Aufgezeichnete Zukunft V2
Aufgezeichneter zukünftiger Connector ermöglicht den Zugriff auf die aufgezeichnete zukünftige Intelligenz. Der Connector verfügt über dedizierte Aktionen zum Abrufen aufgezeichneter Zukünftiger Indikatoren (IP, Domäne, URL, Hash) und zugehöriger Kontext (Risikobewertung, Risikoregeln, Verknüpfung von Intelligence-Karten und links auf Nachweise mit hoher Vertrauenswürdigkeit), Sicherheitslücken, aufgezeichnete zukünftige Warnungen und ermöglicht den Zugriff auf aufgezeichnete zukünftige SOAR-API und Fusionsdateien
Dieser Connector ist in den folgenden Produkten und Regionen verfügbar:
| Dienstleistung | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Alle Power Automate-Regionen |
| Logik-Apps | Norm | Alle Logik-Apps-Regionen |
| Power Apps | Premium | Alle Power Apps-Regionen |
| Power Automate | Premium | Alle Power Automate-Regionen |
| Kontakt | |
|---|---|
| Name | Aufgezeichneter zukünftiger Support |
| URL | https://support.recordedfuture.com |
| support@recordedfuture.com |
| Connectormetadaten | |
|---|---|
| Herausgeber | Aufgezeichnete Zukunft |
| Webseite | https://www.recordedfuture.com |
| Datenschutzrichtlinie | https://www.recordedfuture.com/privacy-policy/ |
| Kategorien | Künstliche Intelligenz; Daten |
Aufgezeichnete Zukunft V2
Die Integration der aufgezeichneten Zukunft ermöglicht die Integration von Sicherheitsintelligenz in Echtzeit in beliebte Microsoft-Dienste wie Sentinel, Defender ATP und andere. Dadurch können unsere Kunden ihre vorhandenen Sicherheitsinvestitionen maximieren, sicherstellen, dass sie Echtzeitintelligenz haben, um ihre Cloudumgebungen zu sichern und risiken für die Organisation zu reduzieren. Der Connector "Aufgezeichnete Zukunft" für Microsoft Azure ermöglicht den Zugriff auf dedizierte Aktionen zum Abrufen aufgezeichneter zukünftiger Indikatoren (IP, Domäne, URL, Hash, Sicherheitsrisiken), zugehöriger Kontext (Risikobewertung, Risikoregeln, Verknüpfungen mit hoher Vertrauenswürdigkeit und eine Verknüpfung mit Intelligence Card), aufgezeichnete zukünftige Warnungen, Playbooks-Warnungen, Bedrohungskarte, Bedrohungsindikatoren und Erkennungsregeln.
Herausgeber: Aufgezeichnete Zukunft
Was ist neu?
- Aufgezeichnete Bedrohungszuordnung für Bedrohungsakteur der Zukunft
- Aufgezeichnete Schadsoftware-Bedrohungskarte der Zukunft
- Aufgezeichnete Bedrohungsindikatoren für Akteure der Zukunft
- Aufgezeichnete Bedrohungsindikatoren für Schadsoftware
Voraussetzungen
Um die Aufgezeichnete Zukunft für die Microsoft Azure-Integration zu aktivieren, müssen Benutzer ein Token für aufgezeichnete zukünftige API bereitgestellt werden. Wenden Sie sich an Ihren Kontomanager, um das erforderliche API-Token abzurufen.
So erhalten Sie Anmeldeinformationen
Für die aufgezeichnete Zukunft sind API-Schlüssel erforderlich, um mit unserer API zu kommunizieren. Um API-Schlüssel zu erhalten: Starten Sie eine 30-tägige kostenlose Testversion der aufgezeichneten Zukunft für Microsoft Sentinel oder besuchen Sie aufgezeichnete zukünftige Anfordernde API-Token (Erfordert aufgezeichnete zukünftige Anmeldung) und anfordern API-Token für Recorded Future for Microsoft Sentinel oder/und Recorded Future Sandbox for Microsoft Sentinel.
Unterstützte Vorgänge
Dieser Connector wird verwendet, um aufgezeichnete zukünftige Indikatoren, Warnungen, Playbook-Warnungen, Bedrohungszuordnung, Bedrohungsindikatoren und Erkennungsregeln abzurufen:
- Aufgezeichnete zukünftige RiskLists und SCF Download - Aufgezeichnete zukünftige Risikolisten und Sicherheitskontrollfeeds herunterladen
- IP-Anreicherung – Anreichern einer IP mit aufgezeichneten zukünftigen Daten.
- Domänenanreicherung – Anreichern einer Domäne mit aufgezeichneten zukünftigen Daten.
- URL-Anreicherung – Anreichern einer URL mit aufgezeichneten zukünftigen Daten.
- Hashanreicherung – Anreichern eines Hashs mit aufgezeichneten zukünftigen Daten.
- Anreicherung von Sicherheitsrisiken – Anreichern einer Sicherheitsanfälligkeit mit aufgezeichneten zukünftigen Daten.
- SOAR-API - Multi-Entitiy-Anreicherung - Mehrere Entitäten gleichzeitig anreichern (Spezifischer Zugriff ist erforderlich)
- Ausgelöste Benachrichtigungen durchsuchen – Benachrichtigungen nach einer Reihe von Suchparametern auflisten.
- Get Triggered Alerts by ID – Abrufen der Warnungsdetails einer ausgelösten Warnung
- Suchbenachrichtigungsregeln – Warnungsregeln nach Namen auflisten
- Benachrichtigungssuche (veraltet) – veraltet
- Warnungsbenachrichtigung nach ID abrufen (veraltet) – veraltet
- Playbook-Warnungen durchsuchen – Auflisten von Playbook-Warnungen basierend auf einer Reihe von Suchparametern
- Playbook-Warnung nach ID abrufen – Abrufen der Warnungsdetails einer Playbook-Warnung
- Abrufen von Bedrohungszuordnungs-Akteuren – Abrufen von Bedrohungszuordnungsdaten für die primäre Organisation des Unternehmens mit Filtern.
- Abrufen von Bedrohungszuordnungs-Schadsoftware – Abrufen von Bedrohungszuordnungsdaten für die primäre Organisation des Unternehmens mit Filtern.
- Abrufen von Bedrohungsindikatoren für Akteure im STIX-Format - Abrufen von Bedrohungsindikatoren für Akteure im STIX-Format.
- Abrufen von Bedrohungsindikatoren für Schadsoftware im STIX-Format - Abrufen von Bedrohungsindikatoren für Schadsoftware im STIX-Format.
- Sucherkennungsregeln (Vorschau) – Abrufen von Erkennungsregeln, die einem Suchfilter entsprechen
Beispiele für Lösungen für Microsoft Sentinel
Installationshandbuch für Lösungen mit diesem Connector: Aufgezeichnete zukünftige Lösungen für Microsoft Sentinel
Bekannte Probleme und Einschränkungen
N/A
Eine Verbindung wird erstellt
Der Connector unterstützt die folgenden Authentifizierungstypen:
| Vorgabe | Parameter zum Erstellen einer Verbindung. | Alle Regionen | Nicht teilbar |
Vorgabe
Anwendbar: Alle Regionen
Parameter zum Erstellen einer Verbindung.
Dies ist keine freigabefähige Verbindung. Wenn die Power-App für einen anderen Benutzer freigegeben wird, wird ein anderer Benutzer aufgefordert, eine neue Verbindung explizit zu erstellen.
| Name | Typ | Description | Erforderlich |
|---|---|---|---|
| API-Schlüssel | securestring | Der API-Schlüssel für diese API | Richtig |
Drosselungsgrenzwerte
| Name | Aufrufe | Verlängerungszeitraum |
|---|---|---|
| API-Aufrufe pro Verbindung | 100 | 60 Sekunden |
Aktionen
| Abrufen von Bedrohungsindikatoren für Akteure im STIX-Format |
Abrufen von Bedrohungsindikatoren für Akteure im STIX-Format. |
| Abrufen von Bedrohungsindikatoren für Schadsoftware im STIX-Format |
Rufen Sie Bedrohungsindikatoren für Schadsoftware im STIX-Format ab. |
| Abrufen von Bedrohungszuordnung Schadsoftware |
Rufen Sie Bedrohungszuordnungsdaten für die primäre Organisation des Unternehmens mit Filtern ab. |
| Abrufen von Bedrohungszuordnungsakteuren |
Rufen Sie Bedrohungszuordnungsdaten für die primäre Organisation des Unternehmens mit Filtern ab. |
| Anreicherung von Sicherheitsrisiken |
Anreichern einer Sicherheitsanfälligkeit mit aufgezeichneten zukünftigen Daten |
|
Aufgezeichnete zukünftige Risk |
Aufgezeichnete Zukünftige Risikolisten und Feeds zur Sicherheitssteuerung herunterladen |
| Ausgelöste Suchbenachrichtigungen |
Warnungsbenachrichtigungen anhand einer Reihe von Suchparametern auflisten |
| Domänenanreicherung |
Anreichern einer Domäne mit aufgezeichneten zukünftigen Daten |
| Get Triggered Alerts by ID |
Abrufen der Warnungsdetails einer ausgelösten Warnung |
| Hashanreicherung |
Anreichern eines Hashs mit aufgezeichneten zukünftigen Daten |
| IP-Anreicherung |
Anreichern einer IP mit aufgezeichneten zukünftigen Daten |
| Playbook-Benachrichtigungen durchsuchen |
Auflisten von Playbookbenachrichtigungen basierend auf einer Reihe von Suchparametern |
| Playbook-Warnung nach ID abrufen |
Abrufen der Warnungsdetails einer Playbook-Benachrichtigung |
| SOAR-API - Multi-Entitiy-Anreicherung |
Gleichzeitiges Anreichern mehrerer Entitäten (Spezifischer Zugriff ist erforderlich) |
| Suchbenachrichtigungen (veraltet) |
Verwenden Sie stattdessen "/v2/alerts". Warnungsbenachrichtigungen anhand einer Reihe von Suchparametern auflisten |
| Suchbenachrichtigungsregeln |
Auflisten von Warnungsregeln anhand des Namens |
| Sucherkennungsregeln |
Abrufen von Erkennungsregeln, die einem Suchfilter entsprechen |
| URL-Anreicherung |
Anreichern einer URL mit aufgezeichneten zukünftigen Daten |
| Warnungsbenachrichtigung nach ID abrufen (veraltet) |
Veraltet, verwenden Sie stattdessen "/v2/alerts/{id}". Abrufen der Warnungsdetails einer ausgelösten Warnung |
Abrufen von Bedrohungsindikatoren für Akteure im STIX-Format
Abrufen von Bedrohungsindikatoren für Akteure im STIX-Format.
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Schauspieler
|
actors | array of string | ||
|
categories
|
categories | array of string | ||
|
watchlists
|
watchlists | array of string | ||
|
trigger_score_ip
|
trigger_score_ip | integer | ||
|
trigger_score_url
|
trigger_score_url | integer | ||
|
trigger_score_domain
|
trigger_score_domain | integer | ||
|
trigger_score_hash
|
trigger_score_hash | integer | ||
|
valid_until_delta_hours
|
valid_until_delta_hours | integer | ||
|
threat_hunt_description
|
threat_hunt_description | string |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Daten
|
data | ThreatHuntActors |
Abrufen von Bedrohungsindikatoren für Schadsoftware im STIX-Format
Rufen Sie Bedrohungsindikatoren für Schadsoftware im STIX-Format ab.
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Schadsoftware
|
malware | array of string | ||
|
categories
|
categories | array of string | ||
|
watchlists
|
watchlists | array of string | ||
|
trigger_score_ip
|
trigger_score_ip | integer | ||
|
trigger_score_url
|
trigger_score_url | integer | ||
|
trigger_score_domain
|
trigger_score_domain | integer | ||
|
trigger_score_hash
|
trigger_score_hash | integer | ||
|
valid_until_delta_hours
|
valid_until_delta_hours | integer | ||
|
threat_hunt_description
|
threat_hunt_description | string |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Daten
|
data | ThreatHuntMalware |
Abrufen von Bedrohungszuordnung Schadsoftware
Rufen Sie Bedrohungszuordnungsdaten für die primäre Organisation des Unternehmens mit Filtern ab.
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Schadsoftware
|
malware | True | array of string |
Liste der Schadsoftware |
|
categories
|
categories | True | array of string |
Liste der Kategorien |
|
watchlists
|
watchlists | True | array of string |
Liste der Watchlists |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Daten
|
data | ThreatMapMalware |
Abrufen von Bedrohungszuordnungsakteuren
Rufen Sie Bedrohungszuordnungsdaten für die primäre Organisation des Unternehmens mit Filtern ab.
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Schauspieler
|
actors | True | array of string |
Liste der Akteure |
|
categories
|
categories | True | array of string |
Liste der Kategorien |
|
watchlists
|
watchlists | True | array of string |
Liste der Watchlists |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Daten
|
data | ThreatMapActors |
Anreicherung von Sicherheitsrisiken
Anreichern einer Sicherheitsanfälligkeit mit aufgezeichneten zukünftigen Daten
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Eingabe der Sicherheitsrisiko-ID (CVE, Name)
|
id | True | string |
Die zu suchende Sicherheitsrisiko-ID (CVE, Name). Muss eine einzelne Sicherheitsrisiko-ID (CVE, Name) sein. |
|
Felder
|
fields | True | string |
Durch Trennzeichen getrennte Liste der Felder, die in der Antwort zurückgegeben werden sollen |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Teilen Sie Korrelationen und Anreicherungen von Daten mit der Aufgezeichneten Future Intelligence Cloud. Standardwert: true |
|
|
HTML-Antwort
|
htmlresponse | boolean |
Einfügen einer HTML-Vorlage in die Antwort |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
intelCard
|
data.intelCard | string |
Aufgezeichneter Link "Future Intelligence Card" |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Aufgezeichnete Sicherheitsrisikoskritischitätsstufe |
|
score
|
data.risk.score | integer |
Aufgezeichnete Zukünftige Sicherheitsrisikobewertung |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Nachweisdetails |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Aufgezeichnete Details zu zukünftigen Risikoregeln |
|
rule
|
data.risk.evidenceDetails.rule | string |
Aufgezeichnete Regeln für zukünftige Sicherheitsrisiken |
|
riskSummary
|
data.risk.riskSummary | string |
Zusammenfassung zukünftiger Risikoregeln |
|
Verknüpfungen
|
data.links | Links |
Vertrauensbasierte Links für Nachweise mit hoher Zuverlässigkeit |
|
html_response
|
data.html_response | string |
Aufgezeichnete zukünftige RiskLists und SCF Download
Aufgezeichnete Zukünftige Risikolisten und Feeds zur Sicherheitssteuerung herunterladen
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Pfad zur Datei
|
path | True | string |
Pfad zur Datei |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
|
array of object | ||
|
Name
|
Name | string | |
|
Risiko
|
Risk | integer | |
|
RiskString
|
RiskString | string | |
|
EvidenceDetails
|
EvidenceDetails.EvidenceDetails | array of object | |
|
Regel
|
EvidenceDetails.EvidenceDetails.Rule | string | |
|
EvidenceString
|
EvidenceDetails.EvidenceDetails.EvidenceString | string | |
|
CriticalityLabel
|
EvidenceDetails.EvidenceDetails.CriticalityLabel | string | |
|
Zeitstempel
|
EvidenceDetails.EvidenceDetails.Timestamp | integer | |
|
MitigationString
|
EvidenceDetails.EvidenceDetails.MitigationString | string | |
|
Wichtigkeit
|
EvidenceDetails.EvidenceDetails.Criticality | integer |
Ausgelöste Suchbenachrichtigungen
Warnungsbenachrichtigungen anhand einer Reihe von Suchparametern auflisten
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Ausgelöst
|
triggered | string |
Der Zeitrahmen, für den ausgelöste Warnungen eingeschlossen werden sollen. Z. B. -24h oder -2d |
|
|
Warnungsregel-ID
|
alertRule | string |
Gibt nur Warnungen zurück, die für die angegebene Warnungsregel-ID ausgelöst wurden. |
|
|
Maximale Anzahl von Datensätzen
|
limit | integer |
Beschränkt die Anzahl der zurückgegebenen Warnungen. |
|
|
Datensätze aus Offset
|
from | integer |
Datensätze aus Offset |
|
|
Einzuschließende Felder
|
fields | string |
Einzuschließende Felder, z. B. "ID, Treffer". Gibt alle zurück, wenn nicht angegeben. |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Daten
|
data | array of AlertSearchV2 | |
|
zurückgekehrt
|
counts.returned | integer | |
|
gesamt
|
counts.total | integer |
Domänenanreicherung
Anreichern einer Domäne mit aufgezeichneten zukünftigen Daten
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Domäneneingabe
|
domain | True | string |
Die Domäne, die nachschlagen soll. Muss eine einzelne Domäne sein |
|
Felder
|
fields | True | string |
Durch Trennzeichen getrennte Liste der Felder, die in der Antwort zurückgegeben werden sollen |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Teilen Sie Korrelationen und Anreicherungen von Daten mit der Aufgezeichneten Future Intelligence Cloud. Standardwert: true |
|
|
HTML-Antwort
|
htmlresponse | boolean |
Einfügen einer HTML-Vorlage in die Antwort |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
intelCard
|
data.intelCard | string |
Aufgezeichneter Link "Future Intelligence Card" |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Aufgezeichnete Bewertung der Kritischen Bewertung des Indikators |
|
score
|
data.risk.score | integer |
Aufgezeichnete Risikobewertung für zukünftige Indikatoren |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Nachweisdetails |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Aufgezeichnete Details zu zukünftigen Risikoregeln |
|
rule
|
data.risk.evidenceDetails.rule | string |
Aufgezeichnete Risikoregeln für zukünftige Indikatoren |
|
riskSummary
|
data.risk.riskSummary | string |
Zusammenfassung zukünftiger Risikoregeln |
|
Verknüpfungen
|
data.links | Links |
Vertrauensbasierte Links für Nachweise mit hoher Zuverlässigkeit |
|
html_response
|
data.html_response | string |
Get Triggered Alerts by ID
Abrufen der Warnungsdetails einer ausgelösten Warnung
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Benachrichtigungs-ID
|
id | True | string |
Benachrichtigungs-ID |
|
Einzuschließende Felder
|
fields | string |
Einzuschließende Felder, z. B. "ID, Treffer". Gibt alle zurück, wenn nicht angegeben. |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Daten
|
data | AlertSearchV2 |
Hashanreicherung
Anreichern eines Hashs mit aufgezeichneten zukünftigen Daten
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
HASH-Eingabe
|
hash | True | string |
Der HASH, der nachschlagen soll. Muss ein einzelner HASH sein |
|
Felder
|
fields | True | string |
Durch Trennzeichen getrennte Liste der Felder, die in der Antwort zurückgegeben werden sollen |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Teilen Sie Korrelationen und Anreicherungen von Daten mit der Aufgezeichneten Future Intelligence Cloud. Standardwert: true |
|
|
HTML-Antwort
|
htmlresponse | boolean |
Einfügen einer HTML-Vorlage in die Antwort |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
intelCard
|
data.intelCard | string |
Aufgezeichneter Link "Future Intelligence Card" |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Aufgezeichnete Bewertung der Kritischen Bewertung des Indikators |
|
score
|
data.risk.score | integer |
Aufgezeichnete Risikobewertung für zukünftige Indikatoren |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Nachweisdetails |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Aufgezeichnete Details zu zukünftigen Risikoregeln |
|
rule
|
data.risk.evidenceDetails.rule | string |
Aufgezeichnete Risikoregeln für zukünftige Indikatoren |
|
riskSummary
|
data.risk.riskSummary | string |
Zusammenfassung zukünftiger Risikoregeln |
|
Verknüpfungen
|
data.links | Links |
Vertrauensbasierte Links für Nachweise mit hoher Zuverlässigkeit |
|
html_response
|
data.html_response | string |
IP-Anreicherung
Anreichern einer IP mit aufgezeichneten zukünftigen Daten
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
IP-Eingabe
|
ip | True | string |
Die IP-Adresse, die nachschlagen soll. Muss eine einzelne IP-Adresse sein |
|
Felder
|
fields | True | string |
Durch Trennzeichen getrennte Liste der Felder, die in der Antwort zurückgegeben werden sollen |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Teilen Sie Korrelationen und Anreicherungen von Daten mit der Aufgezeichneten Future Intelligence Cloud. Standardwert: true |
|
|
HTML-Antwort
|
htmlresponse | boolean |
Einfügen einer HTML-Vorlage in die Antwort |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
intelCard
|
data.intelCard | string |
Aufgezeichneter Link "Future Intelligence Card" |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Aufgezeichnete Bewertung der Kritischen Bewertung des Indikators |
|
score
|
data.risk.score | integer |
Aufgezeichnete Risikobewertung für zukünftige Indikatoren |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Nachweisdetails |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Aufgezeichnete Details zu zukünftigen Risikoregeln |
|
rule
|
data.risk.evidenceDetails.rule | string |
Aufgezeichnete Risikoregeln für zukünftige Indikatoren |
|
riskSummary
|
data.risk.riskSummary | string |
Zusammenfassung zukünftiger Risikoregeln |
|
Verknüpfungen
|
data.links | Links |
Vertrauensbasierte Links für Nachweise mit hoher Zuverlässigkeit |
|
html_response
|
data.html_response | string |
Playbook-Benachrichtigungen durchsuchen
Auflisten von Playbookbenachrichtigungen basierend auf einer Reihe von Suchparametern
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Limit
|
limit | string |
Beschränken der Anzahl der zurückgegebenen Playbook-Warnungen |
|
|
Entitäten
|
entities | array of string |
Eine Liste der Entitäten |
|
|
statuses
|
statuses | array of string |
Eine Liste der Warnungsstatus |
|
|
Prioritäten
|
priorities | array of string |
Eine Liste der Warnungsprioritäten |
|
|
categories
|
categories | array of string |
Eine Liste der Warnungskategorien |
|
|
Relativ erstellt von
|
created_from_relative | string |
Beschränken Sie die Antwort auf Playbook-Benachrichtigungen, die bis zu diesen vielen Minuten, Stunden oder Tagen erstellt wurden. Der Standardwert ist für alle Zeiten. |
|
|
Relativ erstellt bis
|
created_until_relative | string |
Beschränken Sie die Antwort auf Playbook-Benachrichtigungen, die spätestens diese Anzahl von Minuten, Stunden oder Tagen erstellt wurden. Der Standardwert ist "-0" (jetzt). |
|
|
Relativ aktualisiert von
|
updated_from_relative | string |
Beschränken Sie die Antwort auf Playbook-Benachrichtigungen, die in den meisten Minuten, Stunden oder Tagen in der Vergangenheit aktualisiert wurden. Der Standardwert ist "-1d" (ein Tag zurück). |
|
|
Relative Aktualisierung bis
|
updated_until_relative | string |
Beschränken Sie die Antwort auf Playbook-Benachrichtigungen, die spätestens in dieser Anzahl von Minuten, Stunden oder Tagen in der Vergangenheit aktualisiert wurden. Der Standardwert ist "-0" (jetzt). |
Gibt zurück
Playbook-Benachrichtigungen, die den Suchkriterien entsprechen
- Gegenstände
- PlaybookAlertSearch
Playbook-Warnung nach ID abrufen
Abrufen der Warnungsdetails einer Playbook-Benachrichtigung
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Playbook-Warnungs-ID
|
id | True | string |
Die Playbook-Warnungs-ID |
Gibt zurück
- Body
- PlaybookAlertLookup
SOAR-API - Multi-Entitiy-Anreicherung
Gleichzeitiges Anreichern mehrerer Entitäten (Spezifischer Zugriff ist erforderlich)
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
ip
|
ip | array of string |
Ip |
|
|
URL
|
url | array of string |
URL |
|
|
Domäne
|
domain | array of string |
Domäne |
|
|
hash
|
hash | array of string |
Hash |
|
|
Schwachstelle
|
vulnerability | array of string |
Sicherheitsrisiko |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
zurückgekehrt
|
counts.returned | integer | |
|
gesamt
|
counts.total | integer | |
|
results
|
data.results | array of object | |
|
id
|
data.results.entity.id | string | |
|
name
|
data.results.entity.name | string | |
|
type
|
data.results.entity.type | string | |
|
context
|
data.results.risk.context | object | |
|
Niveau
|
data.results.risk.level | number | |
|
rule
|
data.results.risk.rule | object | |
|
score
|
data.results.risk.score | number |
Suchbenachrichtigungen (veraltet)
Verwenden Sie stattdessen "/v2/alerts". Warnungsbenachrichtigungen anhand einer Reihe von Suchparametern auflisten
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Ausgelöst
|
triggered | string |
Alle elasticsearch kompatiblen Datumsformate sind gültig. |
|
|
Warnungsregel-ID
|
alertRule | True | string |
Warnungsregel-ID |
|
Maximale Anzahl von Datensätzen
|
limit | integer |
Maximale Anzahl von Datensätzen |
|
|
Datensätze aus Offset
|
from | integer |
Datensätze aus Offset |
Gibt zurück
- Body
- AlertSearch
Suchbenachrichtigungsregeln
Auflisten von Warnungsregeln anhand des Namens
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Freetext-Suche
|
freetext | string |
Freetext-Suche nach Name der Warnungsregel |
|
|
Maximale Anzahl von Datensätzen
|
limit | integer |
Maximale Anzahl von Datensätzen |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
results
|
data.results | array of object |
Ergebnisse |
|
Titel der Warnungsregel
|
data.results.title | string |
Title |
|
Warnungsregel-ID
|
data.results.id | string |
Id |
|
Zurückgegebene Anzahl von Warnungsregeln
|
counts.returned | integer |
Zurückgekehrt |
|
Gesamtzahl der Warnungsregeln
|
counts.total | integer |
Total |
Sucherkennungsregeln
Abrufen von Erkennungsregeln, die einem Suchfilter entsprechen
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Typen
|
types | array of string |
Liste der Erkennungsregeltypen, die in die Antwort eingeschlossen werden sollen |
|
|
Entitäten
|
entities | array of string |
Liste der Entitäten, mit denen die Erkennungsregeln zusammenhängen müssen |
|
|
before
|
before | date-time |
Beschränken Sie die Antwort auf Erkennungsregeln, die vor diesem Datum erstellt wurden. Beispiel: 2023-06-01T18:00:00Z |
|
|
after
|
after | date-time |
Beschränken der Antwort auf Erkennungsregeln, die nach diesem Datum erstellt wurden |
|
|
Limit
|
limit | integer |
Einschränken der Anzahl der zurückgegebenen Erkennungsregeln |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Erkennungsregelanzahl
|
count | integer |
Anzahl |
|
Erkennungsregeln
|
result | array of object |
Erkennungsregeln |
|
id
|
result.id | string | |
|
type
|
result.type | string | |
|
title
|
result.title | string | |
|
Beschreibung
|
result.description | string | |
|
Regeln
|
result.rules | array of object | |
|
name
|
result.rules.name | string | |
|
Beschreibung
|
result.rules.description | string | |
|
file_name
|
result.rules.file_name | string | |
|
Entitäten
|
result.rules.entities | array of object | |
|
id
|
result.rules.entities.id | string | |
|
type
|
result.rules.entities.type | string | |
|
name
|
result.rules.entities.name | string | |
|
display_name
|
result.rules.entities.display_name | string | |
|
Inhalt
|
result.rules.content | string | |
|
erstellt
|
result.created | string | |
|
aktualisierte
|
result.updated | string |
URL-Anreicherung
Anreichern einer URL mit aufgezeichneten zukünftigen Daten
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
URL-Eingabe
|
url | True | string |
Die URL zum Nachschlagen. Muss eine einzelne URL sein |
|
Felder
|
fields | True | string |
Durch Trennzeichen getrennte Liste der Felder, die in der Antwort zurückgegeben werden sollen |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Teilen Sie Korrelationen und Anreicherungen von Daten mit der Aufgezeichneten Future Intelligence Cloud. Standardwert: true |
|
|
HTML-Antwort
|
htmlresponse | boolean |
Einfügen einer HTML-Vorlage in die Antwort |
Gibt zurück
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Aufgezeichnete Bewertung der Kritischen Bewertung des Indikators |
|
score
|
data.risk.score | integer |
Aufgezeichnete Risikobewertung für zukünftige Indikatoren |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Nachweisdetails |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Aufgezeichnete Details zu zukünftigen Risikoregeln |
|
rule
|
data.risk.evidenceDetails.rule | string |
Aufgezeichnete Risikoregeln für zukünftige Indikatoren |
|
riskSummary
|
data.risk.riskSummary | string |
Zusammenfassung zukünftiger Risikoregeln |
|
Verknüpfungen
|
data.links | Links |
Vertrauensbasierte Links für Nachweise mit hoher Zuverlässigkeit |
|
html_response
|
data.html_response | string |
Warnungsbenachrichtigung nach ID abrufen (veraltet)
Veraltet, verwenden Sie stattdessen "/v2/alerts/{id}". Abrufen der Warnungsdetails einer ausgelösten Warnung
Parameter
| Name | Schlüssel | Erforderlich | Typ | Beschreibung |
|---|---|---|---|---|
|
Benachrichtigungs-ID
|
id | True | string |
Benachrichtigungs-ID |
Gibt zurück
- Body
- AlertLookup
Definitionen
Links
Vertrauensbasierte Links für Nachweise mit hoher Zuverlässigkeit
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
startDate
|
technical.start_date | string |
Startdatum des Links |
|
stopDate
|
technical.stop_date | string |
Enddatum der Verknüpfung |
|
Entitäten
|
technical.entities | array of LinkEntities |
Verwandte Entitäten |
|
startDate
|
research.start_date | string |
Startdatum des Links |
|
stopDate
|
research.stop_date | string |
Enddatum der Verknüpfung |
|
Entitäten
|
research.entities | array of LinkEntities |
Verwandte Entitäten |
LinkEntities
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
type
|
type | string |
Enitity-Typ |
|
name
|
name | string |
Name der Entität |
|
score
|
score | integer |
Risikobewertung |
|
Kategorie
|
category | string |
Entitätskategorie |
AlertSearchV2
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Rezension
|
review | AlertReviewV2 | |
|
owner_organisation_details
|
owner_organisation_details | AlertOwnerV2 | |
|
URL
|
url | AlertURLV2 | |
|
rule
|
rule | AlertRuleV2 | |
|
alert_id
|
id | AlertID | |
|
hits
|
hits | AlertHitsV2 | |
|
log
|
log | AlertLogV2 | |
|
title
|
title | AlertTitle | |
|
type
|
type | AlertType | |
|
ai_insights
|
ai_insights | AlertAiV2 |
AlertAiV2
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Kommentar
|
comment | string | |
|
Text
|
text | string |
AlertHitsV2
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Entitäten
|
entities | array of object | |
|
id
|
entities.id | string | |
|
name
|
entities.name | string | |
|
type
|
entities.type | string | |
|
source_id
|
document.source.id | string | |
|
name
|
document.source.name | string | |
|
type
|
document.source.type | string | |
|
title
|
document.title | string | |
|
URL
|
document.url | string | |
|
Autoren
|
document.authors | array of object | |
|
id
|
document.authors.id | string | |
|
name
|
document.authors.name | string | |
|
type
|
document.authors.type | string | |
|
Fragment
|
fragment | string | |
|
id
|
id | string | |
|
language
|
language | string | |
|
id
|
primary_entity.id | string | |
|
name
|
primary_entity.name | string | |
|
type
|
primary_entity.type | string | |
|
analyst_note
|
analyst_note | string |
AlertSearch
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
results
|
data.results | array of object | |
|
Rezension
|
data.results.review | AlertReview | |
|
URL
|
data.results.url | AlertURL | |
|
rule
|
data.results.rule | AlertRule | |
|
Ausgelöst
|
data.results.triggered | AlertTriggered | |
|
alert_id
|
data.results.id | AlertID | |
|
title
|
data.results.title | AlertTitle | |
|
type
|
data.results.type | AlertType | |
|
zurückgekehrt
|
counts.returned | integer | |
|
gesamt
|
counts.total | integer |
AlertLookup
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Rezension
|
data.review | AlertReview | |
|
Entitäten
|
data.entities | AlertEntities | |
|
URL
|
data.url | AlertURL | |
|
rule
|
data.rule | AlertRule | |
|
Ausgelöst
|
data.triggered | AlertTriggered | |
|
alert_id
|
data.id | AlertID | |
|
Referenzen
|
data.counts.references | integer | |
|
Entitäten
|
data.counts.entities | integer | |
|
Urkunden
|
data.counts.documents | integer | |
|
title
|
data.title | AlertTitle | |
|
type
|
data.type | AlertType |
AlertLogV2
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
note_author
|
note_author | string | |
|
note_date
|
note_date | date-time | |
|
status_date
|
status_date | string | |
|
Ausgelöst
|
triggered | string | |
|
status_change_by
|
status_change_by | string |
AlertOwnerV2
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Organisationen
|
organisations | array of object | |
|
Organisations-ID
|
organisations.organisation_id | string | |
|
organisation_name
|
organisations.organisation_name | string | |
|
enterprise_id
|
enterprise_id | string | |
|
enterprise_name
|
enterprise_name | string |
AlertReviewV2
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Abtretungsempfänger
|
assignee | string | |
|
status
|
status | string | |
|
status_in_portal
|
status_in_portal | string | |
|
Anmerkung
|
note | string |
AlertReview
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Abtretungsempfänger
|
assignee | string | |
|
status
|
status | string | |
|
noteDate
|
noteDate | string | |
|
noteAuthor
|
noteAuthor | string | |
|
Anmerkung
|
note | string |
AlertEntities
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Trend
|
trend | object | |
|
Urkunden
|
documents | array of object | |
|
Referenzen
|
documents.references | array of object | |
|
Fragment
|
documents.references.fragment | string | |
|
Entitäten
|
documents.references.entities | array of object | |
|
id
|
documents.references.entities.id | string | |
|
name
|
documents.references.entities.name | string | |
|
type
|
documents.references.entities.type | string | |
|
language
|
documents.references.language | string | |
|
id
|
documents.source.id | string | |
|
name
|
documents.source.name | string | |
|
type
|
documents.source.type | string | |
|
title
|
documents.title | string | |
|
URL
|
documents.url | string | |
|
Risiko
|
risk | object | |
|
id
|
entity.id | string | |
|
name
|
entity.name | string | |
|
type
|
entity.type | string |
AlertURL
AlertRule
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
name
|
name | string | |
|
id
|
id | string | |
|
URL
|
url | string |
AlertURLV2
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
API
|
api | string | |
|
Portal
|
portal | string |
AlertRuleV2
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
name
|
name | string | |
|
rule_id
|
id | string | |
|
Portal
|
url.portal | string |
AlertTriggered
AlertID
- alert_id
- string
AlertTitle
AlertType
PlaybookAlertSearch
Playbook-Benachrichtigungen, die den Suchkriterien entsprechen
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
playbook_alert_id
|
playbook_alert_id | string | |
|
erstellt
|
created | string | |
|
aktualisierte
|
updated | string | |
|
status
|
status | string | |
|
Kategorie
|
category | string | |
|
priority
|
priority | string | |
|
title
|
title | string | |
|
owner_id
|
owner_id | string | |
|
"owner_name"
|
owner_name | string | |
|
Organisations-ID
|
organisation_id | string | |
|
organistaion_name
|
organistaion_name | string | |
|
Organisationen
|
owner_organisation_details.organisations | array of object | |
|
Organisations-ID
|
owner_organisation_details.organisations.organisation_id | string | |
|
organisation_name
|
owner_organisation_details.organisations.organisation_name | string | |
|
enterprise_id
|
owner_organisation_details.enterprise_id | string | |
|
enterprise_name
|
owner_organisation_details.enterprise_name | string |
PlaybookAlertLookup
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
title
|
title | string | |
|
id
|
id | string | |
|
Kategorie
|
category | string | |
|
rule_label
|
rule_label | string | |
|
status
|
status | string | |
|
priority
|
priority | string | |
|
targets
|
targets | string | |
|
created_date
|
created_date | string | |
|
updated_date
|
updated_date | string | |
|
evidence_summary
|
evidence_summary | string | |
|
link
|
link | string | |
|
json_alert
|
json_alert | string |
ThreatMapActors
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
threat_map
|
data.threat_map | array of object | |
|
id
|
data.threat_map.id | string | |
|
name
|
data.threat_map.name | string | |
|
alias
|
data.threat_map.alias | array of string | |
|
categories
|
data.threat_map.categories | array of object | |
|
id
|
data.threat_map.categories.id | string | |
|
name
|
data.threat_map.categories.name | string | |
|
Absicht
|
data.threat_map.intent | integer | |
|
Gelegenheit
|
data.threat_map.opportunity | integer | |
|
log_entries
|
data.threat_map.log_entries | array of object | |
|
id
|
data.threat_map.log_entries.watchlist.id | string | |
|
name
|
data.threat_map.log_entries.watchlist.name | string | |
|
id
|
data.threat_map.log_entries.entity.id | string | |
|
name
|
data.threat_map.log_entries.entity.name | string | |
|
severity
|
data.threat_map.log_entries.severity | integer | |
|
Achse
|
data.threat_map.log_entries.axis | string | |
|
date
|
data.threat_map.log_entries.date | date-time | |
|
date
|
data.date | date-time |
ThreatHuntActors
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Vertrauen
|
confidence | integer | |
|
Beschreibung
|
description | string | |
|
id
|
id | string | |
|
indicator_types
|
indicator_types | array of string | |
|
labels
|
labels | array of string | |
|
name
|
name | string | |
|
pattern
|
pattern | string | |
|
pattern_type
|
pattern_type | string | |
|
spec_version
|
spec_version | string | |
|
type
|
type | string | |
|
erstellt
|
created | string | |
|
modified
|
modified | string | |
|
valid_from
|
valid_from | string | |
|
valid_until
|
valid_until | string | |
|
external_references
|
external_references | array of object | |
|
source_name
|
external_references.source_name | string | |
|
Beschreibung
|
external_references.description | string | |
|
external_id
|
external_references.external_id | string | |
|
URL
|
external_references.url | string |
ThreatMapMalware
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
threat_map
|
data.threat_map | array of object | |
|
id
|
data.threat_map.id | string | |
|
name
|
data.threat_map.name | string | |
|
alias
|
data.threat_map.alias | array of string | |
|
categories
|
data.threat_map.categories | array of object | |
|
id
|
data.threat_map.categories.id | string | |
|
name
|
data.threat_map.categories.name | string | |
|
Absicht
|
data.threat_map.intent | integer | |
|
Gelegenheit
|
data.threat_map.opportunity | integer | |
|
log_entries
|
data.threat_map.log_entries | array of object | |
|
id
|
data.threat_map.log_entries.watchlist.id | string | |
|
name
|
data.threat_map.log_entries.watchlist.name | string | |
|
id
|
data.threat_map.log_entries.entity.id | string | |
|
name
|
data.threat_map.log_entries.entity.name | string | |
|
severity
|
data.threat_map.log_entries.severity | integer | |
|
Achse
|
data.threat_map.log_entries.axis | string | |
|
date
|
data.threat_map.log_entries.date | date-time | |
|
date
|
data.date | date-time |
ThreatHuntMalware
| Name | Pfad | Typ | Beschreibung |
|---|---|---|---|
|
Vertrauen
|
confidence | integer | |
|
Beschreibung
|
description | string | |
|
id
|
id | string | |
|
indicator_types
|
indicator_types | array of string | |
|
labels
|
labels | array of string | |
|
name
|
name | string | |
|
pattern
|
pattern | string | |
|
pattern_type
|
pattern_type | string | |
|
spec_version
|
spec_version | string | |
|
type
|
type | string | |
|
erstellt
|
created | string | |
|
modified
|
modified | string | |
|
valid_from
|
valid_from | string | |
|
valid_until
|
valid_until | string | |
|
external_references
|
external_references | array of object | |
|
source_name
|
external_references.source_name | string | |
|
Beschreibung
|
external_references.description | string | |
|
external_id
|
external_references.external_id | string | |
|
URL
|
external_references.url | string |