tiIndicator 资源类型

命名空间:microsoft.graph

重要

Microsoft Graph /beta 中的版本下的 API 可能会更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 在 v1.0 中是否可用,请使用版本 选择 器。

威胁智能 (TI) 表示用于标识恶意活动的数据。 如果你的组织使用威胁指示器,无论是通过生成你自己的指示器、从开放源源获取威胁指示器、与合作伙伴组织或社区共享,还是通过购买数据源,你可能想要在各种安全工具中使用这些指示器来匹配日志数据。 Microsoft Graph 安全性 API tiIndicators 实体允许你将威胁指示器上传到 Microsoft 安全工具,以执行允许、阻止或警报操作。

通过 tiIndicator 上载的威胁指示器将与 Microsoft 威胁智能结合使用,为组织提供自定义的安全解决方案。 使用 tiIndicators 实体时,指定要通过 targetProduct 属性使用这些指示器的 Microsoft 安全解决方案,并指定操作 (允许、阻止或警报) ,安全解决方案应该通过操作属性将指示器应用到 这些操作。

当前 targetProduct 支持包括以下内容:

  • Azure Sentinel – 支持以下部分中列出的所有记录 tiIndicators 方法。

  • Microsoft Defender ATP (Microsoft Defender 高级威胁防护) – 支持以下 tiIndicators 方法:

    即将推出对批量方法的支持。

    备注

    Microsoft Defender ATP targetProduct 支持以下指示器类型:

    • 文件
    • IP 地址:Microsoft Defender ATP 仅支持目标 IPv4/IPv6 – 在 networkDestinationIPv4 或 microsoft Graph 安全性 API tiIndicator 中的 networkDestinationIPv6 属性中设置属性。
    • URL/域

    Microsoft Defender ATP 每个租户有 15000 个指示器的限制。

有关支持的指示器类型以及每个租户的指示器数限制的详细信息,请参阅管理指示器

方法

方法 返回类型 说明
获取 tiIndicator tiIndicator 读取 tiIndicator 对象的属性和关系。
创建 tiIndicator tiIndicator 通过发布到 tiIndicators 集合创建新的 tiIndicator。
列出 tiIndicator tiIndicator 集合 获取 tiIndicator 对象集合。
更新 tiIndicator 更新 tiIndicator 对象。
删除 删除 tiIndicator 对象。
deleteTiIndicators 删除多个 tiIndicator 对象。
deleteTiIndicatorsByExternalId 按属性删除多个 tiIndicator externalId 对象。
submitTiIndicators tiIndicator 集合 通过发布 tiIndicators 集合创建新的 tiIndicator。
updateTiIndicators tiIndicator 集合 更新多个 tiIndicator 对象。

每个目标产品支持的方法

方法 Azure Sentinel 每个租户
创建 tiIndicator 必填字段包括: action 、 、 、 、 azureTenantId description expirationDateTime targetProduct threatType 和至少一 tlpLevel 个可观测的电子邮件、网络或文件。 必需字段包括: 和下列值之一 actiondomainName , , , url (必须提供 networkDestinationIPv4 networkDestinationIPv6 fileHashValue fileHashType 以防 fileHashValue) 。
提交 tiIndicator 有关每个 tiIndicator 的必填字段,请参阅"创建 tiIndicator" 方法。 每个请求限制为 100 个 tiIndicator。 有关每个 tiIndicator 的必填字段,请参阅"创建 tiIndicator" 方法。 每个请求限制为 100 个 tiIndicator。
更新 tiIndicator 必填字段为: idexpirationDateTimetargetProduct
可编辑的字段是: action , , , , , , activityGroupNamesadditionalInformation confidence description diamondModel expirationDateTime externalId isActive killChain knownFalsePositives lastReportedDateTime malwareFamilyNames passiveOnly severity tags tlpLevel
必填字段为: idexpirationDateTimetargetProduct
可编辑的字段为: expirationDateTimeseveritydescription
更新 tiIndicator 有关每个 tiIndicator 的必需字段和可编辑字段,请参阅 Update tiIndicator 方法。

提交问题

删除 tiIndicator 必填字段为: id 必填字段为: id
删除 tiIndicator 有关每个 tiIndicator 的必填字段,请参阅上面的 Delete tiIndicator 方法。

提交问题

属性

属性 类型 说明
action string 如果 targetProduct 安全工具中的指示器匹配,则应用该操作。 可取值为:unknownallowblockalert必需。
activityGroupNames 字符串集合 网络威胁智能名称 () 威胁指示器涵盖的恶意活动的各方提供的名称。
additionalInformation String 可放置其他 tiIndicator 属性未涵盖的指示器中的额外数据的捕获区域。 放置到 additionalInformation 的数据通常不会由 targetProduct 安全工具使用。
azureTenantId 字符串 在指标被使用时由系统标记。 提交客户端的 Azure Active Directory 租户 ID。 必需。
confidence Int32 一个整数,表示指示器内数据准确标识恶意行为的置信度。 可接受的值为 0 – 100,100 为最高值。
说明 String 简要 (指示器所代表的威胁) 100 个字符或更少。 必需。
diamondModel diamondModel 存在此指示器的菱形模型区域。 可取值为:unknownadversarycapabilityinfrastructurevictim
expirationDateTime DateTimeOffset 指示指示器何时过期的 DateTime 字符串。 所有指示器都必须具有过期日期,以避免过时指示器在系统中持续存在。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z必需。
externalId String 将指示器与指示器提供程序的系统连接在一起 (标识号,例如外键) 。
id String 在指标被使用时由系统创建。 生成的 GUID/唯一标识符。 只读。
ingestedDateTime DateTimeOffset 在指标被使用时由系统标记。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z
isActive 布尔 用于在系统内停用指示器。 默认情况下,提交的任何指示器都设置为活动。 但是,提供程序可能会提交现有指示器(设置为"False")以停用系统中指示器。
killChain killChain 集合 一个字符串的 JSON 数组,描述此指示器面向"击杀链"上的哪个点。 有关确切值,请参阅下面的"killChain 值"。
knownFalsePositives String 指示符可能导致误报的方案。 这应该是可读文本。
lastReportedDateTime DateTimeOffset 上次看到指示器的时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z
malwareFamilyNames 字符串集合 与指示器关联的恶意软件系列名称(如果存在)。 如果可能,Microsoft 首选 Microsoft 恶意软件系列名称,可通过安全智能威胁Windows Defender 找到该名称
passiveOnly 布尔 确定指示器是否应触发对最终用户可见的事件。 设置为"true"时,安全工具不会通知最终用户已发生"命中"。 这通常被安全产品视为审核模式或静默模式,在此模式下,安全产品只会记录匹配项已发生,但不执行该操作。 默认值为 false。
severity Int32 一个整数,表示由指示器内的数据标识的恶意行为的严重性。 可接受的值为 0 – 5,其中 5 表示最严重,零表示完全不严重。 默认值为 3。
tags 字符串集合 存储任意标记/关键字的字符串的 JSON 数组。
targetProduct String 一个字符串值,表示应应用指示器的单个安全产品。 可接受的值为: Azure Sentinel Microsoft Defender ATP必需
threatType threatType 每个指示器必须具有有效的指示器威胁类型。 可取值为:BotnetC2CryptoMiningDarknetDDoSMaliciousUrlMalwarePhishingProxyPUAWatchList必需。
tlpLevel tlpLevel 指示器的流量灯协议值。 可取值为:unknownwhitegreenamberred必需。

指示器可观测 - 电子邮件

属性 类型 说明
emailEncoding String 电子邮件中使用的文本编码类型。
emailLanguage String 电子邮件的语言。
emailRecipient String 收件人电子邮件地址。
emailSenderAddress String 攻击者的电子邮件地址|攻击。
emailSenderName String 攻击者的显示名称|的攻击。
emailSourceDomain String 电子邮件中使用的域。
emailSourceIpAddress String 电子邮件的源 IP 地址。
emailSubject String 电子邮件的主题行。
emailXMailer String 电子邮件中使用的 X-Mailer 值。

指示器可观测 - 文件

属性 类型 说明
fileCompileDateTime DateTimeOffset 编译文件的日期/时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z
fileCreatedDateTime DateTimeOffset 创建文件的 DateTime。时间戳类型表示使用 ISO 8601 格式的日期和时间信息,并且始终采用 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z
fileHashType string 存储在 fileHashValue 中的哈希类型。 可取值为:unknownsha1sha256md5authenticodeHash256lsHashctph
fileHashValue String 文件哈希值。
fileMutexName String 基于文件的检测中使用的互斥名称。
fileName String 如果指示器基于文件,则该文件的名称。 多个文件名可能用逗号分隔。
filePacker String 用于生成问题文件的打包程序。
filePath String 指示泄露的文件路径。 可能是 Windows 或 *nix 样式路径。
fileSize Int64 文件大小(以字节为单位)。
fileType String 文件类型的文本说明。 例如,"Word Document"或"Binary"。

指示器可观测 - 网络

属性 类型 说明
domainName String 与此指示器关联的域名。 应为 subdomain.domain.topleveldomain (格式。例如,baddomain.domain.net)
networkCidrBlock String 此指示器中引用的网络的 CIDR 阻止表示法表示形式。 仅在无法标识源和目标时使用。
networkDestinationAsn Int32 指示器中引用的网络的目标自治系统标识符。
networkDestinationCidrBlock String 此指示器中目标网络的 CIDR 阻止表示法表示形式。
networkDestinationIPv4 String IPv4 IP 地址目标。
networkDestinationIPv6 String IPv6 IP 地址目标。
networkDestinationPort Int32 TCP 端口目标。
networkIPv4 String IPv4 IP 地址。 仅在无法标识源和目标时使用。
networkIPv6 String IPv6 IP 地址。 仅在无法标识源和目标时使用。
networkPort Int32 TCP 端口。 仅在无法标识源和目标时使用。
networkProtocol Int32 IPv4 标头中协议字段的小数表示形式。
networkSourceAsn Int32 指示器中引用的网络的源自治系统标识符。
networkSourceCidrBlock String 此指示器中源网络的 CIDR 阻止表示法表示形式
networkSourceIPv4 String IPv4 IP 地址源。
networkSourceIPv6 String IPv6 IP 地址源。
networkSourcePort Int32 TCP 端口源。
url String 统一资源定位器。 此 URL 必须符合 RFC 1738。
userAgent String User-Agent可能会指示泄露的 Web 请求中的字符串。

diamondModel 值

有关此模型的信息,请参阅 菱形模型

成员 说明
unknown 0
600 1 该标记描述攻击者。
功能 2 指示器是攻击者的一项功能。
基础结构 3 该指示器描述攻击者的基础结构。
4 该标记描述攻击者的受攻击者。
unknownFutureValue 127

killChain 值

成员 说明
操作 攻击者利用受到威胁的系统采取分布式拒绝服务攻击等操作。
C2 表示操纵损坏系统的控制通道。
Delivery 向攻击者分发攻击代码 (例如 USB、电子邮件、网站) 。
利用 利用漏洞的 exploit code (例如,代码执行) 。
安装 在漏洞被攻击后安装恶意软件。
侦查 指示器是活动组收集信息以用于未来攻击的证据。
武器化 将漏洞转换为攻击代码 (例如,恶意软件) 。

threatType 值

成员 说明
Botnet 指示器详细说明了 botnet 节点/成员。
C2 指示器详细说明了&控件节点的命令和控件节点。
CryptoMining 涉及此网络地址/URL 的流量是 CyrptoMining/资源滥用的一种指示。
深网 指示符是深色节点/网络的指示器。
DDoS 与活动或即将推出的 DDoS 市场活动相关的指示器。
MaliciousUrl 提供恶意软件服务的 URL。
恶意软件 描述恶意文件或文件的指示器。
网络钓鱼 与网络钓鱼活动相关的指示器。
代理 指示符是代理服务的指示器。
PUA 可能不需要的应用程序。
WatchList 这是一个通用存储桶,当无法准确确定威胁是什么或需要手动解释时,将放置指示器。 向系统中提交数据的合作伙伴通常不应使用此功能。

tlpLevel 值

每个指示器在提交时还必须具有交通灯协议值。 此值表示给定指示器的敏感度和共享范围。

成员 说明
白色 共享范围:无限制。 指示器可以不受限制地自由共享。
绿色 共享范围:社区。 指示器可以与安全社区共享。
Amber 共享范围:受限。 这是指示器的默认设置,将共享限制为仅"需要知道"为 1) 服务和服务运营者(实施威胁智能 2) 客户,其系统 () 显示与指示器一致的行为)。
红色 共享范围:个人。 这些指示器仅直接共享,最好在个人共享。 通常,由于 TLP 红色指示器的预定义限制,因此不会进行使用。 如果提交 TLP 红色指示器,则"PassiveOnly"属性也应 True 设置为。

关系

无。

JSON 表示形式

下面是资源的 JSON 表示形式。

{
  "action": "string",
  "activityGroupNames": ["String"],
  "additionalInformation": "String",
  "azureTenantId": "String",
  "confidence": 1024,
  "description": "String",
  "diamondModel": "string",
  "domainName": "String",
  "emailEncoding": "String",
  "emailLanguage": "String",
  "emailRecipient": "String",
  "emailSenderAddress": "String",
  "emailSenderName": "String",
  "emailSourceDomain": "String",
  "emailSourceIpAddress": "String",
  "emailSubject": "String",
  "emailXMailer": "String",
  "expirationDateTime": "String (timestamp)",
  "externalId": "String",
  "fileCompileDateTime": "String (timestamp)",
  "fileCreatedDateTime": "String (timestamp)",
  "fileHashType": "string",
  "fileHashValue": "String",
  "fileMutexName": "String",
  "fileName": "String",
  "filePacker": "String",
  "filePath": "String",
  "fileSize": 1024,
  "fileType": "String",
  "id": "String (identifier)",
  "ingestedDateTime": "String (timestamp)",
  "isActive": true,
  "killChain": ["String"],
  "knownFalsePositives": "String",
  "lastReportedDateTime": "String (timestamp)",
  "malwareFamilyNames": ["String"],
  "networkCidrBlock": "String",
  "networkDestinationAsn": 1024,
  "networkDestinationCidrBlock": "String",
  "networkDestinationIPv4": "String",
  "networkDestinationIPv6": "String",
  "networkDestinationPort": 1024,
  "networkIPv4": "String",
  "networkIPv6": "String",
  "networkPort": 1024,
  "networkProtocol": 1024,
  "networkSourceAsn": 1024,
  "networkSourceCidrBlock": "String",
  "networkSourceIPv4": "String",
  "networkSourceIPv6": "String",
  "networkSourcePort": 1024,
  "passiveOnly": true,
  "severity": 1024,
  "tags": ["String"],
  "targetProduct": "String",
  "threatType": "String",
  "tlpLevel": "string",
  "url": "String",
  "userAgent": "String"
}