимо обновить. Существующие свойства, которые не включены в текст запроса, сохраняют свои предыдущие значения или пересчитываются на основе изменений других значений свойств. Для достижения оптимальной производительности не включайте существующие значения, которые не изменились. Обязательные поля: id, expirationDateTime, targetProduct.
| Свойство | Тип | Описание |
|---|---|---|
| action | string | Действие, применяемое, если индикатор сопоставляется из средства безопасности targetProduct. Возможные значения: unknown, allow, block, alert. |
| activityGroupNames | Коллекция строк | Имена аналитики киберугрызов для сторон, ответственных за вредоносные действия, охватываемые индикатором угрозы. |
| additionalInformation | String | Область catchall, в которую могут быть помещены дополнительные данные из индикатора, не охваченного другими свойствами tiIndicator. Данные, помещенные в additionalInformation, обычно не будут использоваться средством безопасности targetProduct. |
| confidence | Int32 | Целое число, представляющее достоверность данных в индикаторе, точно идентифицирует вредоносное поведение. Допустимые значения: от 0 до 100, а наибольшее значение — 100. |
| description | String | Краткое описание (не более 100 символов) угрозы, представленной индикатором. |
| diamondModel | diamondModel | Область алмазной модели, в которой существует этот индикатор. Возможные значения: unknown, adversary, capability, infrastructure, victim. |
| expirationDateTime | DateTimeOffset | Строка DateTime, указывающая, когда истекает срок действия индикатора. Все индикаторы должны иметь дату окончания срока действия, чтобы избежать сохранения устаревших индикаторов в системе. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. |
| externalId | String | Идентификационный номер, который связывает индикатор с системой поставщика индикатора (например, внешний ключ). |
| isActive | Логический | Используется для деактивации индикаторов в системе. По умолчанию любой отправленный индикатор задается как активный. Однако поставщики могут отправлять существующие индикаторы с этим набором "False", чтобы отключить индикаторы в системе. |
| killChain | коллекция killChain | Массив json строк, описывающий, какие точки или точки в цепочке kill для этого индикатора предназначен. Точные значения см. в разделе "значения killChain" ниже. |
| knownFalsePositives | String | Сценарии, в которых индикатор может вызывать ложные срабатывания. Это должен быть удобочитаемый текст. |
| lastReportedDateTime | DateTimeOffset | При последнем просмотре индикатора. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. |
| malwareFamilyNames | Коллекция строк | Имя семейства вредоносных программ, связанное с индикатором, если оно существует. Корпорация Майкрософт предпочитает имя семейства вредоносных программ Майкрософт, если это возможно, которое можно найти в энциклопедии Защитник Windows аналитики угроз безопасности. |
| passiveOnly | Логический | Определяет, должен ли индикатор активировать событие, видимое для конечного пользователя. Если задано значение true, средства безопасности не будут уведомлять конечного пользователя о том, что произошло "попадание". Чаще всего это считается аудитом или автоматическим режимом в продуктах безопасности, когда они регистрируют совпадение, но не выполняют действие. Значение по умолчанию − ложь. |
| severity | Int32 | Целое число, представляющее серьезность вредоносного поведения, определяемого данными в индикаторе. Допустимые значения: от 0 до 5, где 5 является самым серьезным, а ноль не является серьезным вообще. Значение по умолчанию: 3. |
| tags | Коллекция String | Массив строк JSON, в котором хранятся произвольные теги или ключевые слова. |
| tlpLevel | tlpLevel | Значение протокола светофора для индикатора. Возможные значения: unknown, white, green, amber, red. |
Отклик
В случае успешного выполнения этот метод возвращает код отклика 204 No Content.
Если используется необязательный заголовок запроса, метод возвращает 200 OK код отклика и обновленный объект tiIndicator в тексте отклика.
Примеры
Пример 1. Запрос без заголовка Prefer
Запрос
В следующем примере показан запрос без заголовка Prefer .
PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
{
"description": "description-updated",
}
Отклик
Ниже показан пример отклика.
HTTP/1.1 204 No Content
Пример 2. Запрос с заголовком Prefer
Запрос
В следующем примере показан запрос, включающий заголовок Prefer .
PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
Prefer: return=representation
{
"additionalInformation": "additionalInformation-after-update",
"confidence": 42,
"description": "description-after-update",
}
Отклик
Ниже показан пример отклика.
Примечание.
Объект ответа, показанный здесь, может быть сокращен для удобочитаемости.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#Security/tiIndicators/$entity",
"id": "e58c072b-c9bb-a5c4-34ce-eb69af44fb1e",
"azureTenantId": "XXXXXXXXXXXXXXXXXXXXXXXXX",
"action": null,
"additionalInformation": "additionalInformation-after-update",
"activityGroupNames": [],
"confidence": 42,
"description": "description-after-update",
}
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по