QUELCONQUE. RUN Threat Intelligence (préversion)
Le connecteur permet aux équipes informatiques et de sécurité de simplifier leurs opérations en intégrant ANY. Fonctionnalités d’intelligence des menaces de RUN dans des flux de travail manuels et automatisés avec des applications telles que Defender pour point de terminaison et Sentinel.
Ce connecteur est disponible dans les produits et régions suivants :
| Service | classe | Régions |
|---|---|---|
| Copilot Studio | Premium | Toutes les régions Power Automate , à l’exception des éléments suivants : - Us Government (GCC) - Us Government (GCC High) - China Cloud géré par 21Vianet - Us Department of Defense (DoD) |
| Applications logiques | Norme | Toutes les régions Logic Apps , à l’exception des suivantes : - Régions Azure Government - Régions Azure Chine - Us Department of Defense (DoD) |
| Power Apps | Premium | Toutes les régions Power Apps , à l’exception des suivantes : - Us Government (GCC) - Us Government (GCC High) - China Cloud géré par 21Vianet - Us Department of Defense (DoD) |
| Power Automate | Premium | Toutes les régions Power Automate , à l’exception des éléments suivants : - Us Government (GCC) - Us Government (GCC High) - China Cloud géré par 21Vianet - Us Department of Defense (DoD) |
| Contact | |
|---|---|
| Nom | QUELCONQUE. COURIR |
| URL | https://app.any.run/contact-us |
| Messagerie électronique | support@any.run |
| Métadonnées du connecteur | |
|---|---|
| Éditeur | ANYRUN FZCO |
| QUELCONQUE. Documentation de l’API RUN | https://docs.microsoft.com/connectors/anyrunthreatintellig |
| Site internet | https://any.run |
| Politique de confidentialité | https://any.run/privacy.pdf |
| Catégories | Sécurité ;Opérations informatiques |
QUELCONQUE. RUN Threat Intelligence Connector
Le connecteur permet aux équipes informatiques et de sécurité de simplifier leurs opérations en intégrant ANY. Fonctionnalités d’intelligence des menaces de RUN dans des flux de travail manuels et automatisés avec des applications telles que Defender pour point de terminaison et Sentinel.
Prerequisites
Pour utiliser ce connecteur, vous devez disposer d’un élément ANY. Compte RUN, une clé API et un abonnement de recherche TI.
Documentation sur l’API
https://any.run/api-documentation/
Instructions de déploiement
Utilisez ces instructions pour déployer ce connecteur en tant que connecteur personnalisé dans Microsoft Power Automate et Power Apps.
Opérations prises en charge
Le connecteur prend en charge les opérations suivantes :
-
Get threat intelligence data from ANY.RUN Threat Intelligence service: effectue des actions d’investigation dans ANY. SERVICE RUN Threat Intelligence
Création d’une connexion
Le connecteur prend en charge les types d’authentification suivants :
| Par défaut | Paramètres de création de connexion. | Toutes les régions | Non partageable |
Faire défaut
Applicable : Toutes les régions
Paramètres de création de connexion.
Cette connexion n’est pas partageable. Si l’application power est partagée avec un autre utilisateur, un autre utilisateur est invité à créer une connexion explicitement.
| Nom | Type | Descriptif | Obligatoire |
|---|---|---|---|
| API-Key | securestring | Clé API pour cette API (format : clé> API-Key<) | Vrai |
Limitations
| Nom | Appels | Période de renouvellement |
|---|---|---|
| Appels d’API par connexion | 100 | 60 secondes |
Actions
| Obtenir des données de renseignement sur les menaces à partir de ANY. SERVICE RUN Threat Intelligence |
Effectue des actions d’investigation dans ANY. RUN Threat Intelligence service. |
Obtenir des données de renseignement sur les menaces à partir de ANY. SERVICE RUN Threat Intelligence
Effectue des actions d’investigation dans ANY. RUN Threat Intelligence service.
Paramètres
| Nom | Clé | Obligatoire | Type | Description |
|---|---|---|---|---|
|
query
|
query | True | string |
Spécifiez votre requête de recherche. Plusieurs requêtes peuvent être combinées avec l’opérateur AND pour obtenir des résultats plus spécifiques. |
|
date de début
|
startDate | string |
Spécifiez la date de début de la période de recherche souhaitée. Doit être au format AAAA-MM-DD. |
|
|
date de fin
|
endDate | string |
Spécifiez la date de fin de la période de recherche souhaitée. Doit être au format AAAA-MM-DD. |
Retours
- Corps
- ResponseApiDto
Définitions
ResponseApiDto
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
destinationPort
|
destinationPort | array of integer |
Numéros de ports de destination. |
|
destinationIPgeo
|
destinationIPgeo | array of string |
Zone géographique d’adresse IP de destination (pays). |
|
destinationIpAsn
|
destinationIpAsn | array of object |
ASN IP de destination (numéro de système autonome). |
|
ASN
|
destinationIpAsn.asn | string |
ASN IP de destination. |
|
date
|
destinationIpAsn.date | date-time |
Date ASN IP de destination. |
|
relatedTasks
|
relatedTasks | array of string |
Liens vers des tâches associées dans ANY. EXÉCUTEZ le bac à sable( sandbox). |
|
threatName
|
threatName | array of string |
Noms des menaces. |
|
threatLevel
|
summary.threatLevel | integer | |
|
lastSeen
|
summary.lastSeen | date-time | |
|
detectedType
|
summary.detectedType | string | |
|
isTrial
|
summary.isTrial | boolean | |
|
relatedIncidents
|
relatedIncidents | array of RelatedIncidentApiDto |
Incidents connexes. |
|
destinationIP
|
destinationIP | array of DestinationIpApiDto |
Adresses IP de destination. |
|
relatedFiles
|
relatedFiles | array of RelatedFileApiDto |
Données de fichiers connexes. |
|
relatedDNS
|
relatedDNS | array of RelatedDnsApiDto |
DNS associé. |
|
relatedURLs
|
relatedURLs | array of RelatedUrlApiDto |
URL associées. |
|
sourceTasks
|
sourceTasks | array of SourceTaskApiDto |
Informations sur les tâches sources. |
|
relatedSynchronizationObjects
|
relatedSynchronizationObjects | array of RelatedSynchronizationObjectsApiDto |
Données d’objets de synchronisation connexes. |
|
relatedNetworkThreats
|
relatedNetworkThreats | array of RelatedNetworkThreatApiDto |
Données relatives aux menaces réseau. |
RelatedIncidentApiDto
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
tâche
|
task | string |
Lien vers la tâche dans ANY. EXÉCUTEZ le bac à sable( sandbox). |
|
time
|
time | date-time |
Heure de création. |
|
MITRE
|
MITRE | array of string |
Tableau d’ID de techniques de matrice MITRE et ID de sous-techniques. |
|
threatName
|
threatName | array of string |
Noms des menaces. |
|
événement
|
event | EventApiDto | |
|
processus
|
process | ProcessApiDto |
EventApiDto
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ruleName
|
ruleName | string |
Nom de la règle. |
|
ligne de commande
|
commandLine | string |
Chaîne de ligne de commande. |
|
imagePath
|
imagePath | string |
Chaîne de chemin d’accès de l’image. |
|
Pid
|
pid | integer |
ID de processus. |
|
title
|
title | array of string |
Titre du type d’événement. |
|
destinationPort
|
destinationPort | array of string |
Numéros de ports de destination. |
|
destinationIP
|
destinationIP | string |
Adresse IP de destination. |
|
destinationIPgeo
|
destinationIPgeo | array of string |
Zone géographique d’adresse IP de destination (pays). |
|
destinationIpAsn
|
destinationIpAsn | array of string |
ASN IP de destination (numéro de système autonome). |
|
URL
|
url | string |
URL. |
|
fileName
|
fileName | string |
Nom de fichier. |
|
registryKey
|
registryKey | string |
Clé de Registre. |
|
registryName
|
registryName | array of string |
Nom du Registre. |
|
registryValue
|
registryValue | array of string |
Valeur du Registre. |
|
moduleImagePath
|
moduleImagePath | string |
Chemin d’accès de l’image du module. |
|
injectedFlag
|
injectedFlag | boolean |
Indicateur injecté. |
|
domainName
|
domainName | array of string |
Nom de domaine. |
|
httpRequestContentType
|
httpRequestContentType | string |
Type de contenu de demande. |
|
httpRequestContentFile
|
httpRequestContentFile | string |
Demander un fichier de contenu. |
|
httpResponseContentType
|
httpResponseContentType | string |
Type de contenu de réponse. |
|
httpResponseContentFile
|
httpResponseContentFile | string |
Fichier de contenu de réponse. |
|
ruleThreatLevel
|
ruleThreatLevel | string |
Niveau de menace de règle. |
|
sha256
|
sha256 | string |
Hachage SHA256. |
ProcessApiDto
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
ligne de commande
|
commandLine | string |
Chaîne de ligne de commande. |
|
imagePath
|
imagePath | string |
Chaîne de chemin d’accès de l’image. |
|
threatName
|
threatName | string |
Noms des menaces. |
|
MITRE
|
MITRE | array of string |
Tableau d’ID de techniques de matrice MITRE et ID de sous-techniques. |
|
Pid
|
pid | integer |
ID de processus. |
|
Scores
|
scores | ProcessScoresDto |
Traiter les scores. |
|
eventsCounters
|
eventsCounters | EventsCountersDto |
Compteurs d’événements. |
|
threatLevel
|
threatLevel | integer |
Niveau de menace. |
ProcessScoresDto
Traiter les scores.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Spécifications
|
specs | ProcessScoresSpecsDto |
Traiter les spécifications des scores. |
ProcessScoresSpecsDto
Traiter les spécifications des scores.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
known_threat
|
known_threat | boolean |
Indique s’il s’agit d’une menace connue. |
|
network_loader
|
network_loader | boolean |
Indique si le téléchargement réseau a été détecté. |
|
réseau
|
network | boolean |
Indique si l’activité réseau a été activée. |
|
uac_request
|
uac_request | boolean |
Indique si la demande de contrôle d’accès utilisateur (UAC) a été détectée. |
|
Injecte
|
injects | boolean |
Indique si la menace utilise des injections. |
|
service_luncher
|
service_luncher | boolean |
Indique si une nouvelle inscription de service a été détectée. |
|
executable_dropped
|
executable_dropped | boolean |
Indique si les menaces utilisent des exécutables supprimés. |
|
multitraitement
|
multiprocessing | boolean |
Indique si la menace utilise le multitraitement. |
|
crashed_apps
|
crashed_apps | boolean |
Indique si l’application s’est bloquée. |
|
debug_output
|
debug_output | boolean |
Indique si l’application a un message de sortie de débogage. |
|
vol
|
stealing | boolean |
Indique si le processus vole les informations de l’ordinateur infecté. |
|
exploitable
|
exploitable | boolean |
Indique si un exploit connu a été détecté. |
|
static_detections
|
static_detections | boolean |
Indique si un modèle malveillant a été détecté par le moteur d’analyse statique. |
|
susp_struct
|
susp_struct | boolean |
Est struct susp. |
|
démarrage automatique
|
autostart | boolean |
Indique si l’application a été ajoutée au démarrage automatique. |
|
low_access
|
low_access | boolean |
Indique si la menace utilise un accès de bas niveau. |
|
Tor
|
tor | boolean |
Indique si TOR a été utilisé. |
|
courrier indésirable
|
spam | boolean |
Indique si le courrier indésirable a été détecté. |
|
malware_config
|
malware_config | boolean |
Indique si la configuration du programme malveillant a été extraite du fichier soumis. |
|
process_dump
|
process_dump | boolean |
Indique si le vidage de mémoire du processus peut être extrait. |
EventsCountersDto
Compteurs d’événements.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Cru
|
raw | EventsCountersRawDto |
Compteurs d’événements bruts. |
EventsCountersRawDto
Compteurs d’événements bruts.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
registry
|
registry | integer |
Nombre ou événements de Registre. |
|
Fichiers
|
files | integer |
Nombre ou fichiers. |
|
modules
|
modules | integer |
Nombre ou modules. |
|
Objets
|
objects | integer |
Nombre ou objets. |
|
rpc
|
rpc | integer |
Nombre ou RPC. |
DestinationIpApiDto
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
destinationIP
|
destinationIP | string |
Adresse IP de destination. |
|
date
|
date | date-time |
Date de création. |
|
threatLevel
|
threatLevel | integer |
Niveau de menace. |
|
threatName
|
threatName | array of string |
Noms des menaces. |
|
isMalconf
|
isMalconf | boolean |
Indique si le CIO a été extrait de la configuration des programmes malveillants. |
RelatedFileApiDto
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
tâche
|
task | string |
Lien vers la tâche dans ANY. EXÉCUTEZ le bac à sable( sandbox). |
|
title
|
title | string |
Titre du type d’événement. |
|
fileLink
|
fileLink | string |
Lien vers les fichiers de réponse HTTP. |
|
time
|
time | date-time |
Date de création. |
|
fileName
|
fileName | string |
Nom de fichier. |
|
fileExt
|
fileExt | string |
Extension de fichier. |
|
processus
|
process | ProcessApiDto | |
|
Hachages
|
hashes | HashesApiDto |
RelatedDnsApiDto
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
domainName
|
domainName | string |
Nom de domaine. |
|
threatName
|
threatName | array of string |
Nom de la menace. |
|
threatLevel
|
threatLevel | integer |
Niveau de menace. |
|
date
|
date | date-time |
Date de création. |
|
isMalconf
|
isMalconf | boolean |
Indique si le CIO a été extrait de la configuration des programmes malveillants. |
RelatedUrlApiDto
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
URL
|
url | string |
URL. |
|
date
|
date | date-time |
Date de création. |
|
threatLevel
|
threatLevel | integer |
Niveau de menace. |
|
threatName
|
threatName | array of string |
Noms des menaces. |
|
isMalconf
|
isMalconf | boolean |
Indique si le CIO a été extrait de la configuration des programmes malveillants. |
SourceTaskApiDto
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
Identifiant unique universel (UUID)
|
uuid | string |
Tâche UUID. |
|
apparenté
|
related | string |
Lien vers la tâche dans ANY. EXÉCUTEZ le bac à sable( sandbox). |
|
date
|
date | date-time |
Heure de création de tâche. |
|
threatLevel
|
threatLevel | integer |
Niveau de menace. |
|
tags
|
tags | array of string |
Étiquettes. |
|
mainObject
|
mainObject | MainObjectApiDto |
Informations sur l’objet principal. |
MainObjectApiDto
Informations sur l’objet principal.
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
type
|
type | string |
Type. |
|
nom
|
name | string |
Nom. |
|
Hachages
|
hashes | HashesApiDto |
RelatedSynchronizationObjectsApiDto
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
syncObjectTime
|
syncObjectTime | date-time |
Heure. |
|
syncObjectType
|
syncObjectType | string |
Type. |
|
syncObjectOperation
|
syncObjectOperation | string |
Opération. |
|
syncObjectName
|
syncObjectName | string |
Nom. |
|
tâche
|
task | string |
Lien de tâche. |
|
processus
|
process | ProcessApiDto |
RelatedNetworkThreatApiDto
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
suricataClass
|
suricataClass | string |
Classe Suricata. |
|
imagePath
|
imagePath | string |
Chemin d’accès à l’image. |
|
suricataID
|
suricataID | string |
SID. |
|
suricataMessage
|
suricataMessage | string |
Message suricata. |
|
tags
|
tags | array of string |
Étiquettes. |
|
MITRE
|
MITRE | array of string |
Tableau d’ID de techniques de matrice MITRE et ID de sous-techniques. |
|
suricataThreatLevel
|
suricataThreatLevel | string |
Niveau de menace suricata. |
|
tâche
|
task | string |
Lien de tâche. |
HashesApiDto
| Nom | Chemin d’accès | Type | Description |
|---|---|---|---|
|
md5
|
md5 | string |
Chaîne de hachage MD5. |
|
sha1
|
sha1 | string |
Chaîne de hachage SHA1. |
|
sha256
|
sha256 | string |
Chaîne de hachage SHA256. |
|
ssdeep
|
ssdeep | string |
Chaîne de hachage Ssdeep. |