Futuro grabado V2
El conector futuro grabado permite el acceso a la inteligencia de futuro grabada. El conector tiene acciones dedicadas para extraer indicadores futuros registrados (IP, dominio, dirección URL, hash) y contexto asociado (puntuación de riesgo, reglas de riesgo, vínculos de tarjetas de inteligencia y vínculos basados en evidencias de alta confianza), vulnerabilidades, alertas futuras grabadas y permite el acceso a la API SOAR y los archivos de fusión registrados.
Este conector está disponible en los siguientes productos y regiones:
| Service | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Todas las regiones de Power Automate |
| Aplicaciones lógicas | Estándar | Todas las regiones de Logic Apps |
| Power Apps | Premium | Todas las regiones de Power Apps |
| Power Automate | Premium | Todas las regiones de Power Automate |
| Contacto | |
|---|---|
| Nombre | Compatibilidad futura grabada |
| URL | https://support.recordedfuture.com |
| Correo Electrónico | support@recordedfuture.com |
| Metadatos del conector | |
|---|---|
| Publicador | Futuro grabado |
| Sitio web | https://www.recordedfuture.com |
| Directiva de privacidad | https://www.recordedfuture.com/privacy-policy/ |
| Categorías | IA; Datos |
Futuro grabado V2
La integración de Recorded Future permite integrar la inteligencia de seguridad en tiempo real en servicios populares de Microsoft, como Sentinel, ATP de Defender y otros. Esto permite a nuestros clientes maximizar sus inversiones en seguridad existentes, asegurándose de que tienen inteligencia en tiempo real para proteger sus entornos en la nube y reducir el riesgo para la organización. El conector Recorded Future para Microsoft Azure permite el acceso a acciones dedicadas para extraer indicadores futuros registrados (IP, dominio, url, hash, vulnerabilidades), contexto asociado (puntuación de riesgo, reglas de riesgo, vínculos de alta confianza y un vínculo de tarjeta de inteligencia), alertas futuras grabadas, alertas de cuadernos de estrategias, mapa de amenazas, indicadores de amenazas y reglas de detección.
Publicador: Futuro grabado
¿Qué hay nuevo?
- Mapa de amenazas del actor de amenazas del futuro grabado
- Mapa de amenazas de malware del futuro registrado
- Indicadores de amenazas de futuros registrados para actores
- Indicadores de amenazas del futuro registrados para malware
Prerrequisitos
Para habilitar la integración de Recorded Future for Microsoft Azure, los usuarios deben aprovisionar un token de API recorded Future. Póngase en contacto con el administrador de cuentas para obtener el token de API necesario.
Obtención de credenciales
El futuro grabado requiere claves de API para comunicarse con nuestra API. Para obtener claves de API: inicie una evaluación gratuita de 30 días de Recorded Future for Microsoft Sentinel o visite Tokens de API de solicitud de futuros registrados (Requerir inicio de sesión futuro registrado) y solicite token de API para Recorded Future for Microsoft Sentinel o/and .Recorded Future Sandbox for Microsoft Sentinel
Operaciones admitidas
Este conector se usa para extraer indicadores futuros registrados, alertas, alertas, alertas de cuaderno de estrategias, mapa de amenazas, indicadores de amenazas y reglas de detección:
- Lista de riesgos futuros grabados y descarga de SCF: descarga de listas de riesgos futuras registradas y fuentes de control de seguridad
- Enriquecimiento con IP: enriquezca una dirección IP con datos futuros registrados.
- Enriquecimiento de dominios: enriquezca un dominio con datos futuros registrados.
- Enriquecimiento de direcciones URL: enriquezca una dirección URL con datos futuros registrados.
- Enriquecimiento hash: enriquezca un hash con datos futuros registrados.
- Enriquecimiento de vulnerabilidades: enriquecimiento de una vulnerabilidad con datos futuros registrados.
- SOAR API : enriquecimiento con múltiples entitiy: enriquecer varias entidades a la vez (se requiere acceso específico)
- Buscar alertas desencadenadas: enumerar las notificaciones de alertas mediante un conjunto de parámetros de búsqueda.
- Obtener alertas desencadenadas por identificador: obtener los detalles de la alerta de una alerta desencadenada
- Reglas de alerta de búsqueda: enumeración de reglas de alerta por nombre
- Notificación de alerta de búsqueda (en desuso): en desuso
- Obtener notificación de alerta por identificador (en desuso): en desuso
- Buscar alertas de cuaderno de estrategias: enumerar alertas de cuaderno de estrategias basadas en un conjunto de parámetros de búsqueda
- Obtener alerta de cuaderno de estrategias por identificador: obtención de los detalles de la alerta de un cuaderno de estrategias
- Capturar actores de mapa de amenazas: capture los datos del mapa de amenazas de la organización principal de la empresa con filtros.
- Captura de malware de mapa de amenazas: captura los datos del mapa de amenazas de la organización principal de la empresa con filtros.
- Capturar indicadores de amenazas para actores en formato STIX: capturar indicadores de amenazas para actores en formato STIX.
- Capturar indicadores de amenazas para malware en formato STIX: capturar indicadores de amenazas para malware en formato STIX.
- Reglas de detección de búsqueda (versión preliminar): obtención de reglas de detección que coinciden con un filtro de búsqueda
Ejemplos de soluciones para Microsoft Sentinel
Guía de instalación de soluciones con este conector: Soluciones futuras grabadas para Microsoft Sentinel
Problemas y limitaciones conocidos
N/A
Creación de una conexión
El conector admite los siguientes tipos de autenticación:
| Predeterminado | Parámetros para crear una conexión. | Todas las regiones | No se puede compartir |
Predeterminado
Aplicable: Todas las regiones
Parámetros para crear una conexión.
Esta conexión no se puede compartir. Si la aplicación de energía se comparte con otro usuario, se pedirá a otro usuario que cree explícitamente una nueva conexión.
| Nombre | Tipo | Description | Obligatorio |
|---|---|---|---|
| Clave de API | securestring | La clave de API de esta API | Cierto |
Limitaciones
| Nombre | Llamadas | Período de renovación |
|---|---|---|
| Llamadas API por conexión | 100 | 60 segundos |
Acciones
| Buscar alertas del cuaderno de estrategias |
Enumerar alertas del cuaderno de estrategias basadas en un conjunto de parámetros de búsqueda |
| Buscar alertas desencadenadas |
Enumerar las notificaciones de alertas por un conjunto de parámetros de búsqueda |
| Capturar actores de mapa de amenazas |
Capture los datos del mapa de amenazas de la organización principal de la empresa con filtros. |
| Capturar indicadores de amenazas para actores en formato STIX |
Capturar indicadores de amenazas para actores en formato STIX. |
| Capturar indicadores de amenazas para malware en formato STIX |
Capturar indicadores de amenazas para malware en formato STIX. |
| Capturar malware de mapa de amenazas |
Capture los datos del mapa de amenazas de la organización principal de la empresa con filtros. |
| Enriquecimiento con hash |
Enriquecimiento de un hash con datos futuros registrados |
| Enriquecimiento con IP |
Enriquecimiento de una dirección IP con datos futuros registrados |
| Enriquecimiento con vulnerabilidades |
Enriquecimiento de una vulnerabilidad con datos futuros registrados |
| Enriquecimiento de direcciones URL |
Enriquecer una dirección URL con datos futuros registrados |
| Enriquecimiento de dominios |
Enriquecimiento de un dominio con datos futuros registrados |
| Lista de riesgos futuros grabados y descarga de SCF |
Descargar listas de riesgos futuros registrados y fuentes de control de seguridad |
| Notificaciones de alertas de búsqueda (en desuso) |
En su lugar, use /v2/alerts en desuso. Enumerar las notificaciones de alertas por un conjunto de parámetros de búsqueda |
| Obtener alerta de cuaderno de estrategias por identificador |
Obtención de los detalles de la alerta de un cuaderno de estrategias |
| Obtener alertas desencadenadas por identificador |
Obtener los detalles de la alerta de una alerta desencadenada |
| Obtener notificación de alerta por identificador (en desuso) |
En desuso, use /v2/alerts/{id} en su lugar. Obtener los detalles de la alerta de una alerta desencadenada |
| Reglas de alertas de búsqueda |
Enumeración de reglas de alerta por nombre |
| Reglas de detección de búsqueda |
Obtención de reglas de detección que coinciden con un filtro de búsqueda |
| SOAR API: enriquecimiento multi-entitiy |
Enriquecer varias entidades a la vez (se requiere acceso específico) |
Buscar alertas del cuaderno de estrategias
Enumerar alertas del cuaderno de estrategias basadas en un conjunto de parámetros de búsqueda
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Limit
|
limit | string |
Limitar el número de alertas del cuaderno de estrategias devueltas |
|
|
entidades
|
entities | array of string |
Lista de entidades |
|
|
statuses
|
statuses | array of string |
Lista de estados de alerta |
|
|
Prioridades
|
priorities | array of string |
Lista de prioridades de alertas |
|
|
categories
|
categories | array of string |
Lista de categorías de alertas |
|
|
Relativo creado a partir de
|
created_from_relative | string |
Limite la respuesta a las alertas del cuaderno de estrategias creadas como máximo hace muchos minutos, horas o días. El valor predeterminado es todo el tiempo. |
|
|
Relativo creado hasta
|
created_until_relative | string |
Limite la respuesta a las alertas del cuaderno de estrategias creadas más recientes hace muchos minutos, horas o días. El valor predeterminado es "-0" (ahora). |
|
|
Relativo actualizado desde
|
updated_from_relative | string |
Limite la respuesta a las alertas del cuaderno de estrategias actualizadas como máximo estos muchos minutos, horas o días en el pasado. El valor predeterminado es "-1d" (un día atrás). |
|
|
Relativo actualizado hasta
|
updated_until_relative | string |
Limite la respuesta a las alertas del cuaderno de estrategias actualizadas en los últimos minutos, horas o días en el pasado. El valor predeterminado es "-0" (ahora). |
Devoluciones
Alertas de cuaderno de estrategias que coinciden con los criterios de búsqueda
- Productos
- PlaybookAlertSearch
Buscar alertas desencadenadas
Enumerar las notificaciones de alertas por un conjunto de parámetros de búsqueda
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Triggered
|
triggered | string |
Período de tiempo para el que se incluirán las alertas desencadenadas. Por ejemplo, -24h o -2d |
|
|
Id. de regla de alerta
|
alertRule | string |
Solo se devuelven alertas desencadenadas para el identificador de regla de alerta especificado. |
|
|
Número máximo de registros
|
limit | integer |
Limita el número de alertas devueltas. |
|
|
Registros del desplazamiento
|
from | integer |
Registros del desplazamiento |
|
|
Campos que se van a incluir
|
fields | string |
Campos que se van a incluir, por ejemplo, "id, hits". Devuelve todo si no se especifica. |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
datos
|
data | array of AlertSearchV2 | |
|
Volvió
|
counts.returned | integer | |
|
total
|
counts.total | integer |
Capturar actores de mapa de amenazas
Capture los datos del mapa de amenazas de la organización principal de la empresa con filtros.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Actores
|
actors | True | array of string |
Lista de actores |
|
categories
|
categories | True | array of string |
Lista de categorías |
|
watchlists
|
watchlists | True | array of string |
Lista de listas de reproducción |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
datos
|
data | ThreatMapActors |
Capturar indicadores de amenazas para actores en formato STIX
Capturar indicadores de amenazas para actores en formato STIX.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Actores
|
actors | array of string | ||
|
categories
|
categories | array of string | ||
|
watchlists
|
watchlists | array of string | ||
|
trigger_score_ip
|
trigger_score_ip | integer | ||
|
trigger_score_url
|
trigger_score_url | integer | ||
|
trigger_score_domain
|
trigger_score_domain | integer | ||
|
trigger_score_hash
|
trigger_score_hash | integer | ||
|
valid_until_delta_hours
|
valid_until_delta_hours | integer | ||
|
threat_hunt_description
|
threat_hunt_description | string |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
datos
|
data | ThreatHuntActors |
Capturar indicadores de amenazas para malware en formato STIX
Capturar indicadores de amenazas para malware en formato STIX.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
malware
|
malware | array of string | ||
|
categories
|
categories | array of string | ||
|
watchlists
|
watchlists | array of string | ||
|
trigger_score_ip
|
trigger_score_ip | integer | ||
|
trigger_score_url
|
trigger_score_url | integer | ||
|
trigger_score_domain
|
trigger_score_domain | integer | ||
|
trigger_score_hash
|
trigger_score_hash | integer | ||
|
valid_until_delta_hours
|
valid_until_delta_hours | integer | ||
|
threat_hunt_description
|
threat_hunt_description | string |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
datos
|
data | ThreatHuntMalware |
Capturar malware de mapa de amenazas
Capture los datos del mapa de amenazas de la organización principal de la empresa con filtros.
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
malware
|
malware | True | array of string |
Lista de malware |
|
categories
|
categories | True | array of string |
Lista de categorías |
|
watchlists
|
watchlists | True | array of string |
Lista de listas de reproducción |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
datos
|
data | ThreatMapMalware |
Enriquecimiento con hash
Enriquecimiento de un hash con datos futuros registrados
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Entrada HASH
|
hash | True | string |
Hash que se va a buscar. Debe ser un único HASH. |
|
Fields
|
fields | True | string |
Lista separada por comas de campos que se van a devolver en la respuesta |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Comparta correlaciones y enriquecimientos de datos con recorded Future Intelligence Cloud. Valor predeterminado: true |
|
|
Respuesta HTML
|
htmlresponse | boolean |
Incluir una plantilla HTML en la respuesta |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
IntelCard
|
data.intelCard | string |
Vínculo de tarjeta de inteligencia futura grabado |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Nivel de importancia del indicador futuro registrado |
|
puntuación
|
data.risk.score | integer |
Puntuación de riesgo del indicador futuro registrado |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Detalles de la evidencia |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Detalles de evidencia de reglas de riesgo futuras grabadas |
|
rule
|
data.risk.evidenceDetails.rule | string |
Reglas de riesgo de indicador futuras registradas |
|
riskSummary
|
data.risk.riskSummary | string |
Resumen de reglas de riesgo futuras registradas |
|
Enlaces
|
data.links | Links |
Vínculos basados en pruebas de confianza alta |
|
html_response
|
data.html_response | string |
Enriquecimiento con IP
Enriquecimiento de una dirección IP con datos futuros registrados
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Entrada IP
|
ip | True | string |
Dirección IP que se va a buscar. Debe ser una sola dirección IP. |
|
Fields
|
fields | True | string |
Lista separada por comas de campos que se van a devolver en la respuesta |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Comparta correlaciones y enriquecimientos de datos con recorded Future Intelligence Cloud. Valor predeterminado: true |
|
|
Respuesta HTML
|
htmlresponse | boolean |
Incluir una plantilla HTML en la respuesta |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
IntelCard
|
data.intelCard | string |
Vínculo de tarjeta de inteligencia futura grabado |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Nivel de importancia del indicador futuro registrado |
|
puntuación
|
data.risk.score | integer |
Puntuación de riesgo del indicador futuro registrado |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Detalles de la evidencia |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Detalles de evidencia de reglas de riesgo futuras grabadas |
|
rule
|
data.risk.evidenceDetails.rule | string |
Reglas de riesgo de indicador futuras registradas |
|
riskSummary
|
data.risk.riskSummary | string |
Resumen de reglas de riesgo futuras registradas |
|
Enlaces
|
data.links | Links |
Vínculos basados en pruebas de confianza alta |
|
html_response
|
data.html_response | string |
Enriquecimiento con vulnerabilidades
Enriquecimiento de una vulnerabilidad con datos futuros registrados
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Entrada del identificador de vulnerabilidad (CVE, nombre)
|
id | True | string |
Identificador de vulnerabilidad (CVE, nombre) que se va a buscar. Debe ser un identificador de vulnerabilidad único (CVE, name) |
|
Fields
|
fields | True | string |
Lista separada por comas de campos que se van a devolver en la respuesta |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Comparta correlaciones y enriquecimientos de datos con recorded Future Intelligence Cloud. Valor predeterminado: true |
|
|
Respuesta HTML
|
htmlresponse | boolean |
Incluir una plantilla HTML en la respuesta |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
IntelCard
|
data.intelCard | string |
Vínculo de tarjeta de inteligencia futura grabado |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Nivel de importancia crítica de vulnerabilidades futuras registradas |
|
puntuación
|
data.risk.score | integer |
Puntuación de riesgo de vulnerabilidad futura registrada |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Detalles de la evidencia |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Detalles de evidencia de reglas de riesgo futuras grabadas |
|
rule
|
data.risk.evidenceDetails.rule | string |
Reglas de riesgo de vulnerabilidades futuras registradas |
|
riskSummary
|
data.risk.riskSummary | string |
Resumen de reglas de riesgo futuras registradas |
|
Enlaces
|
data.links | Links |
Vínculos basados en pruebas de confianza alta |
|
html_response
|
data.html_response | string |
Enriquecimiento de direcciones URL
Enriquecer una dirección URL con datos futuros registrados
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Entrada de dirección URL
|
url | True | string |
Dirección URL que se va a buscar. Debe ser una sola dirección URL. |
|
Fields
|
fields | True | string |
Lista separada por comas de campos que se van a devolver en la respuesta |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Comparta correlaciones y enriquecimientos de datos con recorded Future Intelligence Cloud. Valor predeterminado: true |
|
|
Respuesta HTML
|
htmlresponse | boolean |
Incluir una plantilla HTML en la respuesta |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Nivel de importancia del indicador futuro registrado |
|
puntuación
|
data.risk.score | integer |
Puntuación de riesgo del indicador futuro registrado |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Detalles de la evidencia |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Detalles de evidencia de reglas de riesgo futuras grabadas |
|
rule
|
data.risk.evidenceDetails.rule | string |
Reglas de riesgo de indicador futuras registradas |
|
riskSummary
|
data.risk.riskSummary | string |
Resumen de reglas de riesgo futuras registradas |
|
Enlaces
|
data.links | Links |
Vínculos basados en pruebas de confianza alta |
|
html_response
|
data.html_response | string |
Enriquecimiento de dominios
Enriquecimiento de un dominio con datos futuros registrados
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Entrada de dominio
|
domain | True | string |
Dominio que se va a buscar. Debe ser un dominio único. |
|
Fields
|
fields | True | string |
Lista separada por comas de campos que se van a devolver en la respuesta |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Comparta correlaciones y enriquecimientos de datos con recorded Future Intelligence Cloud. Valor predeterminado: true |
|
|
Respuesta HTML
|
htmlresponse | boolean |
Incluir una plantilla HTML en la respuesta |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
IntelCard
|
data.intelCard | string |
Vínculo de tarjeta de inteligencia futura grabado |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Nivel de importancia del indicador futuro registrado |
|
puntuación
|
data.risk.score | integer |
Puntuación de riesgo del indicador futuro registrado |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Detalles de la evidencia |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Detalles de evidencia de reglas de riesgo futuras grabadas |
|
rule
|
data.risk.evidenceDetails.rule | string |
Reglas de riesgo de indicador futuras registradas |
|
riskSummary
|
data.risk.riskSummary | string |
Resumen de reglas de riesgo futuras registradas |
|
Enlaces
|
data.links | Links |
Vínculos basados en pruebas de confianza alta |
|
html_response
|
data.html_response | string |
Lista de riesgos futuros grabados y descarga de SCF
Descargar listas de riesgos futuros registrados y fuentes de control de seguridad
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Ruta de acceso al archivo
|
path | True | string |
Ruta de acceso al archivo |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
|
array of object | ||
|
Nombre
|
Name | string | |
|
Riesgo
|
Risk | integer | |
|
RiskString
|
RiskString | string | |
|
EvidenceDetails
|
EvidenceDetails.EvidenceDetails | array of object | |
|
Rule
|
EvidenceDetails.EvidenceDetails.Rule | string | |
|
EvidenceString
|
EvidenceDetails.EvidenceDetails.EvidenceString | string | |
|
CriticalityLabel
|
EvidenceDetails.EvidenceDetails.CriticalityLabel | string | |
|
Marca de tiempo
|
EvidenceDetails.EvidenceDetails.Timestamp | integer | |
|
MitigationString
|
EvidenceDetails.EvidenceDetails.MitigationString | string | |
|
Criticidad
|
EvidenceDetails.EvidenceDetails.Criticality | integer |
Notificaciones de alertas de búsqueda (en desuso)
En su lugar, use /v2/alerts en desuso. Enumerar las notificaciones de alertas por un conjunto de parámetros de búsqueda
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Triggered
|
triggered | string |
Todos los formatos de fecha compatibles con Elasticsearch son válidos. |
|
|
Id. de regla de alerta
|
alertRule | True | string |
Id. de regla de alerta |
|
Número máximo de registros
|
limit | integer |
Número máximo de registros |
|
|
Registros del desplazamiento
|
from | integer |
Registros del desplazamiento |
Devoluciones
- Body
- AlertSearch
Obtener alerta de cuaderno de estrategias por identificador
Obtención de los detalles de la alerta de un cuaderno de estrategias
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. de alerta del cuaderno de estrategias
|
id | True | string |
El identificador de alerta del cuaderno de estrategias |
Devoluciones
- Body
- PlaybookAlertLookup
Obtener alertas desencadenadas por identificador
Obtener los detalles de la alerta de una alerta desencadenada
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. de notificación de alerta
|
id | True | string |
Id. de notificación de alerta |
|
Campos que se van a incluir
|
fields | string |
Campos que se van a incluir, por ejemplo, "id, hits". Devuelve todo si no se especifica. |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
datos
|
data | AlertSearchV2 |
Obtener notificación de alerta por identificador (en desuso)
En desuso, use /v2/alerts/{id} en su lugar. Obtener los detalles de la alerta de una alerta desencadenada
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Id. de notificación de alerta
|
id | True | string |
Id. de notificación de alerta |
Devoluciones
- Body
- AlertLookup
Reglas de alertas de búsqueda
Enumeración de reglas de alerta por nombre
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Búsqueda de texto libre
|
freetext | string |
Búsqueda de texto libre para nombre de regla de alerta |
|
|
Número máximo de registros
|
limit | integer |
Número máximo de registros |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
results
|
data.results | array of object |
Results |
|
Título de la regla de alerta
|
data.results.title | string |
Title |
|
Id. de regla de alerta
|
data.results.id | string |
Id |
|
Número devuelto de reglas de alerta
|
counts.returned | integer |
Volvió |
|
Número total de reglas de alerta
|
counts.total | integer |
Total |
Reglas de detección de búsqueda
Obtención de reglas de detección que coinciden con un filtro de búsqueda
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
Tipos
|
types | array of string |
Lista de tipos de reglas de detección que se van a incluir en la respuesta |
|
|
entidades
|
entities | array of string |
Lista de entidades a las que deben estar relacionadas las reglas de detección |
|
|
before
|
before | date-time |
Limite la respuesta a las reglas de detección creadas antes de esta fecha. Ejemplo: 2023-06-01T18:00:00Z |
|
|
after
|
after | date-time |
Limitar la respuesta a las reglas de detección creadas después de esta fecha |
|
|
Limit
|
limit | integer |
Limitar el número de reglas de detección devueltas |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Recuento de reglas de detección
|
count | integer |
Contar |
|
Reglas de detección
|
result | array of object |
Reglas de detección |
|
id
|
result.id | string | |
|
type
|
result.type | string | |
|
title
|
result.title | string | |
|
descripción
|
result.description | string | |
|
reglas
|
result.rules | array of object | |
|
nombre
|
result.rules.name | string | |
|
descripción
|
result.rules.description | string | |
|
nombre_de_archivo
|
result.rules.file_name | string | |
|
entidades
|
result.rules.entities | array of object | |
|
id
|
result.rules.entities.id | string | |
|
type
|
result.rules.entities.type | string | |
|
nombre
|
result.rules.entities.name | string | |
|
display_name
|
result.rules.entities.display_name | string | |
|
contenido
|
result.rules.content | string | |
|
creado
|
result.created | string | |
|
Actualizado
|
result.updated | string |
SOAR API: enriquecimiento multi-entitiy
Enriquecer varias entidades a la vez (se requiere acceso específico)
Parámetros
| Nombre | Clave | Requerido | Tipo | Description |
|---|---|---|---|---|
|
IP
|
ip | array of string |
Ip |
|
|
URL
|
url | array of string |
URL |
|
|
domain
|
domain | array of string |
Dominio |
|
|
hash
|
hash | array of string |
Hash |
|
|
vulnerabilidad
|
vulnerability | array of string |
Vulnerabilidad |
Devoluciones
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
Volvió
|
counts.returned | integer | |
|
total
|
counts.total | integer | |
|
results
|
data.results | array of object | |
|
id
|
data.results.entity.id | string | |
|
nombre
|
data.results.entity.name | string | |
|
type
|
data.results.entity.type | string | |
|
context
|
data.results.risk.context | object | |
|
nivel
|
data.results.risk.level | number | |
|
rule
|
data.results.risk.rule | object | |
|
puntuación
|
data.results.risk.score | number |
Definiciones
Enlaces
Vínculos basados en pruebas de confianza alta
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
startDate
|
technical.start_date | string |
Fecha de inicio del vínculo |
|
stopDate
|
technical.stop_date | string |
Fecha de detención del vínculo |
|
entidades
|
technical.entities | array of LinkEntities |
Entidades relacionadas |
|
startDate
|
research.start_date | string |
Fecha de inicio del vínculo |
|
stopDate
|
research.stop_date | string |
Fecha de detención del vínculo |
|
entidades
|
research.entities | array of LinkEntities |
Entidades relacionadas |
LinkEntities
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
type
|
type | string |
Tipo de inicialidad |
|
nombre
|
name | string |
Nombre de entidad |
|
puntuación
|
score | integer |
Puntuación de riesgo |
|
categoría
|
category | string |
Categoría de entidad |
AlertSearchV2
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
revisión
|
review | AlertReviewV2 | |
|
owner_organisation_details
|
owner_organisation_details | AlertOwnerV2 | |
|
URL
|
url | AlertURLV2 | |
|
rule
|
rule | AlertRuleV2 | |
|
alert_id
|
id | AlertID | |
|
Hits
|
hits | AlertHitsV2 | |
|
log
|
log | AlertLogV2 | |
|
title
|
title | AlertTitle | |
|
type
|
type | AlertType | |
|
ai_insights
|
ai_insights | AlertAiV2 |
AlertAiV2
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
comentario
|
comment | string | |
|
texto
|
text | string |
AlertHitsV2
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
entidades
|
entities | array of object | |
|
id
|
entities.id | string | |
|
nombre
|
entities.name | string | |
|
type
|
entities.type | string | |
|
source_id
|
document.source.id | string | |
|
nombre
|
document.source.name | string | |
|
type
|
document.source.type | string | |
|
title
|
document.title | string | |
|
URL
|
document.url | string | |
|
authors
|
document.authors | array of object | |
|
id
|
document.authors.id | string | |
|
nombre
|
document.authors.name | string | |
|
type
|
document.authors.type | string | |
|
fragmento
|
fragment | string | |
|
id
|
id | string | |
|
lenguaje
|
language | string | |
|
id
|
primary_entity.id | string | |
|
nombre
|
primary_entity.name | string | |
|
type
|
primary_entity.type | string | |
|
analyst_note
|
analyst_note | string |
AlertSearch
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
results
|
data.results | array of object | |
|
revisión
|
data.results.review | AlertReview | |
|
URL
|
data.results.url | AlertURL | |
|
rule
|
data.results.rule | AlertRule | |
|
Activa
|
data.results.triggered | AlertTriggered | |
|
alert_id
|
data.results.id | AlertID | |
|
title
|
data.results.title | AlertTitle | |
|
type
|
data.results.type | AlertType | |
|
Volvió
|
counts.returned | integer | |
|
total
|
counts.total | integer |
AlertLookup
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
revisión
|
data.review | AlertReview | |
|
entidades
|
data.entities | AlertEntities | |
|
URL
|
data.url | AlertURL | |
|
rule
|
data.rule | AlertRule | |
|
Activa
|
data.triggered | AlertTriggered | |
|
alert_id
|
data.id | AlertID | |
|
Referencias
|
data.counts.references | integer | |
|
entidades
|
data.counts.entities | integer | |
|
Documentos
|
data.counts.documents | integer | |
|
title
|
data.title | AlertTitle | |
|
type
|
data.type | AlertType |
AlertLogV2
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
note_author
|
note_author | string | |
|
note_date
|
note_date | date-time | |
|
status_date
|
status_date | string | |
|
Activa
|
triggered | string | |
|
status_change_by
|
status_change_by | string |
AlertOwnerV2
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
organizaciones
|
organisations | array of object | |
|
id_de_organización
|
organisations.organisation_id | string | |
|
organisation_name
|
organisations.organisation_name | string | |
|
enterprise_id
|
enterprise_id | string | |
|
enterprise_name
|
enterprise_name | string |
AlertReviewV2
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
cesionario
|
assignee | string | |
|
estado
|
status | string | |
|
status_in_portal
|
status_in_portal | string | |
|
nota
|
note | string |
AlertReview
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
cesionario
|
assignee | string | |
|
estado
|
status | string | |
|
noteDate
|
noteDate | string | |
|
noteAuthor
|
noteAuthor | string | |
|
nota
|
note | string |
AlertEntities
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
tendencia
|
trend | object | |
|
Documentos
|
documents | array of object | |
|
Referencias
|
documents.references | array of object | |
|
fragmento
|
documents.references.fragment | string | |
|
entidades
|
documents.references.entities | array of object | |
|
id
|
documents.references.entities.id | string | |
|
nombre
|
documents.references.entities.name | string | |
|
type
|
documents.references.entities.type | string | |
|
lenguaje
|
documents.references.language | string | |
|
id
|
documents.source.id | string | |
|
nombre
|
documents.source.name | string | |
|
type
|
documents.source.type | string | |
|
title
|
documents.title | string | |
|
URL
|
documents.url | string | |
|
riesgo
|
risk | object | |
|
id
|
entity.id | string | |
|
nombre
|
entity.name | string | |
|
type
|
entity.type | string |
AlertURL
AlertRule
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
nombre
|
name | string | |
|
id
|
id | string | |
|
URL
|
url | string |
AlertURLV2
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
api
|
api | string | |
|
portal
|
portal | string |
AlertRuleV2
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
nombre
|
name | string | |
|
rule_id
|
id | string | |
|
portal
|
url.portal | string |
AlertTriggered
AlertID
- alert_id
- string
AlertTitle
AlertType
Cuaderno de estrategiasAlertSearch
Alertas de cuaderno de estrategias que coinciden con los criterios de búsqueda
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
playbook_alert_id
|
playbook_alert_id | string | |
|
creado
|
created | string | |
|
Actualizado
|
updated | string | |
|
estado
|
status | string | |
|
categoría
|
category | string | |
|
prioridad
|
priority | string | |
|
title
|
title | string | |
|
owner_id
|
owner_id | string | |
|
owner_name
|
owner_name | string | |
|
id_de_organización
|
organisation_id | string | |
|
organistaion_name
|
organistaion_name | string | |
|
organizaciones
|
owner_organisation_details.organisations | array of object | |
|
id_de_organización
|
owner_organisation_details.organisations.organisation_id | string | |
|
organisation_name
|
owner_organisation_details.organisations.organisation_name | string | |
|
enterprise_id
|
owner_organisation_details.enterprise_id | string | |
|
enterprise_name
|
owner_organisation_details.enterprise_name | string |
Cuaderno de estrategiasAlertLookup
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
title
|
title | string | |
|
id
|
id | string | |
|
categoría
|
category | string | |
|
rule_label
|
rule_label | string | |
|
estado
|
status | string | |
|
prioridad
|
priority | string | |
|
targets
|
targets | string | |
|
created_date
|
created_date | string | |
|
updated_date
|
updated_date | string | |
|
evidence_summary
|
evidence_summary | string | |
|
link
|
link | string | |
|
json_alert
|
json_alert | string |
ThreatMapActors
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
threat_map
|
data.threat_map | array of object | |
|
id
|
data.threat_map.id | string | |
|
nombre
|
data.threat_map.name | string | |
|
alias
|
data.threat_map.alias | array of string | |
|
categories
|
data.threat_map.categories | array of object | |
|
id
|
data.threat_map.categories.id | string | |
|
nombre
|
data.threat_map.categories.name | string | |
|
intención
|
data.threat_map.intent | integer | |
|
oportunidad
|
data.threat_map.opportunity | integer | |
|
log_entries
|
data.threat_map.log_entries | array of object | |
|
id
|
data.threat_map.log_entries.watchlist.id | string | |
|
nombre
|
data.threat_map.log_entries.watchlist.name | string | |
|
id
|
data.threat_map.log_entries.entity.id | string | |
|
nombre
|
data.threat_map.log_entries.entity.name | string | |
|
severity
|
data.threat_map.log_entries.severity | integer | |
|
eje
|
data.threat_map.log_entries.axis | string | |
|
date
|
data.threat_map.log_entries.date | date-time | |
|
date
|
data.date | date-time |
ThreatHuntActors
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
confianza
|
confidence | integer | |
|
descripción
|
description | string | |
|
id
|
id | string | |
|
indicator_types
|
indicator_types | array of string | |
|
labels
|
labels | array of string | |
|
nombre
|
name | string | |
|
pattern
|
pattern | string | |
|
pattern_type
|
pattern_type | string | |
|
spec_version
|
spec_version | string | |
|
type
|
type | string | |
|
creado
|
created | string | |
|
modified
|
modified | string | |
|
valid_from
|
valid_from | string | |
|
valid_until
|
valid_until | string | |
|
external_references
|
external_references | array of object | |
|
source_name
|
external_references.source_name | string | |
|
descripción
|
external_references.description | string | |
|
external_id
|
external_references.external_id | string | |
|
URL
|
external_references.url | string |
ThreatMapMalware
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
threat_map
|
data.threat_map | array of object | |
|
id
|
data.threat_map.id | string | |
|
nombre
|
data.threat_map.name | string | |
|
alias
|
data.threat_map.alias | array of string | |
|
categories
|
data.threat_map.categories | array of object | |
|
id
|
data.threat_map.categories.id | string | |
|
nombre
|
data.threat_map.categories.name | string | |
|
intención
|
data.threat_map.intent | integer | |
|
oportunidad
|
data.threat_map.opportunity | integer | |
|
log_entries
|
data.threat_map.log_entries | array of object | |
|
id
|
data.threat_map.log_entries.watchlist.id | string | |
|
nombre
|
data.threat_map.log_entries.watchlist.name | string | |
|
id
|
data.threat_map.log_entries.entity.id | string | |
|
nombre
|
data.threat_map.log_entries.entity.name | string | |
|
severity
|
data.threat_map.log_entries.severity | integer | |
|
eje
|
data.threat_map.log_entries.axis | string | |
|
date
|
data.threat_map.log_entries.date | date-time | |
|
date
|
data.date | date-time |
ThreatHuntMalware
| Nombre | Ruta de acceso | Tipo | Description |
|---|---|---|---|
|
confianza
|
confidence | integer | |
|
descripción
|
description | string | |
|
id
|
id | string | |
|
indicator_types
|
indicator_types | array of string | |
|
labels
|
labels | array of string | |
|
nombre
|
name | string | |
|
pattern
|
pattern | string | |
|
pattern_type
|
pattern_type | string | |
|
spec_version
|
spec_version | string | |
|
type
|
type | string | |
|
creado
|
created | string | |
|
modified
|
modified | string | |
|
valid_from
|
valid_from | string | |
|
valid_until
|
valid_until | string | |
|
external_references
|
external_references | array of object | |
|
source_name
|
external_references.source_name | string | |
|
descripción
|
external_references.description | string | |
|
external_id
|
external_references.external_id | string | |
|
URL
|
external_references.url | string |