Microsoft Graph Security (en desuso) [EN DESUSO]

TiIndicators actualizados

Código de resultado

Mensaje

Sub-código de resultado

Código de resultado

Mensaje

Sub-código de resultado

Los TiIndicators enviados

Número de alertas devueltas

Las alertas devueltas

Vínculo para obtener los siguientes resultados en caso de que haya más resultados de los solicitados.

Número de subcripciones devueltas

Las entidades de suscripción devueltas

Vínculo para obtener los siguientes resultados en caso de que haya más resultados de los solicitados.

Número de TiIndicator devuelto

TiIndicator devuelto

Vínculo para obtener los siguientes resultados en caso de que haya más resultados de los solicitados.

Número de alertas devueltas

Las alertas devueltas

Vínculo para obtener los siguientes resultados en caso de que haya más resultados de los solicitados.

Número de alertas devueltas

Las alertas devueltas

Vínculo para obtener los siguientes resultados en caso de que haya más resultados de los solicitados.

Identificador de suscripción de Azure, presente si esta alerta está relacionada con un recurso de Azure.

Etiquetas definibles por el usuario que se pueden aplicar a una alerta y que pueden servir como condiciones de filtro (por ejemplo, "HVA", "SAW", etc.).

GUID o identificador único generado por el proveedor.

Id. de inquilino de Microsoft Entra.

Nombre o alias del grupo de actividad (atacante) al que se atribuye esta alerta.

Nombre del analista al que se asigna la alerta para evaluar, investigar o corregir.

Categoría de la alerta (por ejemplo, credentialTheft, ransomware, etc.).

Hora a la que se cerró la alerta (UTC).

Comentarios proporcionados por el cliente sobre alertas (para la administración de alertas del cliente).

Confianza de la lógica de detección (porcentaje entre 1 y 100).

Hora a la que se creó la alerta (UTC).

Descripción de la alerta.

Conjunto de alertas relacionadas con esta entidad de alerta.

Hora en la que se produjeron los eventos que sirven como desencadenadores para generar la alerta (UTC).

Comentarios del analista sobre la alerta. Los valores posibles son: unknown, truePositive, falsePositive, benignPositive.

Hora a la que se modificó por última vez la entidad de alerta (UTC).

Acciones recomendadas por proveedor o proveedor para realizar como resultado de la alerta (por ejemplo, aislar la máquina, enforce2FA, host de imagen de imagen, etc.).

Gravedad de la alerta: establecida por proveedor o proveedor. Valores: (alto, medio, bajo, informativo), donde "informativo" deduce que la alerta no es accionable.

Hipervínculos (URI) al material de origen relacionado con la alerta, por ejemplo, la interfaz de usuario de investigación del proveedor, etc.

Estado del ciclo de vida de la alerta (fase). Valores: (unknown, newAlert, inProgress, resolved).

Título de la alerta.

Proveedor específico (producto/servicio- no empresa proveedor); por ejemplo, WindowsDefenderATP.

Versión del proveedor o del subprovidor.

Subprovider específico (en proveedor de agregación); por ejemplo, WindowsDefenderATP.SmartScreen.

Nombre del proveedor de alertas (por ejemplo, Microsoft, Dell, FireEye).

Información con estado relacionada con la seguridad generada por el proveedor sobre las aplicaciones en la nube relacionadas con esta alerta.

Dirección IP de destino de la conexión a la aplicación o servicio en la nube.

Nombre de servicio o aplicación en la nube de destino.

Puntuación de riesgo generada por el proveedor o calculada de la aplicación o el servicio en la nube.

Información con estado relacionada con la seguridad generada por el proveedor sobre los archivos relacionados con esta alerta.

Nombre de archivo (sin ruta de acceso).

Ruta de acceso completa del archivo o imageFile.

Puntuación de riesgo generada o calculada del proveedor del archivo de alerta.

Tipo hash de archivo. Los valores posibles son: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256.

Valor del hash de archivo.

Información con estado relacionada con la seguridad generada por el proveedor sobre los hosts relacionados con esta alerta.

FQDN de host (nombre de dominio completo).

True si el host está unido al dominio unido a Microsoft Entra ID Domain Services.

True si el host registrado con el registro de dispositivos de Id. de Entra de Microsoft (por ejemplo, BYOD), no está totalmente administrado por la empresa.

True si el host está unido a un dominio de Microsoft Entra ID local.

Nombre de host local sin nombre de dominio DNS.

Sistema operativo host.

Dirección IPv4 o IPv6 privada (no enrutable) en el momento de la alerta.

Dirección IPv4 o IPv6 enrutable públicamente en el momento de la alerta.

Puntuación de riesgo generada por el proveedor o calculada del host.

Información con estado relacionada con la seguridad generada por el proveedor sobre el malware relacionado con esta alerta.

Categoría de malware generada por el proveedor (por ejemplo, troyano, ransomware, etc.).

Familia de malware generada por el proveedor (por ejemplo, "wannacry", "notpetya", etc.).

Nombre de variante de malware generado por el proveedor (por ejemplo, Trojan:Win32/Powessere.H).

Gravedad determinada por el proveedor de este malware.

Indica si el archivo detectado (malware o vulnerabilidad) se estaba ejecutando en el momento de la detección o si se detectó en reposo en el disco.

Información con estado relacionada con la seguridad generada por el proveedor sobre los archivos relacionados con esta alerta.

Nombre de la aplicación que administra la conexión de red (por ejemplo, Facebook, SMTP, etc.).

Dirección IP de destino de la conexión de red.

Parte del dominio de destino de la dirección URL de destino. (por ejemplo, "www.contoso.com").

Puerto de destino de la conexión de red.

Cadena de dirección URL/URI de conexión de red: excepto los parámetros.

Dirección de conexión de red. Los valores posibles son: desconocidos, entrantes y salientes.

Fecha en que se registró el dominio de destino (UTC).

La resolución de nombres DNS local tal como aparece en la memoria caché DNS local del host (por ejemplo, en caso de que el archivo "hosts" se alteró).

Dirección IP de destino de traducción de direcciones de red.

Puerto de destino de traducción de direcciones de red.

Dirección IP de origen de traducción de direcciones de red.

Puerto de origen de traducción de direcciones de red.

Protocolo de red. Los valores posibles son: unknown, ip, icmp, igmp, ggp, ipv4, tcp, pup, udp, idp, ipv6, ipv6RoutingHeader, ipv6FragmentHeader, ipSecEncapsulatingSecurityPayload, ipSecAuthenticationHeader, icmpV6, ipv6NoNextHeader, ipv6DestinationOptions, nd, raw, ipx, spx, spxII.

Puntuación de riesgo generada por el proveedor o calculada de la conexión de red.

Dirección IP de origen (es decir, origen) de la conexión de red.

Puerto IP de origen (es decir, origen) de la conexión de red.

Estado de conexión de red. Los valores posibles son: desconocido, intentado, correcto, bloqueado, erróneo.

Parámetros (sufijo) de la dirección URL de destino como una cadena.

Información con estado relacionada con la seguridad generada por el proveedor sobre el proceso o los procesos relacionados con esta alerta.

Identificador de cuenta de usuario (contexto de cuenta de usuario en el que se ejecutó el proceso), por ejemplo, AccountName, SID, etc.

Línea de comandos de invocación de proceso completa, incluidos todos los parámetros.

DateTime en el que se inició el proceso primario (UTC).

Nivel de integridad del proceso. Los valores posibles son: desconocido, que no es de confianza, bajo, medio, alto, sistema.

True si el proceso está elevado.

Nombre del archivo image del proceso.

Hora a la que se inició el proceso (UTC).

Identificador de proceso (PID) del proceso primario.

Nombre del archivo de imagen del proceso primario.

Ruta de acceso completa, incluido el nombre de archivo.

Identificador de proceso (PID) del proceso.

Tipo hash de archivo. Los valores posibles son: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256.

Valor del hash de archivo.

Información con estado relacionada con la seguridad generada por el proveedor sobre las claves del Registro relacionadas con esta alerta.

Id. de proceso (PID) del proceso que modificó la clave del Registro (los detalles del proceso aparecerán en la colección de "procesos" de alerta).

Operación que cambió el nombre de la clave del Registro o el valor (agregar, modificar, eliminar).

Tipo de valor de clave del Registro. Los valores posibles son: unknown, binary, dword, dwordLittleEndian, dwordBigEndian, expandSz, link, multiSz, none, qword, qwordlittleEndian, sz.

Subárbol del Registro de Windows. Los valores posibles son: unknown, currentConfig, currentUser, localMachineSam, localMachineSamSoftware, localMachineSystem, usersDefault.

Clave del Registro actual (es decir, modificada) (excluye HIVE).

Nombre del valor de clave del Registro actual (es decir, cambiado).

Datos actuales (es decir, modificados) del valor de clave del Registro (contenido).

Clave del Registro anterior (es decir, antes de cambiar) (excluye HIVE).

Nombre del valor de clave del Registro anterior (es decir, antes de cambiar).

Datos anteriores (es decir, antes de cambiar) datos de valor de clave del Registro (contenido).

Información relacionada con la seguridad sobre las propiedades específicas que desencadenaron la alerta (propiedades que aparecen en la alerta). Las alertas pueden contener información sobre varios usuarios, hosts, archivos, direcciones IP. Este campo indica qué propiedades desencadenaron la generación de alertas.

Nombre de la propiedad que actúa como desencadenador de detección.

Tipo del atributo en el par clave:valor para la interpretación, por ejemplo, String, Boolean, etc.

Valor del atributo que actúa como desencadenador de detección.

Información con estado relacionada con la seguridad generada por el proveedor sobre el usuario que ha iniciado sesión o los usuarios relacionados con esta alerta.

Identificador de objeto de usuario (GUID) de Microsoft Entra: representa la entidad de usuario física o de varias cuentas.

Nombre de cuenta de la cuenta de usuario (sin dominio de id. de Entra de Microsoft o dominio DNS): (también llamado "mailNickName").

NetBIOS/Microsoft Entra ID Dominio de la cuenta de usuario (es decir, dominio\formato de cuenta).

Para alertas relacionadas con el correo electrónico: rol de correo electrónico de la cuenta de usuario.

Indica si el usuario inició sesión a través de una VPN.

Hora a la que se produjo el inicio de sesión (UTC).

Identificador de inicio de sesión de usuario.

Dirección IP de la solicitud de inicio de sesión orginada desde.

Ubicación (por asignación de direcciones IP) asociada a un evento de inicio de sesión de usuario por este usuario.

Método de inicio de sesión de usuario. Los valores posibles son: unknown, interactive, remoteInteractive, network, batch, service.

Identificador de seguridad (SID) de Microsoft Entra ID (local) del usuario.

Puntuación de riesgo generada por el proveedor o calculada de la cuenta de usuario.

Tipo de cuenta de usuario (pertenencia a grupos) por definición de Windows. Los valores posibles son: desconocido, estándar, potencia, administrador.

Nombre de inicio de sesión de usuario: formato de Internet: <nombre de cuenta de usuario@<nombre>> de dominio DNS de la cuenta de usuario.

Inteligencia sobre amenazas relativa a una o varias vulnerabilidades relacionadas con esta alerta.

Vulnerabilidades y exposiciones comunes (CVE) para la vulnerabilidad.

Indica si la vulnerabilidad detectada (archivo) se estaba ejecutando en el momento de la detección o si el archivo se detectó en reposo en el disco.

Puntuación de gravedad del Sistema de puntuación de vulnerabilidades común (CVSS) base para esta vulnerabilidad.

Identificador único de la suscripción.

Especifica el recurso que se supervisará para ver los cambios.

Identificador de la aplicación usada para crear la suscripción.

Indica el tipo de cambio en el recurso suscrito que generará una notificación.

Especifica el valor de la propiedad clientState enviada por el servicio en cada notificación. La longitud máxima es de 128 caracteres. El cliente puede comprobar que la notificación procede del servicio comparando el valor de la propiedad clientState enviada con la suscripción con el valor de la propiedad clientState recibida con cada notificación.

Dirección URL del punto de conexión que recibirá las notificaciones. Esta dirección URL debe usar el protocolo HTTPS.

Especifica la fecha y hora en que expira la suscripción de webhook (UTC).

Identificador del usuario o la entidad de servicio que creó la suscripción. Si la aplicación usó permisos delegados para crear la suscripción, este campo contiene el identificador del usuario que ha iniciado sesión en la aplicación a la que llamó en nombre de . Si la aplicación usó permisos de aplicación, este campo contiene el identificador de la entidad de servicio correspondiente a la aplicación.

Acción que se va a aplicar si el indicador coincide desde dentro de la herramienta de seguridad targetProduct. Valores: (desconocido, permitir, bloquear, alerta).

Los nombres de inteligencia sobre amenazas cibernéticas para las partes responsables de la actividad malintencionada cubierta por el indicador de amenazas.

Se pueden colocar datos adicionales del indicador no cubiertos por las otras propiedades tiIndicator.

Identificador de inquilino de Microsoft Entra id. de envío de cliente.

Confianza de la lógica de detección (porcentaje entre 0 y 100).

Descripción de TiIndicator (100 caracteres o menos).

El área del modelo de diamantes en el que existe este indicador. Valores: (desconocido, adversario, funcionalidad, infraestructura, víctima).

Hora a la que expira el indicador (UTC).

Número de identificación que vincula el indicador al sistema del proveedor de indicadores (por ejemplo, una clave externa).

Creado por el sistema cuando se ingiere el indicador. Identificador ÚNICO o GUID generado.

Hora en la que se ingiere el indicador (UTC).

De forma predeterminada, cualquier indicador enviado se establece como activo. Sin embargo, los proveedores pueden enviar indicadores existentes con este conjunto en "False" para desactivar los indicadores en el sistema.

cadenas que describen qué punto o puntos de la cadena de eliminación apunta este indicador. Valores: (Acciones, C2, Entrega, Explotación, Instalación, Reconocimiento, Armación).

Escenarios en los que el indicador puede provocar falsos positivos.

La última vez que se vio el indicador (UTC).

Nombre de familia de malware asociado a un indicador si existe.

Determina si el indicador debe desencadenar un evento visible para un usuario final.

Gravedad del comportamiento malintencionado identificado por los datos dentro del indicador. Los valores son de 0 a 5 con 5 siendo más graves. El valor predeterminado es 3.

Producto de seguridad único al que se debe aplicar el indicador. Los valores aceptables son: Azure Sentinel, ATP de Microsoft Defender.

Cada indicador debe tener un tipo de amenaza de indicador válido. Los valores posibles son: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList.

Valor del protocolo de semáforo para el indicador. Los valores posibles son: desconocido, blanco, verde, ámbar, rojo.

Tipo de codificación de texto usada en el correo electrónico.

Idioma del correo electrónico.

Dirección de correo electrónico del destinatario.

Dirección de correo electrónico del atacante|víctima.

Nombre mostrado del atacante|víctima.

Dominio usado en el correo electrónico.

Dirección IP de origen del correo electrónico.

Línea de asunto del correo electrónico.

Valor X-Mailer usado en el correo electrónico.

DateTime cuando se compiló el archivo.

DateTime cuando se creó el archivo.

Tipo de hash almacenado en fileHashValue. Los valores posibles son: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph.

Valor hash de archivo.

Nombre de exclusión mutua usado en detecciones basadas en archivos.

Nombre del archivo si el indicador está basado en archivos.

Packer que se usa para compilar el archivo en cuestión.

Ruta de acceso del archivo que indica el riesgo. Puede ser una ruta de acceso de estilo de Windows o *nix.

Tamaño del archivo en bytes.

Descripción del texto del tipo de archivo. Por ejemplo, "Documento de Word" o "Binario".

Nombre de dominio asociado a este indicador.

Representación de notación de bloque CIDR de la red a la que se hace referencia en este indicador.

Identificador del sistema autónomo de destino de la red a la que se hace referencia en el indicador.

Representación de notación de bloque CIDR de la red de destino en este indicador.

Destino de la dirección IP IPv4.

Destino de la dirección IP IPv6.

Destino del puerto TCP.

Dirección IP IPv4.

Dirección IP IPv6.

Puerto TCP.

Representación decimal del campo de protocolo en el encabezado IPv4.

Identificador del sistema autónomo de origen de la red a la que se hace referencia en el indicador.

Representación de notación de bloque CIDR de la red de origen en este indicador.

Origen de la dirección IP IPv4.

Origen de la dirección IP IPv6.

Origen del puerto TCP.

Localizador uniforme de recursos.

User-Agent cadena de una solicitud web que podría indicar un riesgo.