Microsoft Graph Security (przestarzałe) [PRZESTARZAŁE]

Zaktualizowano moduły TiIndicator

Liczba zwróconych subcriptions

Zwrócone jednostki subskrypcji

Link umożliwiający uzyskanie następnych wyników w przypadku, gdy istnieje więcej wyników niż zażądano

Liczba zwróconych alertów

Zwrócone alerty

Link umożliwiający uzyskanie następnych wyników w przypadku, gdy istnieje więcej wyników niż zażądano

Liczba zwróconych elementów TiIndicator

Zwrócony moduł TiIndicator

Link umożliwiający uzyskanie następnych wyników w przypadku, gdy istnieje więcej wyników niż zażądano

Przesłane tiindykatory

Kod wyniku

Komunikat

Kod podrzędny wyniku

Kod wyniku

Komunikat

Kod podrzędny wyniku

Liczba zwróconych alertów

Zwrócone alerty

Link umożliwiający uzyskanie następnych wyników w przypadku, gdy istnieje więcej wyników niż zażądano

Liczba zwróconych alertów

Zwrócone alerty

Link umożliwiający uzyskanie następnych wyników w przypadku, gdy istnieje więcej wyników niż zażądano

Identyfikator subskrypcji platformy Azure, jeśli ten alert jest powiązany z zasobem platformy Azure.

Etykiety z możliwością definiowania użytkownika, które można zastosować do alertu i mogą służyć jako warunki filtrowania (np. "HVA", "SAW" itp.).

Identyfikator GUID/unikatowy identyfikator wygenerowany przez dostawcę.

Identyfikator dzierżawy identyfikatora entra firmy Microsoft.

Nazwa lub alias grupy działań (osoba atakująca) przypisany do tego alertu.

Nazwa analityka, do której jest przypisany alert do klasyfikacji, badania lub korygowania.

Kategoria alertu (np. credentialTheft, ransomware itp.).

Godzina zamknięcia alertu (UTC).

Komentarze udostępniane przez klienta dotyczące alertu (w przypadku zarządzania alertami klientów).

Pewność logiki wykrywania (wartość procentowa z zakresu od 1 do 100).

Godzina utworzenia alertu (UTC).

Opis alertu.

Zestaw alertów związanych z tą jednostką alertu.

Czas, w którym zdarzenia, które służyły jako wyzwalacze w celu wygenerowania alertu( UTC).

Opinie analityków dotyczące alertu. Możliwe wartości to: unknown, truePositive, falsePositive, benignPositive.

Godzina ostatniej modyfikacji jednostki alertu (UTC).

Dostawca/dostawca zalecił akcję/s w wyniku alertu (np. izolować maszynę, wymuszać2FA, reimage hosta itp.).

Ważność alertu — ustawiana przez dostawcę/dostawcę. Wartości: (wysoki, średni, niski, informacyjny), w którym "informational" wywnioskuje, że alert nie może działać.

Hiperłącza (URI) do materiału źródłowego powiązanego z alertem, np. interfejs użytkownika badania dostawcy itp.

Stan cyklu życia alertu (etap). Wartości: (nieznane, newAlert, inProgress, rozwiązane).

Tytuł alertu.

Określony dostawca (produkt/usługa — nie firma dostawcy); na przykład WindowsDefenderATP.

Wersja dostawcy lub dostawcy podrzędnego.

Określony subprovider (w ramach dostawcy agregacji); na przykład WindowsDefenderATP.SmartScreen.

Nazwa dostawcy alertu (na przykład Microsoft, Dell, FireEye).

Informacje stanowe związane z zabezpieczeniami generowane przez dostawcę dotyczące aplikacji w chmurze/s powiązane z tym alertem.

Docelowy adres IP połączenia z aplikacją/usługą w chmurze.

Docelowa nazwa aplikacji/usługi w chmurze.

Wygenerowany przez dostawcę/obliczony wynik ryzyka dla aplikacji/usługi w chmurze.

Informacje stanowe związane z zabezpieczeniami generowane przez dostawcę dotyczące plików związanych z tym alertem.

Nazwa pliku (bez ścieżki).

Pełna ścieżka pliku/pliku imageFile.

Wygenerowany/obliczony wynik ryzyka dostawcy dla pliku alertu.

Typ skrótu pliku. Możliwe wartości to: nieznany, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256.

Wartość skrótu pliku.

Informacje stanowe związane z zabezpieczeniami generowane przez dostawcę dotyczące hostów związanych z tym alertem.

Nazwa FQDN hosta (w pełni kwalifikowana nazwa domeny).

Wartość true, jeśli host jest przyłączony do usług Microsoft Entra ID Domain Services.

Wartość true, jeśli host zarejestrowany w usłudze Microsoft Entra ID Device Registration (np. BYOD) — nie jest w pełni zarządzany przez przedsiębiorstwo.

Wartość true, jeśli host jest przyłączony do lokalnej domeny Microsoft Entra ID.

Nazwa hosta lokalnego bez nazwy domeny DNS.

System operacyjny hosta.

Prywatny (bez routingu) adres IPv4 lub IPv6 w momencie alertu.

Publiczny routing adresu IPv4 lub IPv6 w momencie alertu.

Wygenerowany przez dostawcę/obliczony wynik ryzyka hosta.

Informacje stanowe związane z zabezpieczeniami generowane przez dostawcę dotyczące złośliwego oprogramowania związanego z tym alertem.

Kategoria złośliwego oprogramowania wygenerowanego przez dostawcę (np. trojan, ransomware itp.).

Rodzina złośliwego oprogramowania wygenerowana przez dostawcę (np. "wannacry", "notpetya" itp.).

Nazwa wariantu złośliwego oprogramowania wygenerowanego przez dostawcę (np. Trojan:Win32/Powessere.H).

Określona przez dostawcę ważność tego złośliwego oprogramowania.

Wskazuje, czy wykryty plik (złośliwe oprogramowanie/luka w zabezpieczeniach) był uruchomiony w czasie wykrywania lub czy został wykryty w spoczynku na dysku.

Informacje stanowe związane z zabezpieczeniami generowane przez dostawcę dotyczące plików związanych z tym alertem.

Nazwa aplikacji zarządzającej połączeniem sieciowym (np. Facebook, SMTP itp.).

Docelowy adres IP połączenia sieciowego.

Część docelowego adresu URL domeny docelowej. (na przykład "www.contoso.com").

Port docelowy połączenia sieciowego.

Parametry adresu URL/identyfikatora URI połączenia sieciowego — z wyłączeniem parametrów.

Kierunek połączenia sieciowego. Możliwe wartości to: nieznany, przychodzący, wychodzący.

Data zarejestrowania domeny docelowej (UTC).

Lokalne rozpoznawanie nazw DNS wyświetlane w lokalnej pamięci podręcznej DNS hosta (np. w przypadku, gdy plik "hosts" został naruszony).

Docelowy adres IP tłumaczenia adresów sieciowych.

Port docelowy tłumaczenia adresów sieciowych.

Źródłowy adres IP tłumaczenia adresów sieciowych.

Port źródłowy tłumaczenia adresów sieciowych.

Protokół sieciowy. Możliwe wartości to: nieznany, ip, icmp, igmp, ggp, ipv4, tcp, pup, udp, idp, ipv6, ipv6RoutingHeader, ipv6FragmentHeader, ipSecEncapsulatingSecurityPayload, ipSecAuthenticationHeader, icmpV6, ipv6NextHeader, ipv6DestinationOptions, nd, raw, ipx, spxII.

Wygenerowany/obliczony wskaźnik ryzyka dostawcy połączenia sieciowego.

Źródłowy (tj. źródło) adres IP połączenia sieciowego.

Źródłowy (tj. źródło) port IP połączenia sieciowego.

Stan połączenia sieciowego. Możliwe wartości to: nieznany, podjęto próbę, powodzenie, zablokowano, nie powiodło się.

Parametry (sufiks) docelowego adresu URL jako ciąg.

Informacje stanowe związane z zabezpieczeniami generowane przez dostawcę dotyczące procesu lub procesów związanych z tym alertem.

Identyfikator konta użytkownika (kontekst konta użytkownika, w ramach których został uruchomiony proces), np. AccountName, SID itp.

Pełny wiersz polecenia wywołania procesu, w tym wszystkie parametry.

Data/godzina rozpoczęcia procesu nadrzędnego (UTC).

Poziom integralności procesu. Możliwe wartości to: nieznany, niezaufany, niski, średni, wysoki, system.

Wartość True, jeśli proces jest podwyższony.

Nazwa pliku obrazu procesu.

Godzina rozpoczęcia procesu (UTC).

Identyfikator procesu (PID) procesu nadrzędnego.

Nazwa pliku obrazu procesu nadrzędnego.

Pełna ścieżka, w tym nazwa pliku.

Identyfikator procesu (PID) procesu.

Typ skrótu pliku. Możliwe wartości to: nieznany, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256.

Wartość skrótu pliku.

Informacje stanowe związane z zabezpieczeniami generowane przez dostawcę dotyczące kluczy rejestru związanych z tym alertem.

Identyfikator procesu (PID) procesu, który zmodyfikował klucz rejestru (szczegóły procesu będą wyświetlane w kolekcji "procesy" alertu).

Operacja, która zmieniła nazwę klucza rejestru i/lub wartość (dodawanie, modyfikowanie, usuwanie).

Typ wartości klucza rejestru. Możliwe wartości to: unknown, binary, dword, dwordLittleEndian, dwordBigEndian, expandSz, link, multiSz, none, qword, qword, qwordtleEndian, sz.

Gałąź rejestru systemu Windows. Możliwe wartości to: unknown, currentConfig, currentUser, localMachineSam, localMachineSamSoftware, localMachineSystem, usersDefault.

Bieżący (tj. zmieniony) klucz rejestru (wyklucza hive).

Bieżąca (tj. zmieniona) nazwa wartości klucza rejestru.

Bieżące (tj. zmienione) dane wartości klucza rejestru (zawartość).

Poprzedni (tj. przed zmianą) klucz rejestru (wyklucza hive).

Poprzednia (tj. przed zmianą) nazwa wartości klucza rejestru.

Poprzedni (tj. przed zmianą) dane wartości klucza rejestru (zawartość).

Informacje dotyczące zabezpieczeń dotyczące określonych właściwości, które wyzwoliły alert (właściwości wyświetlane w alercie). Alerty mogą zawierać informacje o wielu użytkownikach, hostach, plikach, adresach IP. To pole wskazuje, które właściwości wyzwoliły generowanie alertu.

Nazwa właściwości obsługującej wyzwalacz wykrywania.

Typ atrybutu w parze key:value dla interpretacji, np. ciąg, wartość logiczna itp.

Wartość atrybutu służącego jako wyzwalacz wykrywania.

Informacje stanowe związane z zabezpieczeniami generowane przez dostawcę dotyczące zalogowanego użytkownika lub użytkowników związanych z tym alertem.

Microsoft Entra ID Identyfikator obiektu użytkownika (GUID) — reprezentuje jednostkę użytkownika fizycznego/wielokontowego.

Nazwa konta użytkownika (bez domeny Microsoft Entra ID lub domeny DNS) — (nazywana również "mailNickName").

NetBIOS/Microsoft Entra ID Domena konta użytkownika (tj. format domeny\konta).

W przypadku alertów związanych z pocztą e-mail — rola poczty e-mail konta użytkownika.

Wskazuje, czy użytkownik zalogował się za pośrednictwem sieci VPN.

Godzina wystąpienia logowania (UTC).

Identyfikator logowania użytkownika.

Adres IP żądania logowania z.

Lokalizacja (według mapowania adresów IP) skojarzona z zdarzeniem logowania użytkownika przez tego użytkownika.

Metoda logowania użytkownika. Możliwe wartości to: nieznany, interaktywny, zdalnyInteractive, sieć, partia, usługa.

Identyfikator zabezpieczeń firmy Microsoft (lokalnie) (SID) użytkownika.

Wygenerowany przez dostawcę/obliczony współczynnik ryzyka dla konta użytkownika.

Typ konta użytkownika (członkostwo w grupie) na definicję systemu Windows. Możliwe wartości to: nieznany, standardowy, zasilania, administrator.

Nazwa logowania użytkownika — format internetowy: <nazwa> konta użytkownika@<nazwa> domeny DNS konta użytkownika.

Analiza zagrożeń dotycząca co najmniej jednej luki w zabezpieczeniach związanych z tym alertem.

Typowe luki w zabezpieczeniach i zagrożenia (CVE) dotyczące luki w zabezpieczeniach.

Wskazuje, czy wykryta luka w zabezpieczeniach (plik) była uruchomiona w momencie wykrycia lub czy plik został wykryty w spoczynku na dysku.

Base Common Vulnerability Scoring System (CVSS) ocena ważności dla tej luki w zabezpieczeniach.

Unikatowy identyfikator subskrypcji.

Określa zasób, który będzie monitorowany pod kątem zmian.

Identyfikator aplikacji użytej do utworzenia subskrypcji.

Wskazuje typ zmiany w subskrybowanym zasobie, który zgłosi powiadomienie.

Określa wartość właściwości clientState wysyłanej przez usługę w każdym powiadomieniu. Maksymalna długość to 128 znaków. Klient może sprawdzić, czy powiadomienie pochodzi z usługi, porównując wartość właściwości clientState wysłanej z subskrypcją z wartością właściwości clientState odebraną z każdym powiadomieniem.

Adres URL punktu końcowego, który będzie otrzymywać powiadomienia. Ten adres URL musi korzystać z protokołu HTTPS.

Określa datę i godzinę wygaśnięcia subskrypcji elementu webhook (UTC).

Identyfikator użytkownika lub jednostki usługi, która utworzyła subskrypcję. Jeśli aplikacja użyła delegowanych uprawnień do utworzenia subskrypcji, to pole zawiera identyfikator zalogowanego użytkownika aplikacji wywoływanej w imieniu użytkownika. Jeśli aplikacja użyła uprawnień aplikacji, to pole zawiera identyfikator jednostki usługi odpowiadającej aplikacji.

Akcja, która ma być stosowana, jeśli wskaźnik jest dopasowany z poziomu narzędzia zabezpieczeń targetProduct. Wartości: (nieznany, zezwalaj, blokuj, alert).

Nazwy analizy zagrożeń cybernetycznych dla stron odpowiedzialnych za złośliwe działania objęte wskaźnikiem zagrożenia.

Dodatkowe dane ze wskaźnika, które nie są objęte innymi właściwościami tiIndicator, można umieścić

Identyfikator dzierżawy microsoft Entra ID przesyłania klienta.

Pewność logiki wykrywania (wartość procentowa z zakresu od 0 do 100).

Opis tiIndicatora (100 znaków lub mniej).

Obszar modelu rombu, w którym istnieje ten wskaźnik. Wartości: (nieznany, przeciwniczy, możliwości, infrastruktura, ofiara).

Godzina wygaśnięcia wskaźnika (UTC).

Numer identyfikacyjny, który łączy wskaźnik z powrotem z systemem dostawcy wskaźnika (np. kluczem obcym).

Utworzony przez system podczas pozyskiwania wskaźnika. Wygenerowany identyfikator GUID/unikatowy identyfikator.

Godzina pozyskiwania wskaźnika (UTC).

Domyślnie każdy przesłany wskaźnik jest ustawiany jako aktywny. Jednak dostawcy mogą przesyłać istniejące wskaźniki z tym zestawem na wartość "Fałsz", aby dezaktywować wskaźniki w systemie.

ciągi opisujące punkt lub punkty w łańcuchu Kill Chain, które są przeznaczone dla tego wskaźnika. Wartości: (Actions, C2, Delivery, Exploitation, Installation, Reconnaissance, Weaponization).

Scenariusze, w których wskaźnik może powodować wyniki fałszywie dodatnie.

Ostatni raz wskaźnik był widoczny (UTC).

Nazwa rodziny złośliwego oprogramowania skojarzona ze wskaźnikiem, jeśli istnieje.

Określa, czy wskaźnik powinien wyzwolić zdarzenie widoczne dla użytkownika końcowego.

Ważność złośliwego zachowania zidentyfikowanego przez dane w ramach wskaźnika. Wartości to od 0 do 5, a 5 jest najcięższe. Wartość domyślna to 3.

Pojedynczy produkt zabezpieczający, do którego należy zastosować wskaźnik. Dopuszczalne wartości to: Azure Sentinel, Microsoft Defender ATP.

Każdy wskaźnik musi mieć prawidłowy typ zagrożenia wskaźnika. Możliwe wartości to: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList.

Wartość protokołu Traffic Light Protocol dla wskaźnika. Możliwe wartości to: nieznany, biały, zielony, bursztynowy, czerwony.

Typ kodowania tekstu używanego w wiadomości e-mail.

Język wiadomości e-mail.

Adres e-mail adresata.

Adres e-mail osoby atakującej|ofiary.

Wyświetlona nazwa osoby atakującej|ofiara.

Domena używana w wiadomości e-mail.

Źródłowy adres IP wiadomości e-mail.

Wiersz tematu wiadomości e-mail.

Wartość X-Mailer używana w wiadomości e-mail.

Data/godzina skompilowania pliku.

Data/godzina utworzenia pliku.

Typ skrótu przechowywanego w plikuHashValue. Możliwe wartości to: nieznany, sha1, sha256, md5, authenticodeHash256, lsHash, ctph.

Wartość skrótu pliku.

Nazwa mutex używana w wykrywaniach opartych na plikach.

Nazwa pliku, jeśli wskaźnik jest oparty na plikach.

Packer używany do kompilowania danego pliku.

Ścieżka pliku wskazującego naruszenie zabezpieczeń. Może to być ścieżka stylu systemu Windows lub *nix.

Rozmiar pliku w bajtach.

Opis tekstowy typu pliku. Na przykład "Dokument programu Word" lub "Plik binarny".

Nazwa domeny skojarzona z tym wskaźnikiem.

CiDR Block notation reprezentacja sieci, do których odwołuje się ten wskaźnik.

Docelowy identyfikator systemu autonomicznego sieci, do którego odwołuje się wskaźnik.

CiDR Block notation reprezentacja sieci docelowej w tym wskaźniku.

Miejsce docelowe adresu IP IPv4.

Miejsce docelowe adresu IP IPv6.

Miejsce docelowe portu TCP.

Adres IP IPv4.

Adres IP IPv6.

Port TCP.

Reprezentacja dziesiętna pola protokołu w nagłówku IPv4.

Źródłowy identyfikator systemu autonomicznego sieci, do których odwołuje się wskaźnik.

CiDR Block notation reprezentacja sieci źródłowej w tym wskaźniku.

Źródło adresu IP IPv4.

Źródło adresu IP IPv6.

Źródło portu TCP.

Lokalizator zasobów jednolitych.

User-Agent ciąg z żądania internetowego, który może wskazywać na naruszenie zabezpieczeń.