Sécurité Microsoft Graph (déconseillée) [DÉCONSEILLÉE]

Les TiIndicators soumis

Nombre de TiIndicator retournés

Le TiIndicator retourné

Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés

Les TiIndicators mis à jour

Nombre de sous-inscriptions retournées

Entités d’abonnement retournées

Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés

Nombre d’alertes retournées

Alertes retournées

Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés

Code de résultat

Message

Sous-code de résultat

Code de résultat

Message

Sous-code de résultat

Nombre d’alertes retournées

Alertes retournées

Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés

Nombre d’alertes retournées

Alertes retournées

Lien pour obtenir les résultats suivants dans le cas où il y a plus de résultats que demandés

ID d’abonnement Azure, présent si cette alerte est liée à une ressource Azure.

Les étiquettes définissables par l’utilisateur qui peuvent être appliquées à une alerte et peuvent servir de conditions de filtre (par exemple, « HVA », « SAW », etc.).

Identificateur unique/GUID généré par le fournisseur.

ID de locataire Microsoft Entra ID.

Nom ou alias du groupe d’activités (attaquant) auquel cette alerte est attribuée.

Nom de l’analyste auquel l’alerte est affectée pour le triage, l’investigation ou la correction.

Catégorie de l’alerte (par exemple, credentialTheft, ransomware, etc.).

Heure à laquelle l’alerte a été fermée (UTC).

Commentaires fournis par le client sur l’alerte (pour la gestion des alertes client).

Confiance de la logique de détection (pourcentage compris entre 1 et 100).

Heure à laquelle l’alerte a été créée (UTC).

Description de l’alerte.

Ensemble d’alertes liées à cette entité d’alerte.

Heure à laquelle les événements qui ont servi de déclencheur(s) pour générer l’alerte se sont produits (UTC).

Commentaires des analystes sur l’alerte. Les valeurs possibles sont : unknown, truePositive, falsePositive, benignPositive.

Heure à laquelle l’entité d’alerte a été modifiée pour la dernière fois (UTC).

Action/action/s recommandée par le fournisseur à prendre suite à l’alerte (par exemple, isoler l’ordinateur, appliquer2FA, réimager l’hôte, etc.).

Gravité de l’alerte : définie par fournisseur/fournisseur. Valeurs : (haute, moyenne, faible, informationnelle) où « informational » déduit que l’alerte n’est pas actionnable.

Liens hypertexte (URI) vers le matériel source lié à l’alerte, par exemple l’interface utilisateur d’investigation du fournisseur, etc.

État du cycle de vie des alertes (étape). Valeurs : (inconnu, newAlert, inProgress, résolu).

Titre de l’alerte.

Fournisseur spécifique (produit/service - pas entreprise de fournisseur) ; par exemple, WindowsDefenderATP.

Version du fournisseur ou du sous-fournisseur.

Sous-fournisseur spécifique (sous fournisseur d’agrégation) ; par exemple, WindowsDefenderATP.SmartScreen.

Nom du fournisseur d’alerte (par exemple, Microsoft, Dell, FireEye).

Informations avec état liées à la sécurité générées par le fournisseur sur l’application cloud/s associées à cette alerte.

Adresse IP de destination de la connexion à l’application/service cloud.

Nom de l’application/du service cloud de destination.

Score de risque généré/calculé par le fournisseur de l’application/du service cloud.

Informations avec état liées à la sécurité générées par le fournisseur sur le ou les fichiers liés à cette alerte.

Nom de fichier (sans chemin d’accès).

Chemin d’accès complet du fichier/imageFile.

Score de risque généré/calculé par le fournisseur du fichier d’alerte.

Type de hachage de fichier. Les valeurs possibles sont : unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256.

Valeur du hachage de fichier.

Informations avec état liées à la sécurité générées par le fournisseur sur les hôtes liés à cette alerte.

Nom de domaine complet de l’hôte (nom de domaine complet).

True si l’hôte est joint au domaine aux services de domaine Microsoft Entra ID.

True si l’hôte est inscrit auprès de Microsoft Entra ID Device Registration (par exemple, BYOD) - pas complètement géré par l’entreprise.

True si l’hôte est joint à un domaine Microsoft Entra ID local.

Nom d’hôte local sans nom de domaine DNS.

Système d’exploitation hôte.

Adresse IPv4 ou IPv6 privée (non routable) au moment de l’alerte.

Adresse IPv4 ou IPv6 routable publiquement au moment de l’alerte.

Score de risque généré/calculé par le fournisseur de l’hôte.

Informations avec état liées à la sécurité générées par le fournisseur sur les programmes malveillants liés à cette alerte.

Catégorie de programmes malveillants générés par le fournisseur (par exemple, Troie, ransomware, etc.).

Famille de programmes malveillants générés par un fournisseur (par exemple, « wannacry », « notpetya », etc.).

Nom de variante de programme malveillant généré par le fournisseur (par exemple, Trojan :Win32/Powessere.H).

Gravité déterminée par le fournisseur de ce programme malveillant.

Indique si le fichier détecté (programme malveillant/vulnérabilité) s’exécutait au moment de la détection ou a été détecté au repos sur le disque.

Informations avec état liées à la sécurité générées par le fournisseur sur le ou les fichiers liés à cette alerte.

Nom de l’application gérant la connexion réseau (par exemple, Facebook, SMTP, etc.).

Adresse IP de destination de la connexion réseau.

Partie domaine de destination de l’URL de destination. (par exemple , «www.contoso.com»).

Port de destination de la connexion réseau.

URL de connexion réseau/chaîne d’URI : à l’exclusion des paramètres.

Direction de la connexion réseau. Les valeurs possibles sont les suivantes : inconnu, entrant, sortant.

Date à laquelle le domaine de destination a été inscrit (UTC).

Résolution de noms DNS locale telle qu’elle apparaît dans le cache DNS local de l’hôte (par exemple, si le fichier « hosts » a été falsifié).

Adresse IP de destination de la traduction d’adresses réseau.

Port de destination de traduction d’adresses réseau.

Adresse IP source de traduction d’adresses réseau.

Port source de traduction d’adresses réseau.

Protocole réseau. Les valeurs possibles sont : unknown, ip, icmp, igmp, ggp, ipv4, tcp, pup, udp, idp, ipv6, ipv6RoutingHeader, ipv6FragmentHeader, ipSecEncapsulatingSecurityPayload, ipSecAuthenticationHeader, icmpV6, ipv6NoNextHeader, ipv6DestinationOptions, nd, raw, ipx, spx, spx.

Score de risque généré/calculé par le fournisseur de la connexion réseau.

Adresse IP source (par exemple, origine) de la connexion réseau.

Port IP source (par exemple, origine) de la connexion réseau.

État de la connexion réseau. Les valeurs possibles sont les suivantes : inconnu, tenté, réussi, bloqué, ayant échoué.

Paramètres (suffixe) de l’URL de destination sous forme de chaîne.

Informations avec état liées à la sécurité générées par le fournisseur sur le processus ou les processus liés à cette alerte.

Identificateur de compte d’utilisateur (contexte du compte d’utilisateur sous lequel le processus s’est exécuté) par exemple, AccountName, SID, etc.

Ligne de commande d’appel de processus complète, y compris tous les paramètres.

DateTime à laquelle le processus parent a été démarré (UTC).

Niveau d’intégrité du processus. Les valeurs possibles sont les suivantes : inconnu, non approuvé, faible, moyen, élevé, système.

True si le processus est élevé.

Nom du fichier Image de processus.

Heure à laquelle le processus a été démarré (UTC).

ID de processus (PID) du processus parent.

Nom du fichier image du processus parent.

Chemin d’accès complet, y compris le nom de fichier.

ID de processus (PID) du processus.

Type de hachage de fichier. Les valeurs possibles sont : unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256.

Valeur du hachage de fichier.

Informations avec état liées à la sécurité générées par le fournisseur sur les clés de Registre associées à cette alerte.

ID de processus (PID) du processus qui a modifié la clé de Registre (les détails du processus s’affichent dans la collection d’alertes « processus »).

Opération qui a modifié le nom de clé de Registre et/ou la valeur (ajouter, modifier, supprimer).

Type de valeur de clé de Registre. Les valeurs possibles sont : unknown, binary, dwordLittleEndian, dwordBigEndian, expandSz, link, multiSz, none, qwordlittleEndian, sz.

Ruche du Registre Windows. Les valeurs possibles sont : unknown, currentConfig, currentUser, localMachineSam, localMachineSamSoftware, localMachineSystem, usersDefault.

La clé de Registre actuelle (c’est-à-dire modifiée) (exclut HIVE).

Nom de la valeur de clé de Registre actuelle (autrement dit modifiée).

Données de valeur de clé de Registre actuelles (autrement dit modifiées) (contenu).

La clé de Registre précédente (c’est-à-dire avant la modification) (exclut HIVE).

Nom de la valeur de clé de Registre précédente (c’est-à-dire avant modification).

Données de valeur de clé de Registre précédentes (c’est-à-dire avant modification).

Informations relatives à la sécurité sur les propriétés spécifiques qui ont déclenché l’alerte (propriétés apparaissant dans l’alerte). Les alertes peuvent contenir des informations sur plusieurs utilisateurs, hôtes, fichiers, adresses IP. Ce champ indique les propriétés qui ont déclenché la génération d’alerte.

Nom de la propriété servant de déclencheur de détection.

Type de l’attribut dans la paire key :value pour l’interprétation, par exemple, String, Boolean, etc.

Valeur de l’attribut servant de déclencheur de détection.

Informations avec état liées à la sécurité générées par le fournisseur sur l’utilisateur connecté ou les utilisateurs liés à cette alerte.

Identificateur d’objet utilisateur Microsoft Entra ID (GUID) : représente l’entité utilisateur physique/multi-compte.

Nom du compte d’utilisateur (sans domaine d’ID Microsoft Entra ou domaine DNS) - (également appelé « mailNickName »).

Domaine NetBIOS/Microsoft Entra ID du compte d’utilisateur (par exemple, domain\account format).

Pour les alertes liées à l’e-mail : rôle de messagerie de compte d’utilisateur.

Indique si l’utilisateur s’est connecté via un VPN.

Heure à laquelle l’ouverture de session s’est produite (UTC).

ID de connexion de l’utilisateur.

Adresse IP à partir de laquelle la demande d’ouverture de session a été orginée.

Emplacement (par mappage d’adresses IP) associé à un événement de connexion utilisateur par cet utilisateur.

Méthode de connexion de l’utilisateur. Les valeurs possibles sont : inconnu, interactif, remoteInteractive, network, batch, service.

MICROSOFT Entra ID (local) Security Identifier (SID) de l’utilisateur.

Score de risque généré/calculé par le fournisseur du compte d’utilisateur.

Type de compte d’utilisateur (appartenance au groupe), par définition Windows. Les valeurs possibles sont : inconnu, standard, power, administrateur.

Nom de connexion utilisateur - Format Internet : <nom> du compte d’utilisateur@<nom> de domaine DNS du compte d’utilisateur.

Informations sur les menaces relatives à une ou plusieurs vulnérabilités liées à cette alerte.

Vulnérabilités et expositions courantes (CVE) pour la vulnérabilité.

Indique si la vulnérabilité détectée (fichier) s’exécutait au moment de la détection ou si le fichier était détecté au repos sur le disque.

Score de gravité du système de notation des vulnérabilités commun de base (CVSS) pour cette vulnérabilité.

Identificateur unique de l’abonnement.

Spécifie la ressource qui sera surveillée pour les modifications.

Identificateur de l’application utilisée pour créer l’abonnement.

Indique le type de modification dans la ressource abonnée qui déclenche une notification.

Spécifie la valeur de la propriété clientState envoyée par le service dans chaque notification. La longueur maximale est de 128 caractères. Le client peut vérifier que la notification provient du service en comparant la valeur de la propriété clientState envoyée avec l’abonnement avec la valeur de la propriété clientState reçue avec chaque notification.

URL du point de terminaison qui recevra les notifications. Cette URL doit utiliser le protocole HTTPS.

Spécifie la date et l’heure à laquelle l’abonnement webhook expire (UTC).

Identificateur de l’utilisateur ou du principal de service qui a créé l’abonnement. Si l’application a utilisé des autorisations déléguées pour créer l’abonnement, ce champ contient l’ID de l’utilisateur connecté de l’application appelée pour le compte de. Si l’application a utilisé des autorisations d’application, ce champ contient l’ID du principal de service correspondant à l’application.

Action à appliquer si l’indicateur est mis en correspondance à partir de l’outil de sécurité targetProduct. Valeurs : (inconnu, autoriser, bloquer, alerter).

Nom(s) du ou des renseignements sur les cybermenaces pour les parties responsables de l’activité malveillante couverte par l’indicateur de menace.

Des données supplémentaires de l’indicateur non couvertes par les autres propriétés tiIndicator peuvent être placées

ID de locataire Microsoft Entra ID de l’envoi du client.

Confiance de la logique de détection (pourcentage compris entre 0 et 100).

Description de TiIndicator (100 charactes ou moins).

Zone du modèle de diamant dans laquelle cet indicateur existe. Valeurs : (inconnu, adversaire, capacité, infrastructure, victime).

Heure à laquelle l’indicateur expire (UTC).

Numéro d’identification qui lie l’indicateur au système du fournisseur d’indicateurs (par exemple, une clé étrangère).

Créé par le système lorsque l’indicateur est ingéré. IDENTIFICATEUR GUID/unique généré.

Heure à laquelle l’indicateur est ingéré (UTC).

Par défaut, tout indicateur envoyé est défini comme actif. Toutefois, les fournisseurs peuvent soumettre des indicateurs existants avec ce paramètre défini sur « False » pour désactiver les indicateurs dans le système.

chaînes qui décrivent le point ou les points sur la chaîne de destruction cible cet indicateur. Valeurs : (Actions, C2, Livraison, Exploitation, Installation, Reconnaissance, Arme).

Scénarios dans lesquels l’indicateur peut provoquer des faux positifs.

La dernière fois que l’indicateur a été vu (UTC).

Nom de famille de programmes malveillants associé à un indicateur s’il existe.

Détermine si l’indicateur doit déclencher un événement visible par un utilisateur final.

Gravité du comportement malveillant identifié par les données dans l’indicateur. Les valeurs sont comprises entre 0 et 5 et 5 étant les plus graves. La valeur par défaut est 3.

Produit de sécurité unique auquel l’indicateur doit être appliqué. Les valeurs acceptables sont : Azure Sentinel, Microsoft Defender ATP.

Chaque indicateur doit avoir un type de menace d’indicateur valide. Les valeurs possibles sont : Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Hameçonnage, Proxy, PUA, WatchList.

Valeur traffic Light Protocol pour l’indicateur. Les valeurs possibles sont : inconnu, blanc, vert, ambre, rouge.

Type d’encodage de texte utilisé dans l’e-mail.

Langue de l’e-mail.

Adresse de courrier du destinataire.

Adresse e-mail de l’attaquant|victime.

Nom affiché de l’attaquant|victime.

Domaine utilisé dans l’e-mail.

Adresse IP source de l’e-mail.

Ligne d’objet du courrier électronique.

Valeur X-Mailer utilisée dans l’e-mail.

DateTime quand le fichier a été compilé.

DateTime lors de la création du fichier.

Type de hachage stocké dans fileHashValue. Les valeurs possibles sont : unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph.

Valeur de hachage de fichier.

Nom mutex utilisé dans les détections basées sur des fichiers.

Nom du fichier si l’indicateur est basé sur un fichier.

Packer utilisé pour générer le fichier en question.

Chemin d’accès du fichier indiquant la compromission. Il peut s’agir d’un chemin de style Windows ou *nix.

Taille du fichier en octets.

Description textuelle du type de fichier. Par exemple, « Document Word » ou « Binaire ».

Nom de domaine associé à cet indicateur.

Représentation de notation de bloc CIDR du réseau référencé dans cet indicateur.

Identificateur de système autonome de destination du réseau référencé dans l’indicateur.

Représentation ciDR Block notation du réseau de destination dans cet indicateur.

Destination de l’adresse IP IPv4.

Destination d’adresse IP IPv6.

Destination du port TCP.

Adresse IP IPv4.

Adresse IP IPv6.

Port TCP.

Représentation décimale du champ de protocole dans l’en-tête IPv4.

Identificateur de système autonome source du réseau référencé dans l’indicateur.

Représentation de notation de bloc CIDR du réseau source dans cet indicateur.

Source d’adresse IP IPv4.

Source d’adresse IP IPv6.

Source du port TCP.

Localisateur de ressources uniforme.

User-Agent chaîne d’une requête web qui pourrait indiquer une compromission.