JAKIKOLWIEK. RUN Threat Intelligence (wersja zapoznawcza)
Łącznik umożliwia zespołom ds. zabezpieczeń i IT usprawnianie operacji dzięki włączeniu DOWOLNEGO. Funkcje analizy zagrożeń run w ręcznych i zautomatyzowanych przepływach pracy z aplikacjami, takimi jak Defender for Endpoint i Sentinel.
Ten łącznik jest dostępny w następujących produktach i regionach:
| Usługa | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Wszystkie regiony usługi Power Automate z wyjątkiem następujących: - Rząd USA (GCC) - Rząd USA (GCC High) - China Cloud obsługiwane przez firmę 21Vianet - Departament Obrony USA (DoD) |
| Logic Apps | Standard | Wszystkie regiony usługi Logic Apps z wyjątkiem następujących: — Regiony platformy Azure Government — Regiony platformy Azure (Chiny) - Departament Obrony USA (DoD) |
| Power Apps | Premium | Wszystkie regiony usługi Power Apps z wyjątkiem następujących: - Rząd USA (GCC) - Rząd USA (GCC High) - China Cloud obsługiwane przez firmę 21Vianet - Departament Obrony USA (DoD) |
| Power Automate | Premium | Wszystkie regiony usługi Power Automate z wyjątkiem następujących: - Rząd USA (GCC) - Rząd USA (GCC High) - China Cloud obsługiwane przez firmę 21Vianet - Departament Obrony USA (DoD) |
| Kontakt | |
|---|---|
| Name | JAKIKOLWIEK. BIEGAĆ |
| adres URL | https://app.any.run/contact-us |
| support@any.run |
| Metadane łącznika | |
|---|---|
| Publisher | ANYRUN FZCO |
| JAKIKOLWIEK. Dokumentacja interfejsu API RUN | https://docs.microsoft.com/connectors/anyrunthreatintellig |
| Witryna internetowa | https://any.run |
| Zasady ochrony prywatności | https://any.run/privacy.pdf |
| Kategorie | Zabezpieczenia;operacje IT |
JAKIKOLWIEK. RUN Threat Intelligence Connector
Łącznik umożliwia zespołom ds. zabezpieczeń i IT usprawnianie operacji dzięki włączeniu DOWOLNEGO. Funkcje analizy zagrożeń run w ręcznych i zautomatyzowanych przepływach pracy z aplikacjami, takimi jak Defender for Endpoint i Sentinel.
Wymagania wstępne
Aby użyć tego łącznika, musisz mieć dowolny. Konto RUN, klucz interfejsu API i subskrypcja wyszukiwania TI.
Dokumentacja interfejsu API
https://any.run/api-documentation/
Instrukcje dotyczące wdrażania
Skorzystaj z tych instrukcji , aby wdrożyć ten łącznik jako łącznik niestandardowy w usługach Microsoft Power Automate i Power Apps.
Obsługiwane operacje
Łącznik obsługuje następujące operacje:
-
Get threat intelligence data from ANY.RUN Threat Intelligence service: wykonuje akcje śledcze w dowolnym miejscu. RUN Threat Intelligence Service
Tworzenie połączenia
Łącznik obsługuje następujące typy uwierzytelniania:
| Wartość domyślna | Parametry tworzenia połączenia. | Wszystkie regiony | Nie można udostępniać |
Domyślny
Dotyczy: wszystkie regiony
Parametry tworzenia połączenia.
Nie jest to możliwe do udostępnienia połączenie. Jeśli aplikacja power zostanie udostępniona innemu użytkownikowi, zostanie wyświetlony monit o jawne utworzenie nowego połączenia.
| Name | Typ | Description | Wymagane |
|---|---|---|---|
| API-Key | securestring | Klucz interfejsu API dla tego interfejsu API (format: klucz> API-Key<) | Prawda |
Limity ograniczania
| Nazwa | Wywołania | Okres odnowienia |
|---|---|---|
| Wywołania interfejsu API na połączenie | 100 | 60 sekund |
Akcje
| Pobieranie danych analizy zagrożeń z dowolnego. RUN Threat Intelligence Service |
Wykonuje działania śledcze w dowolnym miejscu. URUCHOM usługę Analizy zagrożeń. |
Pobieranie danych analizy zagrożeń z dowolnego. RUN Threat Intelligence Service
Wykonuje działania śledcze w dowolnym miejscu. URUCHOM usługę Analizy zagrożeń.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
kwerenda
|
query | True | string |
Określ zapytanie wyszukiwania. W celu uzyskania bardziej szczegółowych wyników można połączyć kilka zapytań z operatorem AND. |
|
startDate
|
startDate | string |
Określ datę rozpoczęcia żądanego okresu wyszukiwania. Musi być w formacie RRRR-MM-DD. |
|
|
data zakończenia
|
endDate | string |
Określ datę zakończenia żądanego okresu wyszukiwania. Musi być w formacie RRRR-MM-DD. |
Zwraca
- Body
- ResponseApiDto
Definicje
ResponseApiDto
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
portport docelowy
|
destinationPort | array of integer |
Numery portów docelowych. |
|
destinationIPgeo
|
destinationIPgeo | array of string |
Lokalizacja geograficzna docelowego adresu IP (kraje). |
|
destinationIpAsn
|
destinationIpAsn | array of object |
Docelowy numer ASN adresu IP (numer systemu autonomicznego). |
|
Asn
|
destinationIpAsn.asn | string |
Docelowy adres IP ASN. |
|
date
|
destinationIpAsn.date | date-time |
Docelowa data asn adresu IP. |
|
relatedTasks
|
relatedTasks | array of string |
Linki do powiązanych zadań w dowolnym. URUCHOM piaskownicę. |
|
threatName
|
threatName | array of string |
Nazwy zagrożeń. |
|
threatLevel
|
summary.threatLevel | integer | |
|
lastSeen
|
summary.lastSeen | date-time | |
|
detectedType
|
summary.detectedType | string | |
|
isTrial
|
summary.isTrial | boolean | |
|
relatedIncidents
|
relatedIncidents | array of RelatedIncidentApiDto |
Powiązane zdarzenia. |
|
destinationIP
|
destinationIP | array of DestinationIpApiDto |
Docelowe adresy IP. |
|
relatedFiles
|
relatedFiles | array of RelatedFileApiDto |
Powiązane dane plików. |
|
relatedDNS
|
relatedDNS | array of RelatedDnsApiDto |
Powiązany system DNS. |
|
relatedURLs
|
relatedURLs | array of RelatedUrlApiDto |
Powiązane adresy URL. |
|
sourceTasks
|
sourceTasks | array of SourceTaskApiDto |
Informacje o zadaniach źródłowych. |
|
relatedSynchronizationObjects
|
relatedSynchronizationObjects | array of RelatedSynchronizationObjectsApiDto |
Powiązane dane obiektów synchronizacji. |
|
relatedNetworkThreats
|
relatedNetworkThreats | array of RelatedNetworkThreatApiDto |
Powiązane dane zagrożeń sieciowych. |
RelatedIncidentApiDto
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
zadanie
|
task | string |
Połącz z zadaniem w dowolnym. URUCHOM piaskownicę. |
|
time
|
time | date-time |
Czas tworzenia. |
|
MITRA
|
MITRE | array of string |
Tablica technik macierzy MITRE identyfikatory identyfikatorów technik podrzędnych. |
|
threatName
|
threatName | array of string |
Nazwy zagrożeń. |
|
wydarzenie
|
event | EventApiDto | |
|
proces
|
process | ProcessApiDto |
EventApiDto
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
nazwaReguły
|
ruleName | string |
Nazwa reguły. |
|
commandLine
|
commandLine | string |
Ciąg wiersza polecenia. |
|
imagePath (ścieżka obrazu)
|
imagePath | string |
Ciąg ścieżki obrazu. |
|
Pid
|
pid | integer |
Identyfikator procesu. |
|
title
|
title | array of string |
Tytuł typu zdarzenia. |
|
portport docelowy
|
destinationPort | array of string |
Numery portów docelowych. |
|
destinationIP
|
destinationIP | string |
Docelowy adres IP. |
|
destinationIPgeo
|
destinationIPgeo | array of string |
Lokalizacja geograficzna docelowego adresu IP (kraje). |
|
destinationIpAsn
|
destinationIpAsn | array of string |
Docelowy numer ASN adresu IP (numer systemu autonomicznego). |
|
URL
|
url | string |
Adres URL. |
|
fileName
|
fileName | string |
Nazwa pliku. |
|
registryKey
|
registryKey | string |
Klucz rejestru. |
|
registryName
|
registryName | array of string |
Nazwa rejestru. |
|
registryValue
|
registryValue | array of string |
Wartość rejestru. |
|
moduleImagePath
|
moduleImagePath | string |
Ścieżka obrazu modułu. |
|
iniekcjiFlag
|
injectedFlag | boolean |
Flaga wstrzyknięta. |
|
domainName
|
domainName | array of string |
Nazwa domeny. |
|
httpRequestContentType
|
httpRequestContentType | string |
Zażądaj typu zawartości. |
|
httpRequestContentFile
|
httpRequestContentFile | string |
Zażądaj pliku zawartości. |
|
httpResponseContentType
|
httpResponseContentType | string |
Typ zawartości odpowiedzi. |
|
httpResponseContentFile
|
httpResponseContentFile | string |
Plik zawartości odpowiedzi. |
|
ruleThreatLevel
|
ruleThreatLevel | string |
Poziom zagrożenia reguły. |
|
sha256
|
sha256 | string |
Skrót SHA256. |
ProcessApiDto
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
commandLine
|
commandLine | string |
Ciąg wiersza polecenia. |
|
imagePath (ścieżka obrazu)
|
imagePath | string |
Ciąg ścieżki obrazu. |
|
threatName
|
threatName | string |
Nazwy zagrożeń. |
|
MITRA
|
MITRE | array of string |
Tablica technik macierzy MITRE identyfikatory identyfikatorów technik podrzędnych. |
|
Pid
|
pid | integer |
Identyfikator procesu. |
|
Wyniki
|
scores | ProcessScoresDto |
Wyniki procesów. |
|
eventsCounters
|
eventsCounters | EventsCountersDto |
Liczniki zdarzeń. |
|
threatLevel
|
threatLevel | integer |
Poziom zagrożenia. |
ProcessScoresDto
Wyniki procesów.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Specyfikacje
|
specs | ProcessScoresSpecsDto |
Specyfikacje oceny procesów. |
ProcessScoresSpecsDto
Specyfikacje oceny procesów.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
known_threat
|
known_threat | boolean |
Wskazuje, czy jest to znane zagrożenie. |
|
network_loader
|
network_loader | boolean |
Wskazuje, czy pobieranie sieci zostało wykryte. |
|
sieć
|
network | boolean |
Wskazuje, czy włączono aktywność sieciową. |
|
uac_request
|
uac_request | boolean |
Wskazuje, czy wykryto żądanie kontroli dostępu użytkownika (UAC). |
|
Wstrzykuje
|
injects | boolean |
Wskazuje, czy zagrożenie używa iniekcji. |
|
service_luncher
|
service_luncher | boolean |
Wskazuje, czy wykryto nową rejestrację usługi. |
|
executable_dropped
|
executable_dropped | boolean |
Wskazuje, czy zagrożenie używa porzuconych plików wykonywalnych. |
|
przetwarzanie wieloprocesorowe
|
multiprocessing | boolean |
Wskazuje, czy zagrożenie używa przetwarzania wieloprocesowego. |
|
crashed_apps
|
crashed_apps | boolean |
Wskazuje, czy aplikacja uległa awarii. |
|
debug_output
|
debug_output | boolean |
Wskazuje, czy aplikacja ma komunikat wyjściowy debugowania. |
|
Kradzież
|
stealing | boolean |
Wskazuje, czy proces kradnie informacje z zainfekowanej maszyny. |
|
możliwe do wykorzystania
|
exploitable | boolean |
Wskazuje, czy wykryto jakiekolwiek znane luki w zabezpieczeniach. |
|
static_detections
|
static_detections | boolean |
Wskazuje, czy jakikolwiek złośliwy wzorzec został wykryty przez aparat analizy statycznej. |
|
susp_struct
|
susp_struct | boolean |
Jest strukturą susp. |
|
autostart
|
autostart | boolean |
Wskazuje, czy aplikacja została dodana do autostartu. |
|
low_access
|
low_access | boolean |
Wskazuje, czy zagrożenie korzysta z dostępu niskiego poziomu. |
|
Tor
|
tor | boolean |
Wskazuje, czy użyto usługi TOR. |
|
spam
|
spam | boolean |
Wskazuje, czy spam został wykryty. |
|
malware_config
|
malware_config | boolean |
Wskazuje, czy konfiguracja złośliwego oprogramowania została wyodrębniona z przesłanego pliku. |
|
process_dump
|
process_dump | boolean |
Wskazuje, czy można wyodrębnić zrzut pamięci procesu. |
ZdarzeniaCountersDto
Liczniki zdarzeń.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
surowy
|
raw | EventsCountersRawDto |
Zdarzenia są licznikami nieprzetworzonymi. |
ZdarzeniaCountersRawDto
Zdarzenia są licznikami nieprzetworzonymi.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
rejestr
|
registry | integer |
Liczba lub zdarzenia rejestru. |
|
files
|
files | integer |
Liczba lub pliki. |
|
modules
|
modules | integer |
Liczba lub moduły. |
|
Obiektów
|
objects | integer |
Liczba lub obiekty. |
|
Rpc
|
rpc | integer |
Liczba lub RPC. |
DestinationIpApiDto
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
destinationIP
|
destinationIP | string |
Docelowy adres IP. |
|
date
|
date | date-time |
Data utworzenia. |
|
threatLevel
|
threatLevel | integer |
Poziom zagrożenia. |
|
threatName
|
threatName | array of string |
Nazwy zagrożeń. |
|
isMalconf
|
isMalconf | boolean |
Wskazuje, czy MKOl został wyodrębniony z konfiguracji złośliwego oprogramowania. |
RelatedFileApiDto
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
zadanie
|
task | string |
Połącz z zadaniem w dowolnym. URUCHOM piaskownicę. |
|
title
|
title | string |
Tytuł typu zdarzenia. |
|
fileLink
|
fileLink | string |
Połącz z plikami odpowiedzi HTTP. |
|
time
|
time | date-time |
Data utworzenia. |
|
fileName
|
fileName | string |
Nazwa pliku. |
|
fileExt
|
fileExt | string |
Formatem. |
|
proces
|
process | ProcessApiDto | |
|
Mieszania
|
hashes | HashesApiDto |
RelatedDnsApiDto
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
domainName
|
domainName | string |
Nazwa domeny. |
|
threatName
|
threatName | array of string |
Nazwa zagrożenia. |
|
threatLevel
|
threatLevel | integer |
Poziom zagrożenia. |
|
date
|
date | date-time |
Data utworzenia. |
|
isMalconf
|
isMalconf | boolean |
Wskazuje, czy MKOl został wyodrębniony z konfiguracji złośliwego oprogramowania. |
RelatedUrlApiDto
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
URL
|
url | string |
Adres URL. |
|
date
|
date | date-time |
Data utworzenia. |
|
threatLevel
|
threatLevel | integer |
Poziom zagrożenia. |
|
threatName
|
threatName | array of string |
Nazwy zagrożeń. |
|
isMalconf
|
isMalconf | boolean |
Wskazuje, czy MKOl został wyodrębniony z konfiguracji złośliwego oprogramowania. |
SourceTaskApiDto
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
UUID (Uniwersalnie Unikalny Identyfikator)
|
uuid | string |
Identyfikator UUID zadania. |
|
Powiązane
|
related | string |
Połącz z zadaniem w dowolnym. URUCHOM piaskownicę. |
|
date
|
date | date-time |
Czas tworzenia zadania. |
|
threatLevel
|
threatLevel | integer |
Poziom zagrożenia. |
|
tags
|
tags | array of string |
Tagi. |
|
mainObject
|
mainObject | MainObjectApiDto |
Informacje o obiekcie głównym. |
MainObjectApiDto
Informacje o obiekcie głównym.
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
typ
|
type | string |
Typ. |
|
nazwa
|
name | string |
Nazwa. |
|
Mieszania
|
hashes | HashesApiDto |
RelatedSynchronizationObjectsApiDto
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
syncObjectTime
|
syncObjectTime | date-time |
Godzina. |
|
syncObjectType
|
syncObjectType | string |
Typ. |
|
syncObjectOperation
|
syncObjectOperation | string |
Operacja. |
|
syncObjectName
|
syncObjectName | string |
Nazwa. |
|
zadanie
|
task | string |
Łącze zadania. |
|
proces
|
process | ProcessApiDto |
RelatedNetworkThreatApiDto
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
suricataClass
|
suricataClass | string |
Suricata, klasa. |
|
imagePath (ścieżka obrazu)
|
imagePath | string |
Ścieżka obrazu. |
|
suricataID
|
suricataID | string |
SID. |
|
suricataMessage
|
suricataMessage | string |
Wiadomość Suricata. |
|
tags
|
tags | array of string |
Tagi. |
|
MITRA
|
MITRE | array of string |
Tablica technik macierzy MITRE identyfikatory identyfikatorów technik podrzędnych. |
|
suricataThreatLevel
|
suricataThreatLevel | string |
Poziom zagrożenia Suricata. |
|
zadanie
|
task | string |
Łącze zadania. |
HashesApiDto
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
md5
|
md5 | string |
Ciąg skrótu MD5. |
|
sha1
|
sha1 | string |
Ciąg skrótu SHA1. |
|
sha256
|
sha256 | string |
Ciąg skrótu SHA256. |
|
ssdeep
|
ssdeep | string |
Ciąg skrótu ssdeep. |