CUALQUIER. RUN Threat Intelligence (versión preliminar)
El conector permite a los equipos de seguridad y TI simplificar sus operaciones mediante la incorporación de ANY. Las funcionalidades de inteligencia sobre amenazas de RUN en flujos de trabajo manuales y automatizados con aplicaciones como Defender para punto de conexión y Sentinel.
Este conector está disponible en los siguientes productos y regiones:
| Service | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Todas las regiones de Power Automate excepto las siguientes: - Gobierno de EE. UU. (GCC) - Gobierno de EE. UU. (GCC High) - China Cloud operado por 21Vianet - Departamento de Defensa de EE. UU. (DoD) |
| Aplicaciones lógicas | Estándar | Todas las regiones de Logic Apps excepto las siguientes: - Regiones de Azure Government - Regiones de Azure China - Departamento de Defensa de EE. UU. (DoD) |
| Power Apps | Premium | Todas las regiones de Power Apps excepto las siguientes: - Gobierno de EE. UU. (GCC) - Gobierno de EE. UU. (GCC High) - China Cloud operado por 21Vianet - Departamento de Defensa de EE. UU. (DoD) |
| Power Automate | Premium | Todas las regiones de Power Automate excepto las siguientes: - Gobierno de EE. UU. (GCC) - Gobierno de EE. UU. (GCC High) - China Cloud operado por 21Vianet - Departamento de Defensa de EE. UU. (DoD) |
| Contacto | |
|---|---|
| Nombre | CUALQUIER. CORRER |
| URL | https://app.any.run/contact-us |
| Correo Electrónico | support@any.run |
| Metadatos del conector | |
|---|---|
| Publicador | ANYRUN FZCO |
| CUALQUIER. Documentación de RUN API | https://docs.microsoft.com/connectors/anyrunthreatintellig |
| Sitio web | https://any.run |
| Directiva de privacidad | https://any.run/privacy.pdf |
| Categorías | Security;IT Operations |
CUALQUIER. RUN Threat Intelligence Connector
El conector permite a los equipos de seguridad y TI simplificar sus operaciones mediante la incorporación de ANY. Las funcionalidades de inteligencia sobre amenazas de RUN en flujos de trabajo manuales y automatizados con aplicaciones como Defender para punto de conexión y Sentinel.
Prerrequisitos
Para usar este conector, debe tener un ANY. Cuenta de EJECUCIÓN, una clave de API y una suscripción de búsqueda de TI.
Documentación de la API
https://any.run/api-documentation/
Instrucciones de implementación
Use estas instrucciones para implementar este conector como conector personalizado en Microsoft Power Automate y Power Apps.
Operaciones admitidas
El conector admite las siguientes operaciones:
-
Get threat intelligence data from ANY.RUN Threat Intelligence service: realiza acciones de investigación en ANY. RUN Threat Intelligence Service
Creación de una conexión
El conector admite los siguientes tipos de autenticación:
| Predeterminado | Parámetros para crear una conexión. | Todas las regiones | No se puede compartir |
Predeterminado
Aplicable: Todas las regiones
Parámetros para crear una conexión.
Esta conexión no se puede compartir. Si la aplicación de energía se comparte con otro usuario, se pedirá a otro usuario que cree explícitamente una nueva conexión.
| Nombre | Tipo | Description | Obligatorio |
|---|---|---|---|
| API-Key | securestring | Clave de API para esta API (formato: clave API-Key<>) | Cierto |
Limitaciones
| Nombre | Llamadas | Período de renovación |
|---|---|---|
| Llamadas API por conexión | 100 | 60 segundos |
Acciones
| Obtenga datos de inteligencia sobre amenazas de ANY. RUN Threat Intelligence Service |
Realiza acciones de investigación en ANY. EJECUTE el servicio de inteligencia sobre amenazas. |
Obtenga datos de inteligencia sobre amenazas de ANY. RUN Threat Intelligence Service
Realiza acciones de investigación en ANY. EJECUTE el servicio de inteligencia sobre amenazas.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
query
|
query | True | string |
Especifique la consulta de búsqueda. Se pueden combinar varias consultas junto con el operador AND para obtener resultados más específicos. |
|
startDate
|
startDate | string |
Especifique la fecha de inicio del período de búsqueda deseado. Debe estar en formato AAAA-MM-DD. |
|
|
fecha de finalización
|
endDate | string |
Especifique la fecha de finalización del período de búsqueda deseado. Debe estar en formato AAAA-MM-DD. |
Devoluciones
- Body
- ResponseApiDto
Definiciones
ResponseApiDto
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
destinationPort
|
destinationPort | array of integer |
Números de puertos de destino. |
|
destinationIPgeo
|
destinationIPgeo | array of string |
Ip geográfica de destino (países). |
|
destinationIpAsn
|
destinationIpAsn | array of object |
ASN de IP de destino (número de sistema autónomo). |
|
ASN
|
destinationIpAsn.asn | string |
ASN de IP de destino. |
|
date
|
destinationIpAsn.date | date-time |
Fecha de ASN de IP de destino. |
|
relatedTasks
|
relatedTasks | array of string |
Vínculos a tareas relacionadas en ANY. EJECUTAR espacio aislado. |
|
threatName
|
threatName | array of string |
Nombres de amenazas. |
|
threatLevel
|
summary.threatLevel | integer | |
|
lastSeen
|
summary.lastSeen | date-time | |
|
detectedType
|
summary.detectedType | string | |
|
isTrial
|
summary.isTrial | boolean | |
|
relatedIncidents
|
relatedIncidents | array of RelatedIncidentApiDto |
Incidentes relacionados. |
|
destinationIP
|
destinationIP | array of DestinationIpApiDto |
Direcciones IP de destino. |
|
relatedFiles
|
relatedFiles | array of RelatedFileApiDto |
Datos de archivos relacionados. |
|
relatedDNS
|
relatedDNS | array of RelatedDnsApiDto |
DNS relacionado. |
|
relatedURLs
|
relatedURLs | array of RelatedUrlApiDto |
Direcciones URL relacionadas. |
|
sourceTasks
|
sourceTasks | array of SourceTaskApiDto |
Información de las tareas de origen. |
|
relatedSynchronizationObjects
|
relatedSynchronizationObjects | array of RelatedSynchronizationObjectsApiDto |
Datos de objetos de sincronización relacionados. |
|
relatedNetworkThreats
|
relatedNetworkThreats | array of RelatedNetworkThreatApiDto |
Datos relacionados de amenazas de red. |
RelatedIncidentApiDto
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
task
|
task | string |
Vincular a la tarea en ANY. EJECUTAR espacio aislado. |
|
time
|
time | date-time |
Hora de creación. |
|
MITRA
|
MITRE | array of string |
Matriz de técnicas de matriz DE MITRE identificadores de subdirección de identificadores. |
|
threatName
|
threatName | array of string |
Nombres de amenazas. |
|
evento
|
event | EventApiDto | |
|
proceso
|
process | ProcessApiDto |
EventApiDto
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
ruleName
|
ruleName | string |
Nombre de la regla. |
|
línea de comandos
|
commandLine | string |
Cadena de línea de comandos. |
|
imagePath
|
imagePath | string |
Cadena de ruta de acceso de la imagen. |
|
Pid
|
pid | integer |
Id. de proceso. |
|
title
|
title | array of string |
Título del tipo de evento. |
|
destinationPort
|
destinationPort | array of string |
Números de puertos de destino. |
|
destinationIP
|
destinationIP | string |
Dirección IP de destino. |
|
destinationIPgeo
|
destinationIPgeo | array of string |
Ip geográfica de destino (países). |
|
destinationIpAsn
|
destinationIpAsn | array of string |
ASN de IP de destino (número de sistema autónomo). |
|
URL
|
url | string |
URL. |
|
fileName
|
fileName | string |
Nombre de archivo. |
|
registryKey
|
registryKey | string |
Clave del Registro. |
|
registryName
|
registryName | array of string |
Nombre del Registro. |
|
registryValue
|
registryValue | array of string |
Valor del Registro. |
|
moduleImagePath
|
moduleImagePath | string |
Ruta de acceso de la imagen del módulo. |
|
injectedFlag
|
injectedFlag | boolean |
Marca insertada. |
|
Nombre de dominio
|
domainName | array of string |
Nombre de dominio. |
|
httpRequestContentType
|
httpRequestContentType | string |
Tipo de contenido de solicitud. |
|
httpRequestContentFile
|
httpRequestContentFile | string |
Solicitar archivo de contenido. |
|
httpResponseContentType
|
httpResponseContentType | string |
Tipo de contenido de respuesta. |
|
httpResponseContentFile
|
httpResponseContentFile | string |
Archivo de contenido de respuesta. |
|
ruleThreatLevel
|
ruleThreatLevel | string |
Nivel de amenaza de regla. |
|
sha256
|
sha256 | string |
Hash SHA256. |
ProcessApiDto
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
línea de comandos
|
commandLine | string |
Cadena de línea de comandos. |
|
imagePath
|
imagePath | string |
Cadena de ruta de acceso de la imagen. |
|
threatName
|
threatName | string |
Nombres de amenazas. |
|
MITRA
|
MITRE | array of string |
Matriz de técnicas de matriz DE MITRE identificadores de subdirección de identificadores. |
|
Pid
|
pid | integer |
Id. de proceso. |
|
Puntuaciones
|
scores | ProcessScoresDto |
Puntuaciones de proceso. |
|
eventsCounters
|
eventsCounters | EventsCountersDto |
Contadores de eventos. |
|
threatLevel
|
threatLevel | integer |
Nivel de amenaza. |
ProcessScoresDto
Puntuaciones de proceso.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Especificaciones
|
specs | ProcessScoresSpecsDto |
Especificaciones de puntuaciones de proceso. |
ProcessScoresSpecsDto
Especificaciones de puntuaciones de proceso.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
known_threat
|
known_threat | boolean |
Indica si es una amenaza conocida. |
|
network_loader
|
network_loader | boolean |
Indica si se detectó la descarga de red. |
|
network
|
network | boolean |
Indica si se ha habilitado la actividad de red. |
|
uac_request
|
uac_request | boolean |
Indica si se detectó una solicitud de Control de acceso de usuario (UAC). |
|
Inyecta
|
injects | boolean |
Indica si la amenaza usa inyecciones. |
|
service_luncher
|
service_luncher | boolean |
Indica si se detectó un nuevo registro de servicio. |
|
executable_dropped
|
executable_dropped | boolean |
Indica si la amenaza usa ejecutables descartados. |
|
multiprocesamiento
|
multiprocessing | boolean |
Indica si la amenaza usa multiprocesamiento. |
|
crashed_apps
|
crashed_apps | boolean |
Indica si la aplicación se bloqueó. |
|
debug_output
|
debug_output | boolean |
Indica si la aplicación tiene un mensaje de salida de depuración. |
|
hurto
|
stealing | boolean |
Indica si el proceso roba información de la máquina infectada. |
|
explotable
|
exploitable | boolean |
Indica si se detectó alguna vulnerabilidad de seguridad conocida. |
|
static_detections
|
static_detections | boolean |
Indica si el motor de análisis estático detectó algún patrón malintencionado. |
|
susp_struct
|
susp_struct | boolean |
Es sup struct. |
|
inicio automático
|
autostart | boolean |
Indica si se agregó la aplicación al inicio automático. |
|
low_access
|
low_access | boolean |
Indica si la amenaza usa acceso de bajo nivel. |
|
Tor
|
tor | boolean |
Indica si se usó TOR. |
|
correo no deseado
|
spam | boolean |
Indica si se detectó correo no deseado. |
|
malware_config
|
malware_config | boolean |
Indica si se extrajo la configuración de malware del archivo enviado. |
|
process_dump
|
process_dump | boolean |
Indica si se puede extraer el volcado de memoria del proceso. |
EventsCountersDto
Contadores de eventos.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
crudo
|
raw | EventsCountersRawDto |
Los contadores de eventos sin procesar. |
EventsCountersRawDto
Los contadores de eventos sin procesar.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
registry
|
registry | integer |
Número o eventos del Registro. |
|
files
|
files | integer |
Número o archivos. |
|
modules
|
modules | integer |
Número o módulos. |
|
Objetos
|
objects | integer |
Número o objetos. |
|
RPC
|
rpc | integer |
Número o RPC. |
DestinationIpApiDto
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
destinationIP
|
destinationIP | string |
Dirección IP de destino. |
|
date
|
date | date-time |
Fecha de creación. |
|
threatLevel
|
threatLevel | integer |
Nivel de amenaza. |
|
threatName
|
threatName | array of string |
Nombres de amenazas. |
|
isMalconf
|
isMalconf | boolean |
Indica si el IOC se extrajo de la configuración de malware. |
RelatedFileApiDto
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
task
|
task | string |
Vincular a la tarea en ANY. EJECUTAR espacio aislado. |
|
title
|
title | string |
Título del tipo de evento. |
|
fileLink
|
fileLink | string |
Vínculo a los archivos de respuesta HTTP. |
|
time
|
time | date-time |
Fecha de creación. |
|
fileName
|
fileName | string |
Nombre de archivo. |
|
fileExt
|
fileExt | string |
Extensión de archivo. |
|
proceso
|
process | ProcessApiDto | |
|
Hashes
|
hashes | HashesApiDto |
RelatedDnsApiDto
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Nombre de dominio
|
domainName | string |
Nombre de dominio. |
|
threatName
|
threatName | array of string |
Nombre de la amenaza. |
|
threatLevel
|
threatLevel | integer |
Nivel de amenaza. |
|
date
|
date | date-time |
Fecha de creación. |
|
isMalconf
|
isMalconf | boolean |
Indica si el IOC se extrajo de la configuración de malware. |
RelatedUrlApiDto
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
URL
|
url | string |
URL. |
|
date
|
date | date-time |
Fecha de creación. |
|
threatLevel
|
threatLevel | integer |
Nivel de amenaza. |
|
threatName
|
threatName | array of string |
Nombres de amenazas. |
|
isMalconf
|
isMalconf | boolean |
Indica si el IOC se extrajo de la configuración de malware. |
SourceTaskApiDto
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Identificador Único Universal (UUID)
|
uuid | string |
UUID de tarea. |
|
relacionado
|
related | string |
Vincular a la tarea en ANY. EJECUTAR espacio aislado. |
|
date
|
date | date-time |
Hora de creación de la tarea. |
|
threatLevel
|
threatLevel | integer |
Nivel de amenaza. |
|
tags
|
tags | array of string |
Etiquetas. |
|
mainObject
|
mainObject | MainObjectApiDto |
Información del objeto principal. |
MainObjectApiDto
Información del objeto principal.
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
type
|
type | string |
Tipo. |
|
nombre
|
name | string |
Nombre. |
|
Hashes
|
hashes | HashesApiDto |
RelatedSynchronizationObjectsApiDto
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
syncObjectTime
|
syncObjectTime | date-time |
Hora. |
|
syncObjectType
|
syncObjectType | string |
Tipo. |
|
syncObjectOperation
|
syncObjectOperation | string |
Operación. |
|
syncObjectName
|
syncObjectName | string |
Nombre. |
|
task
|
task | string |
Vínculo de tarea. |
|
proceso
|
process | ProcessApiDto |
RelatedNetworkThreatApiDto
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
suricataClass
|
suricataClass | string |
Clase Suricata. |
|
imagePath
|
imagePath | string |
Ruta de acceso de la imagen. |
|
suricataID
|
suricataID | string |
SID. |
|
suricataMessage
|
suricataMessage | string |
Mensaje suricata. |
|
tags
|
tags | array of string |
Etiquetas. |
|
MITRA
|
MITRE | array of string |
Matriz de técnicas de matriz DE MITRE identificadores de subdirección de identificadores. |
|
suricataThreatLevel
|
suricataThreatLevel | string |
Nivel de amenaza de Suricata. |
|
task
|
task | string |
Vínculo de tarea. |
HashesApiDto
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
md5
|
md5 | string |
Cadena hash MD5. |
|
sha1
|
sha1 | string |
Cadena hash SHA1. |
|
sha256
|
sha256 | string |
Cadena hash SHA256. |
|
ssdeep
|
ssdeep | string |
Cadena hash ssdeep. |