Delen via

ENIG. RUN Threat Intelligence (preview)

Met de connector kunnen beveiligings- en IT-teams hun activiteiten stroomlijnen door ANY op te nemen . De mogelijkheden van RUNvoor bedreigingsinformatie in zowel handmatige als geautomatiseerde werkstromen met toepassingen zoals Defender voor Eindpunt en Sentinel.

Deze connector is beschikbaar in de volgende producten en regio's:

Dienst Class Regions
Copilot Studio Premium Alle Power Automate-regio's , met uitzondering van het volgende:
     - Amerikaanse overheid (GCC)
     - Amerikaanse overheid (GCC High)
     - China Cloud beheerd door 21Vianet
     - Us Department of Defense (DoD)
Logic-apps Standaard Alle Logic Apps-regio's , met uitzondering van het volgende:
     - Azure Government-regio's
     - Azure China-regio's
     - Us Department of Defense (DoD)
Power Apps Premium Alle Power Apps-regio's , met uitzondering van het volgende:
     - Amerikaanse overheid (GCC)
     - Amerikaanse overheid (GCC High)
     - China Cloud beheerd door 21Vianet
     - Us Department of Defense (DoD)
Power Automate Premium Alle Power Automate-regio's , met uitzondering van het volgende:
     - Amerikaanse overheid (GCC)
     - Amerikaanse overheid (GCC High)
     - China Cloud beheerd door 21Vianet
     - Us Department of Defense (DoD)
Contactpersoon
Naam ENIG. RENNEN
URL https://app.any.run/contact-us
E-mailen support@any.run
Connectormetagegevens
Uitgever ANYRUN FZCO
ENIG. DOCUMENTATIE VOOR RUN-API https://docs.microsoft.com/connectors/anyrunthreatintellig
Webpagina https://any.run
Privacybeleid https://any.run/privacy.pdf
Categorieën Beveiliging;IT-bewerkingen

ENIG. RUN Threat Intelligence-connector

Met de connector kunnen beveiligings- en IT-teams hun activiteiten stroomlijnen door ANY op te nemen . De mogelijkheden van RUNvoor bedreigingsinformatie in zowel handmatige als geautomatiseerde werkstromen met toepassingen zoals Defender voor Eindpunt en Sentinel.

Vereiste voorwaarden

Als u deze connector wilt gebruiken, moet u een ANY hebben. RUN-account, een API-sleutel en een TI Lookup-abonnement.

API-documentatie

https://any.run/api-documentation/

Implementatie-instructies

Gebruik deze instructies om deze connector te implementeren als aangepaste connector in Microsoft Power Automate en Power Apps.

Ondersteunde bewerkingen

De connector ondersteunt de volgende bewerkingen:

  • Get threat intelligence data from ANY.RUN Threat Intelligence service: voert onderzoeksacties uit in ANY. RUN Threat Intelligence-service

Een verbinding maken

De connector ondersteunt de volgende verificatietypen:
standaard Parameters voor het maken van verbinding. Alle regio's Niet deelbaar

Verstek

Van toepassing: Alle regio's

Parameters voor het maken van verbinding.

Dit is geen deelbare verbinding. Als de power-app wordt gedeeld met een andere gebruiker, wordt een andere gebruiker gevraagd om expliciet een nieuwe verbinding te maken.

Naam Typologie Description Verplicht
API-Key beveiligde string De API-sleutel voor deze API (indeling: API-Key <sleutel>) Klopt

Beperkingslimieten

Name Aanroepen Verlengingsperiode
API-aanroepen per verbinding 100 60 seconden

Acties

Gegevens over bedreigingsinformatie ophalen van ANY. RUN Threat Intelligence-service

Voert onderzoeksacties uit in ANY. RUN Threat Intelligence-service.

Gegevens over bedreigingsinformatie ophalen van ANY. RUN Threat Intelligence-service

Bewerkings-id:
GetIntelligence

Voert onderzoeksacties uit in ANY. RUN Threat Intelligence-service.

Parameters

Name Sleutel Vereist Type Description
query
 query True string

Geef uw zoekquery op. Verschillende query's kunnen worden gecombineerd met de AND-operator voor specifiekere resultaten.
startDate
 startDate string

Geef de begindatum van de gewenste zoekperiode op. Moet de indeling JJJJ hebbenMM-DD.
einddatum
 endDate string

Geef de einddatum van de gewenste zoekperiode op. Moet de indeling JJJJ hebbenMM-DD.

Retouren

Body
ResponseApiDto

Definities

ResponseApiDto

Name Pad Type Description
bestemmingHaven
 destinationPort array of integer

Nummers van doelpoorten.
destinationIPgeo
 destinationIPgeo array of string

Doel-IP Geo (landen).
destinationIpAsn
 destinationIpAsn array of object

DOEL-IP-ASN (autonoom systeemnummer).
ASN
 destinationIpAsn.asn string

DOEL-IP-ASN.
date
 destinationIpAsn.date date-time

Doel-IP ASN-datum.
relatedTasks
 relatedTasks array of string

Koppelingen naar gerelateerde taken in ANY. VOER de sandbox uit.
threatName
 threatName array of string

Bedreigingsnamen.
threatLevel
 summary.threatLevel integer
lastSeen
 summary.lastSeen date-time
detectedType
 summary.detectedType string
isTrial
 summary.isTrial boolean
relatedIncidents
 relatedIncidents array of RelatedIncidentApiDto

Gerelateerde incidenten.
destinationIP
 destinationIP array of DestinationIpApiDto

Doel-IP-adressen.
relatedFiles
 relatedFiles array of RelatedFileApiDto

Gerelateerde bestandengegevens.
relatedDNS
 relatedDNS array of RelatedDnsApiDto

Gerelateerde DNS.
relatedURLs
 relatedURLs array of RelatedUrlApiDto

Verwante URL's.
sourceTasks
 sourceTasks array of SourceTaskApiDto

Informatie over brontaken.
relatedSynchronizationObjects
 relatedSynchronizationObjects array of RelatedSynchronizationObjectsApiDto

Gerelateerde synchronisatieobjecten gegevens.
relatedNetworkThreats
 relatedNetworkThreats array of RelatedNetworkThreatApiDto

Gerelateerde gegevens over netwerkbedreigingen.

RelatedIncidentApiDto

Name Pad Type Description
taak
 task string

Maak een koppeling naar de taak in ANY. VOER de sandbox uit.
time
 time date-time

Aanmaaktijd.
MIJTER
 MITRE array of string

Matrix van MITRE-matrixtechnieken id's ans subtechnieken id's.
threatName
 threatName array of string

Bedreigingsnamen.
gebeurtenis
 event EventApiDto
proces
 process ProcessApiDto

EventApiDto

Name Pad Type Description
regelNaam
 ruleName string

Regelnaam.
commandLine
 commandLine string

Opdrachtregelreeks.
imagePath
 imagePath string

Tekenreeks voor afbeeldingspad.
Pid
 pid integer

Proces-id.
title
 title array of string

Titel van gebeurtenistype.
bestemmingHaven
 destinationPort array of string

Nummers van doelpoorten.
destinationIP
 destinationIP string

Doel-IP-adres.
destinationIPgeo
 destinationIPgeo array of string

Doel-IP Geo (landen).
destinationIpAsn
 destinationIpAsn array of string

DOEL-IP-ASN (autonoom systeemnummer).
url
 url string

URL.
fileName
 fileName string

Bestandsnaam.
registryKey
 registryKey string

Registersleutel.
registryName
 registryName array of string

Registernaam.
registryValue
 registryValue array of string

Registerwaarde.
moduleImagePath
 moduleImagePath string

Pad naar module-installatiekopieën.
geïnjecteerdEFlag
 injectedFlag boolean

Geïnjecteerde vlag.
domainName
 domainName array of string

Domeinnaam.
httpRequestContentType
 httpRequestContentType string

Inhoudstype aanvragen.
httpRequestContentFile
 httpRequestContentFile string

Inhoudsbestand aanvragen.
httpResponseContentType
 httpResponseContentType string

Antwoordinhoudstype.
httpResponseContentFile
 httpResponseContentFile string

Antwoordinhoudsbestand.
ruleThreatLevel
 ruleThreatLevel string

Bedreigingsniveau van regel.
sha256
 sha256 string

SHA256-hash.

ProcessApiDto

Name Pad Type Description
commandLine
 commandLine string

Opdrachtregelreeks.
imagePath
 imagePath string

Tekenreeks voor afbeeldingspad.
threatName
 threatName string

Bedreigingsnamen.
MIJTER
 MITRE array of string

Matrix van MITRE-matrixtechnieken id's ans subtechnieken id's.
Pid
 pid integer

Proces-id.
Scores
 scores ProcessScoresDto

Scores verwerken.
eventsCounters
 eventsCounters EventsCountersDto

Gebeurtenissentellers.
threatLevel
 threatLevel integer

Bedreigingsniveau.

ProcessScoresDto

Scores verwerken.

Name Pad Type Description
Specs
 specs ProcessScoresSpecsDto

Specificaties van processcores.

ProcessScoresSpecsDto

Specificaties van processcores.

Name Pad Type Description
known_threat
 known_threat boolean

Geeft aan of het een bekende bedreiging is.
network_loader
 network_loader boolean

Geeft aan of het downloaden van het netwerk is gedetecteerd.
netwerk
 network boolean

Geeft aan of netwerkactiviteit is ingeschakeld.
uac_request
 uac_request boolean

Geeft aan of de UAC-aanvraag (User Access Control) is gedetecteerd.
Injecteert
 injects boolean

Geeft aan of bedreiging injecties gebruikt.
service_luncher
 service_luncher boolean

Geeft aan of er een nieuwe serviceregistratie is gedetecteerd.
executable_dropped
 executable_dropped boolean

Geeft aan of bedreiging verwijderde uitvoerbare bestanden gebruikt.
Multiprocessing
 multiprocessing boolean

Geeft aan of bedreiging gebruikmaakt van multiprocessing.
crashed_apps
 crashed_apps boolean

Geeft aan of de toepassing is vastgelopen.
debug_output
 debug_output boolean

Geeft aan of de toepassing een uitvoerbericht voor foutopsporing heeft.
stelen
 stealing boolean

Geeft aan of het proces informatie steelt van geïnfecteerde machine.
exploiteerbaar
 exploitable boolean

Geeft aan of er een bekende exploit is gedetecteerd.
static_detections
 static_detections boolean

Geeft aan of een schadelijk patroon is gedetecteerd door de statische analyse-engine.
susp_struct
 susp_struct boolean

Is susp struct.
autostart
 autostart boolean

Geeft aan of de toepassing is toegevoegd aan autostart.
low_access
 low_access boolean

Geeft aan of bedreiging gebruikmaakt van toegang op laag niveau.
Tor
 tor boolean

Geeft aan of TOR is gebruikt.
spam
 spam boolean

Geeft aan of spam is gedetecteerd.
malware_config
 malware_config boolean

Geeft aan of de malwareconfiguratie is geëxtraheerd uit het ingediende bestand.
process_dump
 process_dump boolean

Geeft aan of de geheugendump van het proces kan worden geëxtraheerd.

EventsCountersDto

Gebeurtenissentellers.

Name Pad Type Description
rauw
 raw EventsCountersRawDto

Gebeurtenissenitems zijn onbewerkt.

EventsCountersRawDto

Gebeurtenissenitems zijn onbewerkt.

Name Pad Type Description
registry
 registry integer

Nummer- of register-gebeurtenissen.
files
 files integer

Nummer of bestanden.
modules
 modules integer

Getal of modules.
Objecten
 objects integer

Getal of objecten.
Rpc
 rpc integer

Aantal of RPC's.

DestinationIpApiDto

Name Pad Type Description
destinationIP
 destinationIP string

Doel-IP-adres.
date
 date date-time

Datum van aanmaak.
threatLevel
 threatLevel integer

Bedreigingsniveau.
threatName
 threatName array of string

Bedreigingsnamen.
isMalconf
 isMalconf boolean

Geeft aan of de IOC is geëxtraheerd uit de configuratie van malware.

RelatedFileApiDto

Name Pad Type Description
taak
 task string

Maak een koppeling naar de taak in ANY. VOER de sandbox uit.
title
 title string

Titel van gebeurtenistype.
fileLink
 fileLink string

Maak een koppeling naar de HTTP-antwoordbestanden.
time
 time date-time

Datum van aanmaak.
fileName
 fileName string

Bestandsnaam.
fileExt
 fileExt string

Bestandsextensie.
proces
 process ProcessApiDto
Hashes
 hashes HashesApiDto

RelatedDnsApiDto

Name Pad Type Description
domainName
 domainName string

Domeinnaam.
threatName
 threatName array of string

Bedreigingsnaam.
threatLevel
 threatLevel integer

Bedreigingsniveau.
date
 date date-time

Datum van aanmaak.
isMalconf
 isMalconf boolean

Geeft aan of de IOC is geëxtraheerd uit de configuratie van malware.

RelatedUrlApiDto

Name Pad Type Description
url
 url string

URL.
date
 date date-time

Datum van aanmaak.
threatLevel
 threatLevel integer

Bedreigingsniveau.
threatName
 threatName array of string

Bedreigingsnamen.
isMalconf
 isMalconf boolean

Geeft aan of de IOC is geëxtraheerd uit de configuratie van malware.

SourceTaskApiDto

Name Pad Type Description
UUID (Universally Unique Identifier)
 uuid string

Taak-UUID.
aanverwant
 related string

Maak een koppeling naar de taak in ANY. VOER de sandbox uit.
date
 date date-time

Tijd voor het maken van taken.
threatLevel
 threatLevel integer

Bedreigingsniveau.
tags
 tags array of string

Tags.
mainObject
 mainObject MainObjectApiDto

Hoofdobjectgegevens.

MainObjectApiDto

Hoofdobjectgegevens.

Name Pad Type Description
type
 type string

Type
naam
 name string

Naam
Hashes
 hashes HashesApiDto

RelatedSynchronizationObjectsApiDto

Name Pad Type Description
syncObjectTime
 syncObjectTime date-time

Tijd.
syncObjectType
 syncObjectType string

Type
syncObjectOperation
 syncObjectOperation string

Operatie.
syncObjectName
 syncObjectName string

Naam
taak
 task string

Taakkoppeling.
proces
 process ProcessApiDto

RelatedNetworkThreatApiDto

Name Pad Type Description
suricataClass
 suricataClass string

Suricata-klasse.
imagePath
 imagePath string

Pad naar afbeelding.
suricataID
 suricataID string

SID.
suricataMessage
 suricataMessage string

Suricata-bericht.
tags
 tags array of string

Tags.
MIJTER
 MITRE array of string

Matrix van MITRE-matrixtechnieken id's ans subtechnieken id's.
suricataThreatLevel
 suricataThreatLevel string

Bedreigingsniveau van Suricata.
taak
 task string

Taakkoppeling.

HashesApiDto

Name Pad Type Description
md5
 md5 string

MD5-hashtekenreeks.
sha1
 sha1 string

SHA1-hashtekenreeks.
sha256
 sha256 string

SHA256-hashtekenreeks.
ssdeep
 ssdeep string

Ssdeep-hashtekenreeks.