JEGLICHE. RUN Threat Intelligence (Vorschau)
Der Connector ermöglicht es Sicherheits- und IT-Teams, ihre Vorgänge zu optimieren, indem SIE ANY integrieren. DieThreat Intelligence-Funktionen von RUN in manuellen und automatisierten Workflows mit Anwendungen wie Defender für Endpunkt und Sentinel.
Dieser Connector ist in den folgenden Produkten und Regionen verfügbar:
| Dienstleistung | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Alle Power Automate-Regionen mit Ausnahme der folgenden Bereiche: - US Government (GCC) - US Government (GCC High) - China Cloud betrieben von 21Vianet - US Department of Defense (DoD) |
| Logik-Apps | Norm | Alle Logik-Apps-Regionen mit Ausnahme der folgenden Bereiche: – Azure Government-Regionen - Azure China-Regionen - US Department of Defense (DoD) |
| Power Apps | Premium | Alle Power Apps-Regionen mit Ausnahme der folgenden: - US Government (GCC) - US Government (GCC High) - China Cloud betrieben von 21Vianet - US Department of Defense (DoD) |
| Power Automate | Premium | Alle Power Automate-Regionen mit Ausnahme der folgenden Bereiche: - US Government (GCC) - US Government (GCC High) - China Cloud betrieben von 21Vianet - US Department of Defense (DoD) |
| Kontakt | |
|---|---|
| Name | JEGLICHE. LAUFEN |
| URL | https://app.any.run/contact-us |
| support@any.run |
| Connectormetadaten | |
|---|---|
| Herausgeber | ANYRUN FZCO |
| JEGLICHE. RUN-API-Dokumentation | https://docs.microsoft.com/connectors/anyrunthreatintellig |
| Webseite | https://any.run |
| Datenschutzrichtlinie | https://any.run/privacy.pdf |
| Kategorien | Sicherheit;IT-Vorgänge |
JEGLICHE. RUN Threat Intelligence Connector
Der Connector ermöglicht es Sicherheits- und IT-Teams, ihre Vorgänge zu optimieren, indem SIE ANY integrieren. DieThreat Intelligence-Funktionen von RUN in manuellen und automatisierten Workflows mit Anwendungen wie Defender für Endpunkt und Sentinel.
Voraussetzungen
Um diesen Connector zu verwenden, müssen Sie über EINE BELIEBIGE VERFÜGEN. RUN-Konto, ein API-Schlüssel und TI-Nachschlageabonnement.
API-Dokumentation
https://any.run/api-documentation/
Anweisungen zur Bereitstellung
Verwenden Sie diese Anweisungen , um diesen Connector als benutzerdefinierter Connector in Microsoft Power Automate und Power Apps bereitzustellen.
Unterstützte Vorgänge
Der Connector unterstützt die folgenden Vorgänge:
-
Get threat intelligence data from ANY.RUN Threat Intelligence service: Führt untersuchungstechnische Aktionen in ANY durch. RUN Threat Intelligence-Dienst
Erstellen einer Verbindung
Der Connector unterstützt die folgenden Authentifizierungstypen:
| Vorgabe | Parameter zum Erstellen einer Verbindung. | Alle Regionen | Nicht teilbar |
Vorgabe
Anwendbar: Alle Regionen
Parameter zum Erstellen einer Verbindung.
Dies ist keine freigabefähige Verbindung. Wenn die Power-App für einen anderen Benutzer freigegeben wird, wird ein anderer Benutzer aufgefordert, eine neue Verbindung explizit zu erstellen.
| Name | Typ | Description | Erforderlich |
|---|---|---|---|
| API-Key | securestring | Der API-Schlüssel für diese API (Format: API-Key <Schlüssel>) | Richtig |
Drosselungsgrenzwerte
| Name | Aufrufe | Verlängerungszeitraum |
|---|---|---|
| API-Aufrufe pro Verbindung | 100 | 60 Sekunden |
Aktionen
| Abrufen von Threat Intelligence-Daten von ANY. RUN Threat Intelligence-Dienst |
Führt Untersuchungsaktionen in ANY durch. RUN Threat Intelligence-Dienst. |
Abrufen von Threat Intelligence-Daten von ANY. RUN Threat Intelligence-Dienst
Führt Untersuchungsaktionen in ANY durch. RUN Threat Intelligence-Dienst.
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Anfrage
|
query | True | string |
Geben Sie Ihre Suchabfrage an. Mehrere Abfragen können zusammen mit dem AND-Operator kombiniert werden, um spezifischere Ergebnisse zu erzielen. |
|
startDate
|
startDate | string |
Geben Sie das Startdatum des gewünschten Suchzeitraums an. Muss im Format JJJJ-MM-DD sein. |
|
|
Enddatum
|
endDate | string |
Geben Sie das Enddatum des gewünschten Suchzeitraums an. Muss im Format JJJJ-MM-DD sein. |
Gibt zurück
- Body
- ResponseApiDto
Definitionen
ResponseApiDto
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
ZielHafen
|
destinationPort | array of integer |
Zielportnummern. |
|
destinationIPgeo
|
destinationIPgeo | array of string |
Ziel-IP-Geo (Länder). |
|
destinationIpAsn
|
destinationIpAsn | array of object |
Ziel-IP-ASN (autonome Systemnummer). |
|
ASN
|
destinationIpAsn.asn | string |
ZIEL-IP-ASN. |
|
date
|
destinationIpAsn.date | date-time |
Ziel-IP-ASN-Datum. |
|
Verwandte Aufgaben
|
relatedTasks | array of string |
Links zu verwandten Vorgängen in ANY. RUN-Sandkasten. |
|
threatName
|
threatName | array of string |
Bedrohungsnamen. |
|
threatLevel
|
summary.threatLevel | integer | |
|
lastSeen
|
summary.lastSeen | date-time | |
|
detectedType
|
summary.detectedType | string | |
|
isTrial
|
summary.isTrial | boolean | |
|
relatedIncidents
|
relatedIncidents | array of RelatedIncidentApiDto |
Verwandte Vorfälle. |
|
destinationIP
|
destinationIP | array of DestinationIpApiDto |
Ziel-IP-Adressen. |
|
relatedFiles
|
relatedFiles | array of RelatedFileApiDto |
Verwandte Dateidaten. |
|
relatedDNS
|
relatedDNS | array of RelatedDnsApiDto |
Verwandtes DNS. |
|
relatedURLs
|
relatedURLs | array of RelatedUrlApiDto |
Verwandte URLs. |
|
sourceTasks
|
sourceTasks | array of SourceTaskApiDto |
Informationen zu Quellaufgaben. |
|
relatedSynchronizationObjects
|
relatedSynchronizationObjects | array of RelatedSynchronizationObjectsApiDto |
Zugehörige Synchronisierungsobjektdaten. |
|
relatedNetworkThreats
|
relatedNetworkThreats | array of RelatedNetworkThreatApiDto |
Verwandte Netzwerkbedrohungsdaten. |
RelatedIncidentApiDto
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Aufgabe
|
task | string |
Verknüpfung mit der Aufgabe in ANY. RUN-Sandkasten. |
|
time
|
time | date-time |
Erstellungszeit. |
|
MITRA
|
MITRE | array of string |
Array von MITRE-Matrixtechniken iDs von Untertechniken-IDs. |
|
threatName
|
threatName | array of string |
Bedrohungsnamen. |
|
Ereignis
|
event | EventApiDto | |
|
Prozess
|
process | ProcessApiDto |
EventApiDto
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
RegelName
|
ruleName | string |
Regelname. |
|
Kommandozeile
|
commandLine | string |
Befehlszeilenzeichenfolge. |
|
imagePfad
|
imagePath | string |
Bildpfadzeichenfolge. |
|
Pid
|
pid | integer |
Prozess-ID. |
|
title
|
title | array of string |
Titel des Ereignistyps. |
|
ZielHafen
|
destinationPort | array of string |
Zielportnummern. |
|
destinationIP
|
destinationIP | string |
Ziel-IP-Adresse. |
|
destinationIPgeo
|
destinationIPgeo | array of string |
Ziel-IP-Geo (Länder). |
|
destinationIpAsn
|
destinationIpAsn | array of string |
Ziel-IP-ASN (autonome Systemnummer). |
|
URL
|
url | string |
URL. |
|
fileName
|
fileName | string |
Dateiname. |
|
registryKey
|
registryKey | string |
Registrierungsschlüssel. |
|
registryName
|
registryName | array of string |
Registrierungsname. |
|
registryValue
|
registryValue | array of string |
Registrierungswert. |
|
moduleImagePath
|
moduleImagePath | string |
Modulbildpfad. |
|
injectedFlag
|
injectedFlag | boolean |
Injizierte Kennzeichnung. |
|
Domänname
|
domainName | array of string |
Domänenname. |
|
httpRequestContentType
|
httpRequestContentType | string |
Inhaltstyp anfordern. |
|
httpRequestContentFile
|
httpRequestContentFile | string |
Inhaltsdatei anfordern. |
|
httpResponseContentType
|
httpResponseContentType | string |
Antwortinhaltstyp. |
|
httpResponseContentFile
|
httpResponseContentFile | string |
Antwortinhaltsdatei. |
|
ruleThreatLevel
|
ruleThreatLevel | string |
Regel-Bedrohungsstufe. |
|
sha256
|
sha256 | string |
SHA256-Hash. |
ProcessApiDto
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Kommandozeile
|
commandLine | string |
Befehlszeilenzeichenfolge. |
|
imagePfad
|
imagePath | string |
Bildpfadzeichenfolge. |
|
threatName
|
threatName | string |
Bedrohungsnamen. |
|
MITRA
|
MITRE | array of string |
Array von MITRE-Matrixtechniken iDs von Untertechniken-IDs. |
|
Pid
|
pid | integer |
Prozess-ID. |
|
Spielergebnisse
|
scores | ProcessScoresDto |
Prozessergebnisse. |
|
eventsCounters
|
eventsCounters | EventsCountersDto |
Ereigniszähler. |
|
threatLevel
|
threatLevel | integer |
Bedrohungsstufe. |
ProcessScoresDto
Prozessergebnisse.
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Brille
|
specs | ProcessScoresSpecsDto |
Prozessbewertungsspezifikationen. |
ProcessScoresSpecsDto
Prozessbewertungsspezifikationen.
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
known_threat
|
known_threat | boolean |
Gibt an, ob es sich um eine bekannte Bedrohung handelt. |
|
network_loader
|
network_loader | boolean |
Gibt an, ob der Netzwerkdownload erkannt wurde. |
|
Netzwerk
|
network | boolean |
Gibt an, ob die Netzwerkaktivität aktiviert wurde. |
|
uac_request
|
uac_request | boolean |
Gibt an, ob die UAC-Anforderung (User Access Control) erkannt wurde. |
|
Injiziert
|
injects | boolean |
Gibt an, ob Bedrohung Einfügungen verwendet. |
|
service_luncher
|
service_luncher | boolean |
Gibt an, ob eine neue Dienstregistrierung erkannt wurde. |
|
executable_dropped
|
executable_dropped | boolean |
Gibt an, ob die Bedrohung verworfene ausführbare Dateien verwendet. |
|
Multiprozessorbetrieb
|
multiprocessing | boolean |
Gibt an, ob die Bedrohung Multiprocessing verwendet. |
|
crashed_apps
|
crashed_apps | boolean |
Gibt an, ob die Anwendung abgestürzt ist. |
|
debug_output
|
debug_output | boolean |
Gibt an, ob die Anwendung eine Debugausgabemeldung hat. |
|
stehlend
|
stealing | boolean |
Gibt an, ob der Prozess Informationen von infizierten Computern stiehlt. |
|
verwertbar
|
exploitable | boolean |
Gibt an, ob ein bekannter Exploit erkannt wurde. |
|
static_detections
|
static_detections | boolean |
Gibt an, ob böswillige Muster vom statischen Analysemodul erkannt wurden. |
|
susp_struct
|
susp_struct | boolean |
Ist susp struct. |
|
Autostart
|
autostart | boolean |
Gibt an, ob die Anwendung zum automatischen Starten hinzugefügt wurde. |
|
low_access
|
low_access | boolean |
Gibt an, ob bedrohungsarme Zugriffe verwendet. |
|
Tor
|
tor | boolean |
Gibt an, ob TOR verwendet wurde. |
|
Spam
|
spam | boolean |
Gibt an, ob Spam erkannt wurde. |
|
malware_config
|
malware_config | boolean |
Gibt an, ob die Schadsoftwarekonfiguration aus der übermittelten Datei extrahiert wurde. |
|
process_dump
|
process_dump | boolean |
Gibt an, ob das Prozessspeicherabbild extrahiert werden kann. |
EventsCountersDto
Ereigniszähler.
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
roh
|
raw | EventsCountersRawDto |
Ereignisindikatoren unformatiert. |
EventsCountersRawDto
Ereignisindikatoren unformatiert.
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
registry
|
registry | integer |
Nummer- oder Registrierungsereignisse. |
|
files
|
files | integer |
Nummer oder Dateien. |
|
modules
|
modules | integer |
Anzahl oder Module. |
|
Objekte
|
objects | integer |
Anzahl oder Objekte. |
|
rpc
|
rpc | integer |
Anzahl oder RPCs. |
DestinationIpApiDto
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
destinationIP
|
destinationIP | string |
Ziel-IP-Adresse. |
|
date
|
date | date-time |
Erstellungsdatum. |
|
threatLevel
|
threatLevel | integer |
Bedrohungsstufe. |
|
threatName
|
threatName | array of string |
Bedrohungsnamen. |
|
isMalconf
|
isMalconf | boolean |
Gibt an, ob das IOC aus der Schadsoftwarekonfiguration extrahiert wurde. |
RelatedFileApiDto
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Aufgabe
|
task | string |
Verknüpfung mit der Aufgabe in ANY. RUN-Sandkasten. |
|
title
|
title | string |
Titel des Ereignistyps. |
|
fileLink
|
fileLink | string |
Link zu den HTTP-Antwortdateien. |
|
time
|
time | date-time |
Erstellungsdatum. |
|
fileName
|
fileName | string |
Dateiname. |
|
fileExt
|
fileExt | string |
Dateiendung. |
|
Prozess
|
process | ProcessApiDto | |
|
Hashes
|
hashes | HashesApiDto |
RelatedDnsApiDto
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Domänname
|
domainName | string |
Domänenname. |
|
threatName
|
threatName | array of string |
Bedrohungsname. |
|
threatLevel
|
threatLevel | integer |
Bedrohungsstufe. |
|
date
|
date | date-time |
Erstellungsdatum. |
|
isMalconf
|
isMalconf | boolean |
Gibt an, ob das IOC aus der Schadsoftwarekonfiguration extrahiert wurde. |
RelatedUrlApiDto
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
URL
|
url | string |
URL. |
|
date
|
date | date-time |
Erstellungsdatum. |
|
threatLevel
|
threatLevel | integer |
Bedrohungsstufe. |
|
threatName
|
threatName | array of string |
Bedrohungsnamen. |
|
isMalconf
|
isMalconf | boolean |
Gibt an, ob das IOC aus der Schadsoftwarekonfiguration extrahiert wurde. |
SourceTaskApiDto
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Universelle eindeutige Kennung (UUID)
|
uuid | string |
Vorgang UUID. |
|
verwandt
|
related | string |
Verknüpfung mit der Aufgabe in ANY. RUN-Sandkasten. |
|
date
|
date | date-time |
Erstellungszeit der Aufgabe. |
|
threatLevel
|
threatLevel | integer |
Bedrohungsstufe. |
|
tags
|
tags | array of string |
Schilder. |
|
mainObject
|
mainObject | MainObjectApiDto |
Hauptobjektinformationen. |
MainObjectApiDto
Hauptobjektinformationen.
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
type
|
type | string |
Typ: |
|
name
|
name | string |
Name: |
|
Hashes
|
hashes | HashesApiDto |
RelatedSynchronizationObjectsApiDto
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
syncObjectTime
|
syncObjectTime | date-time |
Zeit. |
|
syncObjectType
|
syncObjectType | string |
Typ: |
|
syncObjectOperation
|
syncObjectOperation | string |
Operation. |
|
syncObjectName
|
syncObjectName | string |
Name: |
|
Aufgabe
|
task | string |
Vorgangslink. |
|
Prozess
|
process | ProcessApiDto |
RelatedNetworkThreatApiDto
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
suricataClass
|
suricataClass | string |
Suricata Klasse. |
|
imagePfad
|
imagePath | string |
Bildpfad. |
|
suricataID
|
suricataID | string |
SID. |
|
suricataMessage
|
suricataMessage | string |
Suricata-Nachricht. |
|
tags
|
tags | array of string |
Schilder. |
|
MITRA
|
MITRE | array of string |
Array von MITRE-Matrixtechniken iDs von Untertechniken-IDs. |
|
suricataThreatLevel
|
suricataThreatLevel | string |
Suricata-Bedrohungsstufe. |
|
Aufgabe
|
task | string |
Vorgangslink. |
HashesApiDto
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
md5
|
md5 | string |
MD5-Hashzeichenfolge. |
|
sha1
|
sha1 | string |
SHA1-Hashzeichenfolge. |
|
sha256
|
sha256 | string |
SHA256-Hashzeichenfolge. |
|
ssdeep
|
ssdeep | string |
Ssdeep-Hashzeichenfolge. |