Zarejestrowano przyszłość w wersji 2
Zarejestrowany łącznik Future Connector umożliwia dostęp do zarejestrowanej analizy w przyszłości. Łącznik ma dedykowane akcje umożliwiające ściąganie zarejestrowanych wskaźników w przyszłości (IP, domena, adres URL, skrót) i skojarzony kontekst (ocena ryzyka, reguły ryzyka, link karty analizy i linki oparte na dowodach wysokiego zaufania), luki w zabezpieczeniach, zarejestrowane przyszłe alerty i umożliwiają dostęp do zarejestrowanego przyszłego interfejsu API SOAR i plików fusion
Ten łącznik jest dostępny w następujących produktach i regionach:
| Usługa | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Wszystkie regiony usługi Power Automate |
| Logic Apps | Standard | Wszystkie regiony usługi Logic Apps |
| Power Apps | Premium | Wszystkie regiony usługi Power Apps |
| Power Automate | Premium | Wszystkie regiony usługi Power Automate |
| Kontakt | |
|---|---|
| Name | Zarejestrowano przyszłe wsparcie |
| adres URL | https://support.recordedfuture.com |
| support@recordedfuture.com |
| Metadane łącznika | |
|---|---|
| Publisher | Zarejestrowana przyszłość |
| Witryna internetowa | https://www.recordedfuture.com |
| Zasady zachowania poufności informacji | https://www.recordedfuture.com/privacy-policy/ |
| Kategorie | AI; Dane |
Zarejestrowano przyszłość w wersji 2
Integracja Recorded Future umożliwia integrację analizy zabezpieczeń w czasie rzeczywistym z popularnymi usługami firmy Microsoft, takimi jak Sentinel, Defender ATP i inne. Dzięki temu nasi klienci mogą zmaksymalizować istniejące inwestycje w zabezpieczenia, zapewniając analizę w czasie rzeczywistym w celu zabezpieczenia swoich środowisk w chmurze i zmniejszenia ryzyka dla organizacji. Łącznik Recorded Future dla platformy Microsoft Azure umożliwia dostęp do dedykowanych akcji ściągnięcia zarejestrowanych przyszłych wskaźników (IP, domeny, adresu URL, skrótu, luk w zabezpieczeniach), skojarzonego kontekstu (ocena ryzyka, reguły ryzyka, linki o wysokim poziomie zaufania i link do karty analizy), zarejestrowane przyszłe alerty, alerty podręczników, mapa zagrożeń, wskaźniki zagrożeń i reguły wykrywania.
Wydawca: zarejestrowana przyszłość
Co nowego?
- Nagrana mapa zagrożeń dla aktora zagrożeń w przyszłości
- Zarejestrowano mapę zagrożeń związanych ze złośliwym oprogramowaniem w przyszłości
- Zarejestrowane wskaźniki zagrożeń dla aktorów w przyszłości
- Zarejestrowane wskaźniki zagrożeń dla złośliwego oprogramowania w przyszłości
Wymagania wstępne
Aby włączyć integrację zarejestrowanej przyszłości platformy Microsoft Azure, użytkownicy muszą być aprowizowani tokenem zarejestrowanego przyszłego interfejsu API. Skontaktuj się z menedżerem kont, aby uzyskać niezbędny token interfejsu API.
Jak uzyskać poświadczenia
Zarejestrowana przyszłość wymaga, aby klucze interfejsu API komunikowały się z naszym interfejsem API. Aby uzyskać klucze interfejsu API: Rozpocznij 30-dniową bezpłatną wersję próbną zarejestrowanej przyszłości dla usługi Microsoft Sentinel lub odwiedź stronę Recorded Future Requesting API Tokens (Wymagaj zarejestrowanego przyszłego logowania) i zażądaj tokenu interfejsu API dla Recorded Future for Microsoft Sentinel lub/i Recorded Future Sandbox for Microsoft Sentinel.
Obsługiwane operacje
Ten łącznik służy do ściągania zarejestrowanych wskaźników przyszłości, alertów, alertów podręcznika, mapy zagrożeń, wskaźników zagrożeń i reguł wykrywania:
- Zarejestrowane przyszłe listy ryzyka i pobieranie SCF — pobieranie zarejestrowanych list o podwyższonym ryzyku i źródeł kontroli zabezpieczeń
- Wzbogacanie adresów IP — wzbogacanie adresu IP o zarejestrowane dane w przyszłości.
- Wzbogacanie domeny — wzbogacanie domeny o zarejestrowane dane w przyszłości.
- Wzbogacanie adresu URL — wzbogacanie adresu URL o zarejestrowane dane w przyszłości.
- Wzbogacanie skrótu — wzbogacanie skrótu przy użyciu zarejestrowanych danych w przyszłości.
- Wzbogacanie luk w zabezpieczeniach — wzbogacanie luki w zabezpieczeniach przy użyciu zarejestrowanych danych w przyszłości.
- Interfejs API SOAR — wzbogacanie wielu tytułów — wzbogacanie wielu jednostek jednocześnie (wymagany jest określony dostęp)
- Alerty wyzwalane przez wyszukiwanie — wyświetlanie listy powiadomień o alertach według zestawu parametrów wyszukiwania.
- Pobieranie wyzwolonych alertów według identyfikatora — uzyskiwanie szczegółów alertu wyzwalanego
- Reguły alertów wyszukiwania — wyświetlanie listy reguł alertów według nazwy
- Powiadomienie o alertach wyszukiwania (przestarzałe) — przestarzałe
- Uzyskiwanie powiadomienia o alertach według identyfikatora (przestarzałe) — przestarzałe
- Alerty podręcznika wyszukiwania — wyświetlanie alertów podręcznika na podstawie zestawu parametrów wyszukiwania
- Pobieranie alertu podręcznika według identyfikatora — pobieranie szczegółów alertu dotyczącego elementu playbook
- Pobieranie aktorów mapy zagrożeń — pobieranie danych mapy zagrożeń dla podstawowej organizacji przedsiębiorstwa z filtrami.
- Pobieranie złośliwego oprogramowania mapy zagrożeń — pobieranie danych mapy zagrożeń dla podstawowej organizacji przedsiębiorstwa z filtrami.
- Pobieranie wskaźników zagrożenia dla aktorów w formacie STIX — pobieranie wskaźników zagrożenia dla aktorów w formacie STIX.
- Pobieranie wskaźników zagrożeń dla złośliwego oprogramowania w formacie STIX — pobieranie wskaźników zagrożenia dla złośliwego oprogramowania w formacie STIX.
- Reguły wykrywania wyszukiwania (wersja zapoznawcza) — pobieranie reguł wykrywania pasujących do filtru wyszukiwania
Przykłady rozwiązań dla usługi Microsoft Sentinel
Przewodnik instalacji rozwiązań przy użyciu tego łącznika: Zarejestrowane przyszłe rozwiązania dla usługi Microsoft Sentinel
Znane problemy i ograniczenia
N/A
Tworzenie połączenia
Łącznik obsługuje następujące typy uwierzytelniania:
| Wartość domyślna | Parametry tworzenia połączenia. | Wszystkie regiony | Nie można udostępniać |
Domyślny
Dotyczy: wszystkie regiony
Parametry tworzenia połączenia.
Nie jest to możliwe do udostępnienia połączenie. Jeśli aplikacja power zostanie udostępniona innemu użytkownikowi, zostanie wyświetlony monit o jawne utworzenie nowego połączenia.
| Name | Typ | Description | Wymagania |
|---|---|---|---|
| Klucz interfejsu API | securestring | Klucz interfejsu API dla tego interfejsu API | Prawda |
Limity ograniczania
| Nazwa | Wywołania | Okres odnowienia |
|---|---|---|
| Wywołania interfejsu API na połączenie | 100 | 60 sekund |
Akcje
| Alerty podręcznika wyszukiwania |
Wyświetlanie listy alertów podręcznika na podstawie zestawu parametrów wyszukiwania |
| Alerty wyzwalane przez wyszukiwanie |
Wyświetlanie listy powiadomień o alertach według zestawu parametrów wyszukiwania |
| Interfejs API SOAR — wzbogacanie wielu tytułów |
Wzbogacanie wielu jednostek jednocześnie (wymagany jest określony dostęp) |
| Pobieranie aktorów mapy zagrożeń |
Pobierz dane mapy zagrożeń dla podstawowej organizacji przedsiębiorstwa z filtrami. |
| Pobieranie alertu podręcznika według identyfikatora |
Pobieranie szczegółów alertu dotyczącego alertu podręcznika |
| Pobieranie wskaźników zagrożeń dla aktorów w formacie STIX |
Pobieranie wskaźników zagrożeń dla aktorów w formacie STIX. |
| Pobieranie wskaźników zagrożeń dla złośliwego oprogramowania w formacie STIX |
Pobierz wskaźniki zagrożeń dla złośliwego oprogramowania w formacie STIX. |
| Pobieranie wyzwolonych alertów według identyfikatora |
Pobieranie szczegółów alertu wyzwalanego alertu |
| Pobieranie złośliwego oprogramowania mapy zagrożeń |
Pobierz dane mapy zagrożeń dla podstawowej organizacji przedsiębiorstwa z filtrami. |
| Reguły alertów wyszukiwania |
Wyświetlanie listy reguł alertów według nazwy |
| Reguły wykrywania wyszukiwania |
Pobieranie reguł wykrywania pasujących do filtru wyszukiwania |
| Uzyskiwanie powiadomienia o alertach według identyfikatora (przestarzałe) |
Przestarzałe, zamiast tego użyj polecenia /v2/alerts/{id}. Pobieranie szczegółów alertu wyzwalanego alertu |
| Wyszukaj powiadomienia o alertach (przestarzałe) |
Przestarzałe, zamiast tego użyj /v2/alerts. Wyświetlanie listy powiadomień o alertach według zestawu parametrów wyszukiwania |
| Wzbogacanie adresów IP |
Wzbogacanie adresu IP przy użyciu zarejestrowanych danych w przyszłości |
| Wzbogacanie adresów URL |
Wzbogacanie adresu URL przy użyciu zarejestrowanych danych w przyszłości |
| Wzbogacanie domeny |
Wzbogacanie domeny przy użyciu zarejestrowanych danych w przyszłości |
| Wzbogacanie luk w zabezpieczeniach |
Wzbogacanie luki w zabezpieczeniach przy użyciu zarejestrowanych danych w przyszłości |
| Wzbogacanie skrótów |
Wzbogacanie skrótu przy użyciu zarejestrowanych danych w przyszłości |
| Zarejestrowane przyszłe listy ryzyka i pobieranie SCF |
Pobieranie zarejestrowanych przyszłych list ryzyka i źródeł kontroli zabezpieczeń |
Alerty podręcznika wyszukiwania
Wyświetlanie listy alertów podręcznika na podstawie zestawu parametrów wyszukiwania
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Ograniczenie
|
limit | string |
Ogranicz liczbę zwracanych alertów podręcznika |
|
|
entities
|
entities | array of string |
Lista jednostek |
|
|
statuses
|
statuses | array of string |
Lista stanów alertów |
|
|
Priorytety
|
priorities | array of string |
Lista priorytetów alertów |
|
|
categories
|
categories | array of string |
Lista kategorii alertów |
|
|
Względne utworzone na podstawie
|
created_from_relative | string |
Ogranicz odpowiedź na alerty podręcznika utworzone co najwyżej w tej liczbie minut, godzin lub dni temu. Wartości domyślne są domyślnie włączone przez cały czas. |
|
|
Względne utworzone do
|
created_until_relative | string |
Ogranicz odpowiedź na alerty podręcznika utworzone najpóźniej w ciągu ostatnich kilku minut, godzin lub dni temu. Wartość domyślna to "-0" (teraz). |
|
|
Względna aktualizacja z
|
updated_from_relative | string |
Ogranicz odpowiedź na alerty podręcznika zaktualizowane co najwyżej o tej liczbie minut, godzin lub dni w przeszłości. Wartość domyślna to "-1d" (jeden dzień wstecz). |
|
|
Względna aktualizacja do
|
updated_until_relative | string |
Ogranicz odpowiedź na alerty podręcznika zaktualizowane o najnowszej liczbie minut, godzin lub dni w przeszłości. Wartość domyślna to "-0" (teraz). |
Zwraca
Alerty podręcznika spełniające kryteria wyszukiwania
- Przedmioty
- PlaybookAlertSearch
Alerty wyzwalane przez wyszukiwanie
Wyświetlanie listy powiadomień o alertach według zestawu parametrów wyszukiwania
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Wywołany
|
triggered | string |
Przedział czasu, dla którego mają być uwzględniane wyzwalane alerty. Np. -24h lub -2d |
|
|
Identyfikator reguły alertu
|
alertRule | string |
Zwracane są tylko alerty wyzwalane dla określonego identyfikatora reguły alertu. |
|
|
Maksymalna liczba rekordów
|
limit | integer |
Ogranicza liczbę zwracanych alertów. |
|
|
Rekordy z przesunięcia
|
from | integer |
Rekordy z przesunięcia |
|
|
Pola do uwzględnienia
|
fields | string |
Pola do uwzględnienia, np. "id, hits". Zwraca wszystkie, jeśli nie zostanie określone. |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
dane
|
data | array of AlertSearchV2 | |
|
Zwracane
|
counts.returned | integer | |
|
łączny
|
counts.total | integer |
Interfejs API SOAR — wzbogacanie wielu tytułów
Wzbogacanie wielu jednostek jednocześnie (wymagany jest określony dostęp)
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Ip
|
ip | array of string |
Ip |
|
|
URL
|
url | array of string |
URL |
|
|
domena
|
domain | array of string |
Domena |
|
|
skrót
|
hash | array of string |
Hash |
|
|
luka w zabezpieczeniach
|
vulnerability | array of string |
Problemy |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Zwracane
|
counts.returned | integer | |
|
łączny
|
counts.total | integer | |
|
results
|
data.results | array of object | |
|
id
|
data.results.entity.id | string | |
|
nazwa
|
data.results.entity.name | string | |
|
typ
|
data.results.entity.type | string | |
|
kontekst
|
data.results.risk.context | object | |
|
poziom
|
data.results.risk.level | number | |
|
reguła
|
data.results.risk.rule | object | |
|
wynik
|
data.results.risk.score | number |
Pobieranie aktorów mapy zagrożeń
Pobierz dane mapy zagrożeń dla podstawowej organizacji przedsiębiorstwa z filtrami.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Aktorów
|
actors | True | array of string |
Lista aktorów |
|
categories
|
categories | True | array of string |
Lista kategorii |
|
watchlists
|
watchlists | True | array of string |
Lista list obserwowanych |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
dane
|
data | ThreatMapActors |
Pobieranie alertu podręcznika według identyfikatora
Pobieranie szczegółów alertu dotyczącego alertu podręcznika
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator alertu podręcznika
|
id | True | string |
Identyfikator alertu podręcznika |
Zwraca
- Body
- PlaybookAlertLookup
Pobieranie wskaźników zagrożeń dla aktorów w formacie STIX
Pobieranie wskaźników zagrożeń dla aktorów w formacie STIX.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Aktorów
|
actors | array of string | ||
|
categories
|
categories | array of string | ||
|
watchlists
|
watchlists | array of string | ||
|
trigger_score_ip
|
trigger_score_ip | integer | ||
|
trigger_score_url
|
trigger_score_url | integer | ||
|
trigger_score_domain
|
trigger_score_domain | integer | ||
|
trigger_score_hash
|
trigger_score_hash | integer | ||
|
valid_until_delta_hours
|
valid_until_delta_hours | integer | ||
|
threat_hunt_description
|
threat_hunt_description | string |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
dane
|
data | ThreatHuntActors |
Pobieranie wskaźników zagrożeń dla złośliwego oprogramowania w formacie STIX
Pobierz wskaźniki zagrożeń dla złośliwego oprogramowania w formacie STIX.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
złośliwe oprogramowanie
|
malware | array of string | ||
|
categories
|
categories | array of string | ||
|
watchlists
|
watchlists | array of string | ||
|
trigger_score_ip
|
trigger_score_ip | integer | ||
|
trigger_score_url
|
trigger_score_url | integer | ||
|
trigger_score_domain
|
trigger_score_domain | integer | ||
|
trigger_score_hash
|
trigger_score_hash | integer | ||
|
valid_until_delta_hours
|
valid_until_delta_hours | integer | ||
|
threat_hunt_description
|
threat_hunt_description | string |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
dane
|
data | ThreatHuntMalware |
Pobieranie wyzwolonych alertów według identyfikatora
Pobieranie szczegółów alertu wyzwalanego alertu
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator powiadomienia alertu
|
id | True | string |
Identyfikator powiadomienia alertu |
|
Pola do uwzględnienia
|
fields | string |
Pola do uwzględnienia, np. "id, hits". Zwraca wszystkie, jeśli nie zostanie określone. |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
dane
|
data | AlertSearchV2 |
Pobieranie złośliwego oprogramowania mapy zagrożeń
Pobierz dane mapy zagrożeń dla podstawowej organizacji przedsiębiorstwa z filtrami.
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
złośliwe oprogramowanie
|
malware | True | array of string |
Lista złośliwego oprogramowania |
|
categories
|
categories | True | array of string |
Lista kategorii |
|
watchlists
|
watchlists | True | array of string |
Lista list obserwowanych |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
dane
|
data | ThreatMapMalware |
Reguły alertów wyszukiwania
Wyświetlanie listy reguł alertów według nazwy
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Wyszukiwanie w formacie freetext
|
freetext | string |
Wyszukiwanie w formacie Freetext dla nazwy reguły alertu |
|
|
Maksymalna liczba rekordów
|
limit | integer |
Maksymalna liczba rekordów |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
results
|
data.results | array of object |
Results |
|
Tytuł reguły alertu
|
data.results.title | string |
Title |
|
Identyfikator reguły alertu
|
data.results.id | string |
Id |
|
Zwracana liczba reguł alertów
|
counts.returned | integer |
Zwracane |
|
Łączna liczba reguł alertów
|
counts.total | integer |
Total |
Reguły wykrywania wyszukiwania
Pobieranie reguł wykrywania pasujących do filtru wyszukiwania
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
typy
|
types | array of string |
Lista typów reguł wykrywania do uwzględnienia w odpowiedzi |
|
|
entities
|
entities | array of string |
Lista jednostek, z którymi muszą być powiązane reguły wykrywania |
|
|
before
|
before | date-time |
Ogranicz odpowiedź na reguły wykrywania utworzone przed tą datą. Przykład: 2023-06-01T18:00:00Z |
|
|
after
|
after | date-time |
Ogranicz odpowiedź na reguły wykrywania utworzone po tej dacie |
|
|
Ograniczenie
|
limit | integer |
Ograniczanie liczby zwracanych reguł wykrywania |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
Liczba reguł wykrywania
|
count | integer |
Liczba |
|
Reguły wykrywania
|
result | array of object |
Reguły wykrywania |
|
id
|
result.id | string | |
|
typ
|
result.type | string | |
|
title
|
result.title | string | |
|
opis
|
result.description | string | |
|
zasady
|
result.rules | array of object | |
|
nazwa
|
result.rules.name | string | |
|
opis
|
result.rules.description | string | |
|
nazwa_pliku
|
result.rules.file_name | string | |
|
entities
|
result.rules.entities | array of object | |
|
id
|
result.rules.entities.id | string | |
|
typ
|
result.rules.entities.type | string | |
|
nazwa
|
result.rules.entities.name | string | |
|
display_name
|
result.rules.entities.display_name | string | |
|
zawartość
|
result.rules.content | string | |
|
utworzone
|
result.created | string | |
|
aktualizowano
|
result.updated | string |
Uzyskiwanie powiadomienia o alertach według identyfikatora (przestarzałe)
Przestarzałe, zamiast tego użyj polecenia /v2/alerts/{id}. Pobieranie szczegółów alertu wyzwalanego alertu
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Identyfikator powiadomienia alertu
|
id | True | string |
Identyfikator powiadomienia alertu |
Zwraca
- Body
- AlertLookup
Wyszukaj powiadomienia o alertach (przestarzałe)
Przestarzałe, zamiast tego użyj /v2/alerts. Wyświetlanie listy powiadomień o alertach według zestawu parametrów wyszukiwania
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Wywołany
|
triggered | string |
Wszystkie formaty dat zgodne z usługą Elasticsearch są prawidłowe. |
|
|
Identyfikator reguły alertu
|
alertRule | True | string |
Identyfikator reguły alertu |
|
Maksymalna liczba rekordów
|
limit | integer |
Maksymalna liczba rekordów |
|
|
Rekordy z przesunięcia
|
from | integer |
Rekordy z przesunięcia |
Zwraca
- Body
- AlertSearch
Wzbogacanie adresów IP
Wzbogacanie adresu IP przy użyciu zarejestrowanych danych w przyszłości
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Dane wejściowe adresu IP
|
ip | True | string |
Adres IP do wyszukania. Musi być pojedynczym adresem IP |
|
Pola formularza
|
fields | True | string |
Rozdzielona przecinkami lista pól, które mają być zwracane w odpowiedzi |
|
AnalizaCloud
|
IntelligenceCloud | boolean |
Udostępnianie korelacji i wzbogacania danych za pomocą zarejestrowanej chmury analizy przyszłości. Wartość domyślna: true |
|
|
Odpowiedź HTML
|
htmlresponse | boolean |
Dołączanie szablonu HTML do odpowiedzi |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
IntelCard
|
data.intelCard | string |
Zarejestrowany link do karty analizy przyszłej |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Zarejestrowany poziom krytycznego wskaźnika dla przyszłego wskaźnika |
|
wynik
|
data.risk.score | integer |
Zarejestrowany przyszły wskaźnik ryzyka |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Szczegóły dowodów |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Zarejestrowane szczegóły dowodów dotyczących przyszłych reguł ryzyka |
|
reguła
|
data.risk.evidenceDetails.rule | string |
Zarejestrowane przyszłe reguły ryzyka wskaźnika |
|
riskSummary
|
data.risk.riskSummary | string |
Podsumowanie zarejestrowanych przyszłych reguł ryzyka |
|
links
|
data.links | Links |
Linki oparte na dowodach o wysokiej pewności |
|
html_response
|
data.html_response | string |
Wzbogacanie adresów URL
Wzbogacanie adresu URL przy użyciu zarejestrowanych danych w przyszłości
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Dane wejściowe adresu URL
|
url | True | string |
Adres URL do wyszukiwania. Musi być pojedynczym adresem URL |
|
Pola formularza
|
fields | True | string |
Rozdzielona przecinkami lista pól, które mają być zwracane w odpowiedzi |
|
AnalizaCloud
|
IntelligenceCloud | boolean |
Udostępnianie korelacji i wzbogacania danych za pomocą zarejestrowanej chmury analizy przyszłości. Wartość domyślna: true |
|
|
Odpowiedź HTML
|
htmlresponse | boolean |
Dołączanie szablonu HTML do odpowiedzi |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Zarejestrowany poziom krytycznego wskaźnika dla przyszłego wskaźnika |
|
wynik
|
data.risk.score | integer |
Zarejestrowany przyszły wskaźnik ryzyka |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Szczegóły dowodów |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Zarejestrowane szczegóły dowodów dotyczących przyszłych reguł ryzyka |
|
reguła
|
data.risk.evidenceDetails.rule | string |
Zarejestrowane przyszłe reguły ryzyka wskaźnika |
|
riskSummary
|
data.risk.riskSummary | string |
Podsumowanie zarejestrowanych przyszłych reguł ryzyka |
|
links
|
data.links | Links |
Linki oparte na dowodach o wysokiej pewności |
|
html_response
|
data.html_response | string |
Wzbogacanie domeny
Wzbogacanie domeny przy użyciu zarejestrowanych danych w przyszłości
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Dane wejściowe domeny
|
domain | True | string |
Domena do wyszukania. Musi być jedną domeną |
|
Pola formularza
|
fields | True | string |
Rozdzielona przecinkami lista pól, które mają być zwracane w odpowiedzi |
|
AnalizaCloud
|
IntelligenceCloud | boolean |
Udostępnianie korelacji i wzbogacania danych za pomocą zarejestrowanej chmury analizy przyszłości. Wartość domyślna: true |
|
|
Odpowiedź HTML
|
htmlresponse | boolean |
Dołączanie szablonu HTML do odpowiedzi |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
IntelCard
|
data.intelCard | string |
Zarejestrowany link do karty analizy przyszłej |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Zarejestrowany poziom krytycznego wskaźnika dla przyszłego wskaźnika |
|
wynik
|
data.risk.score | integer |
Zarejestrowany przyszły wskaźnik ryzyka |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Szczegóły dowodów |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Zarejestrowane szczegóły dowodów dotyczących przyszłych reguł ryzyka |
|
reguła
|
data.risk.evidenceDetails.rule | string |
Zarejestrowane przyszłe reguły ryzyka wskaźnika |
|
riskSummary
|
data.risk.riskSummary | string |
Podsumowanie zarejestrowanych przyszłych reguł ryzyka |
|
links
|
data.links | Links |
Linki oparte na dowodach o wysokiej pewności |
|
html_response
|
data.html_response | string |
Wzbogacanie luk w zabezpieczeniach
Wzbogacanie luki w zabezpieczeniach przy użyciu zarejestrowanych danych w przyszłości
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Dane wejściowe identyfikatora luki w zabezpieczeniach (CVE, name)
|
id | True | string |
Identyfikator luki w zabezpieczeniach (CVE, nazwa) do wyszukania. Musi być pojedynczym identyfikatorem luki w zabezpieczeniach (CVE, name) |
|
Pola formularza
|
fields | True | string |
Rozdzielona przecinkami lista pól, które mają być zwracane w odpowiedzi |
|
AnalizaCloud
|
IntelligenceCloud | boolean |
Udostępnianie korelacji i wzbogacania danych za pomocą zarejestrowanej chmury analizy przyszłości. Wartość domyślna: true |
|
|
Odpowiedź HTML
|
htmlresponse | boolean |
Dołączanie szablonu HTML do odpowiedzi |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
IntelCard
|
data.intelCard | string |
Zarejestrowany link do karty analizy przyszłej |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Zarejestrowany przyszły poziom krytycznego pod względem luk w zabezpieczeniach |
|
wynik
|
data.risk.score | integer |
Zarejestrowany przyszły wskaźnik ryzyka luk w zabezpieczeniach |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Szczegóły dowodów |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Zarejestrowane szczegóły dowodów dotyczących przyszłych reguł ryzyka |
|
reguła
|
data.risk.evidenceDetails.rule | string |
Zarejestrowane przyszłe reguły ryzyka luk w zabezpieczeniach |
|
riskSummary
|
data.risk.riskSummary | string |
Podsumowanie zarejestrowanych przyszłych reguł ryzyka |
|
links
|
data.links | Links |
Linki oparte na dowodach o wysokiej pewności |
|
html_response
|
data.html_response | string |
Wzbogacanie skrótów
Wzbogacanie skrótu przy użyciu zarejestrowanych danych w przyszłości
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Wejście skrótu skrótu
|
hash | True | string |
Skrót skrótu do wyszukania. Musi być pojedynczym skrótem skrótu |
|
Pola formularza
|
fields | True | string |
Rozdzielona przecinkami lista pól, które mają być zwracane w odpowiedzi |
|
AnalizaCloud
|
IntelligenceCloud | boolean |
Udostępnianie korelacji i wzbogacania danych za pomocą zarejestrowanej chmury analizy przyszłości. Wartość domyślna: true |
|
|
Odpowiedź HTML
|
htmlresponse | boolean |
Dołączanie szablonu HTML do odpowiedzi |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
IntelCard
|
data.intelCard | string |
Zarejestrowany link do karty analizy przyszłej |
|
criticalityLabel
|
data.risk.criticalityLabel | string |
Zarejestrowany poziom krytycznego wskaźnika dla przyszłego wskaźnika |
|
wynik
|
data.risk.score | integer |
Zarejestrowany przyszły wskaźnik ryzyka |
|
evidenceDetails
|
data.risk.evidenceDetails | array of object |
Szczegóły dowodów |
|
evidenceString
|
data.risk.evidenceDetails.evidenceString | string |
Zarejestrowane szczegóły dowodów dotyczących przyszłych reguł ryzyka |
|
reguła
|
data.risk.evidenceDetails.rule | string |
Zarejestrowane przyszłe reguły ryzyka wskaźnika |
|
riskSummary
|
data.risk.riskSummary | string |
Podsumowanie zarejestrowanych przyszłych reguł ryzyka |
|
links
|
data.links | Links |
Linki oparte na dowodach o wysokiej pewności |
|
html_response
|
data.html_response | string |
Zarejestrowane przyszłe listy ryzyka i pobieranie SCF
Pobieranie zarejestrowanych przyszłych list ryzyka i źródeł kontroli zabezpieczeń
Parametry
| Nazwa | Klucz | Wymagane | Typ | Opis |
|---|---|---|---|---|
|
Ścieżka do pliku
|
path | True | string |
Ścieżka do pliku |
Zwraca
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
|
array of object | ||
|
Name
|
Name | string | |
|
Ryzyko
|
Risk | integer | |
|
RiskString
|
RiskString | string | |
|
EvidenceDetails
|
EvidenceDetails.EvidenceDetails | array of object | |
|
Reguła
|
EvidenceDetails.EvidenceDetails.Rule | string | |
|
Ciąg dowodowy
|
EvidenceDetails.EvidenceDetails.EvidenceString | string | |
|
CriticalityLabel
|
EvidenceDetails.EvidenceDetails.CriticalityLabel | string | |
|
Sygnatura czasowa
|
EvidenceDetails.EvidenceDetails.Timestamp | integer | |
|
Środki zaradcze
|
EvidenceDetails.EvidenceDetails.MitigationString | string | |
|
Krytyczność
|
EvidenceDetails.EvidenceDetails.Criticality | integer |
Definicje
Links
Linki oparte na dowodach o wysokiej pewności
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
startDate
|
technical.start_date | string |
Data rozpoczęcia łącza |
|
stopDate
|
technical.stop_date | string |
Data zatrzymania łącza |
|
entities
|
technical.entities | array of LinkEntities |
Powiązane jednostki |
|
startDate
|
research.start_date | string |
Data rozpoczęcia łącza |
|
stopDate
|
research.stop_date | string |
Data zatrzymania łącza |
|
entities
|
research.entities | array of LinkEntities |
Powiązane jednostki |
LinkEntities
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
typ
|
type | string |
Typ enitity |
|
nazwa
|
name | string |
Nazwa encji |
|
wynik
|
score | integer |
Ocena ryzyka |
|
kategoria
|
category | string |
Kategoria jednostki |
AlertSearchV2
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
przegląd
|
review | AlertReviewV2 | |
|
owner_organisation_details
|
owner_organisation_details | AlertOwnerV2 | |
|
URL
|
url | AlertURLV2 | |
|
reguła
|
rule | AlertRuleV2 | |
|
alert_id
|
id | AlertID | |
|
Trafienia
|
hits | AlertHitsV2 | |
|
dziennik
|
log | AlertLogV2 | |
|
title
|
title | AlertTitle | |
|
typ
|
type | AlertType | |
|
ai_insights
|
ai_insights | AlertAiV2 |
AlertAiV2
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
komentarz
|
comment | string | |
|
SMS
|
text | string |
AlertHitsV2
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
entities
|
entities | array of object | |
|
id
|
entities.id | string | |
|
nazwa
|
entities.name | string | |
|
typ
|
entities.type | string | |
|
source_id
|
document.source.id | string | |
|
nazwa
|
document.source.name | string | |
|
typ
|
document.source.type | string | |
|
title
|
document.title | string | |
|
URL
|
document.url | string | |
|
authors
|
document.authors | array of object | |
|
id
|
document.authors.id | string | |
|
nazwa
|
document.authors.name | string | |
|
typ
|
document.authors.type | string | |
|
fragment
|
fragment | string | |
|
id
|
id | string | |
|
język
|
language | string | |
|
id
|
primary_entity.id | string | |
|
nazwa
|
primary_entity.name | string | |
|
typ
|
primary_entity.type | string | |
|
analyst_note
|
analyst_note | string |
AlertSearch
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
results
|
data.results | array of object | |
|
przegląd
|
data.results.review | AlertReview | |
|
URL
|
data.results.url | AlertURL | |
|
reguła
|
data.results.rule | AlertRule | |
|
Wywołany
|
data.results.triggered | AlertTriggered | |
|
alert_id
|
data.results.id | AlertID | |
|
title
|
data.results.title | AlertTitle | |
|
typ
|
data.results.type | AlertType | |
|
Zwracane
|
counts.returned | integer | |
|
łączny
|
counts.total | integer |
AlertLookup
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
przegląd
|
data.review | AlertReview | |
|
entities
|
data.entities | AlertEntities | |
|
URL
|
data.url | AlertURL | |
|
reguła
|
data.rule | AlertRule | |
|
Wywołany
|
data.triggered | AlertTriggered | |
|
alert_id
|
data.id | AlertID | |
|
Odwołania
|
data.counts.references | integer | |
|
entities
|
data.counts.entities | integer | |
|
Dokumentów
|
data.counts.documents | integer | |
|
title
|
data.title | AlertTitle | |
|
typ
|
data.type | AlertType |
AlertLogV2
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
note_author
|
note_author | string | |
|
note_date
|
note_date | date-time | |
|
status_date
|
status_date | string | |
|
Wywołany
|
triggered | string | |
|
status_change_by
|
status_change_by | string |
AlertOwnerV2
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
organizacje
|
organisations | array of object | |
|
identyfikator_organizacji
|
organisations.organisation_id | string | |
|
organisation_name
|
organisations.organisation_name | string | |
|
enterprise_id
|
enterprise_id | string | |
|
enterprise_name
|
enterprise_name | string |
AlertReviewV2
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
osoba przydzielona
|
assignee | string | |
|
stan
|
status | string | |
|
status_in_portal
|
status_in_portal | string | |
|
nuta
|
note | string |
AlertReview
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
osoba przydzielona
|
assignee | string | |
|
stan
|
status | string | |
|
NoteDate
|
noteDate | string | |
|
NoteAuthor
|
noteAuthor | string | |
|
nuta
|
note | string |
AlertEntities
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
tendencja
|
trend | object | |
|
Dokumentów
|
documents | array of object | |
|
Odwołania
|
documents.references | array of object | |
|
fragment
|
documents.references.fragment | string | |
|
entities
|
documents.references.entities | array of object | |
|
id
|
documents.references.entities.id | string | |
|
nazwa
|
documents.references.entities.name | string | |
|
typ
|
documents.references.entities.type | string | |
|
język
|
documents.references.language | string | |
|
id
|
documents.source.id | string | |
|
nazwa
|
documents.source.name | string | |
|
typ
|
documents.source.type | string | |
|
title
|
documents.title | string | |
|
URL
|
documents.url | string | |
|
ryzyko
|
risk | object | |
|
id
|
entity.id | string | |
|
nazwa
|
entity.name | string | |
|
typ
|
entity.type | string |
AlertURL
AlertRule
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
nazwa
|
name | string | |
|
id
|
id | string | |
|
URL
|
url | string |
AlertURLV2
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
api
|
api | string | |
|
portal
|
portal | string |
AlertRuleV2
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
nazwa
|
name | string | |
|
rule_id
|
id | string | |
|
portal
|
url.portal | string |
AlertTriggered
Identyfikator alertu
- alert_id
- string
AlertTitle
AlertType
PodręcznikAlertSearch
Alerty podręcznika spełniające kryteria wyszukiwania
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
playbook_alert_id
|
playbook_alert_id | string | |
|
utworzone
|
created | string | |
|
aktualizowano
|
updated | string | |
|
stan
|
status | string | |
|
kategoria
|
category | string | |
|
priority
|
priority | string | |
|
title
|
title | string | |
|
owner_id
|
owner_id | string | |
|
owner_name
|
owner_name | string | |
|
identyfikator_organizacji
|
organisation_id | string | |
|
organistaion_name
|
organistaion_name | string | |
|
organizacje
|
owner_organisation_details.organisations | array of object | |
|
identyfikator_organizacji
|
owner_organisation_details.organisations.organisation_id | string | |
|
organisation_name
|
owner_organisation_details.organisations.organisation_name | string | |
|
enterprise_id
|
owner_organisation_details.enterprise_id | string | |
|
enterprise_name
|
owner_organisation_details.enterprise_name | string |
PodręcznikAlertLookup
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
title
|
title | string | |
|
id
|
id | string | |
|
kategoria
|
category | string | |
|
rule_label
|
rule_label | string | |
|
stan
|
status | string | |
|
priority
|
priority | string | |
|
targets
|
targets | string | |
|
created_date
|
created_date | string | |
|
updated_date
|
updated_date | string | |
|
evidence_summary
|
evidence_summary | string | |
|
łącze
|
link | string | |
|
json_alert
|
json_alert | string |
ThreatMapActors
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
threat_map
|
data.threat_map | array of object | |
|
id
|
data.threat_map.id | string | |
|
nazwa
|
data.threat_map.name | string | |
|
alias
|
data.threat_map.alias | array of string | |
|
categories
|
data.threat_map.categories | array of object | |
|
id
|
data.threat_map.categories.id | string | |
|
nazwa
|
data.threat_map.categories.name | string | |
|
intencja
|
data.threat_map.intent | integer | |
|
okazja
|
data.threat_map.opportunity | integer | |
|
log_entries
|
data.threat_map.log_entries | array of object | |
|
id
|
data.threat_map.log_entries.watchlist.id | string | |
|
nazwa
|
data.threat_map.log_entries.watchlist.name | string | |
|
id
|
data.threat_map.log_entries.entity.id | string | |
|
nazwa
|
data.threat_map.log_entries.entity.name | string | |
|
severity
|
data.threat_map.log_entries.severity | integer | |
|
oś
|
data.threat_map.log_entries.axis | string | |
|
date
|
data.threat_map.log_entries.date | date-time | |
|
date
|
data.date | date-time |
ThreatHuntActors
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
pewność
|
confidence | integer | |
|
opis
|
description | string | |
|
id
|
id | string | |
|
indicator_types
|
indicator_types | array of string | |
|
labels
|
labels | array of string | |
|
nazwa
|
name | string | |
|
wzorzec
|
pattern | string | |
|
pattern_type
|
pattern_type | string | |
|
spec_version
|
spec_version | string | |
|
typ
|
type | string | |
|
utworzone
|
created | string | |
|
modified
|
modified | string | |
|
valid_from
|
valid_from | string | |
|
valid_until
|
valid_until | string | |
|
external_references
|
external_references | array of object | |
|
source_name
|
external_references.source_name | string | |
|
opis
|
external_references.description | string | |
|
external_id
|
external_references.external_id | string | |
|
URL
|
external_references.url | string |
ThreatMapMalware
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
threat_map
|
data.threat_map | array of object | |
|
id
|
data.threat_map.id | string | |
|
nazwa
|
data.threat_map.name | string | |
|
alias
|
data.threat_map.alias | array of string | |
|
categories
|
data.threat_map.categories | array of object | |
|
id
|
data.threat_map.categories.id | string | |
|
nazwa
|
data.threat_map.categories.name | string | |
|
intencja
|
data.threat_map.intent | integer | |
|
okazja
|
data.threat_map.opportunity | integer | |
|
log_entries
|
data.threat_map.log_entries | array of object | |
|
id
|
data.threat_map.log_entries.watchlist.id | string | |
|
nazwa
|
data.threat_map.log_entries.watchlist.name | string | |
|
id
|
data.threat_map.log_entries.entity.id | string | |
|
nazwa
|
data.threat_map.log_entries.entity.name | string | |
|
severity
|
data.threat_map.log_entries.severity | integer | |
|
oś
|
data.threat_map.log_entries.axis | string | |
|
date
|
data.threat_map.log_entries.date | date-time | |
|
date
|
data.date | date-time |
ThreatHuntMalware
| Nazwa | Ścieżka | Typ | Opis |
|---|---|---|---|
|
pewność
|
confidence | integer | |
|
opis
|
description | string | |
|
id
|
id | string | |
|
indicator_types
|
indicator_types | array of string | |
|
labels
|
labels | array of string | |
|
nazwa
|
name | string | |
|
wzorzec
|
pattern | string | |
|
pattern_type
|
pattern_type | string | |
|
spec_version
|
spec_version | string | |
|
typ
|
type | string | |
|
utworzone
|
created | string | |
|
modified
|
modified | string | |
|
valid_from
|
valid_from | string | |
|
valid_until
|
valid_until | string | |
|
external_references
|
external_references | array of object | |
|
source_name
|
external_references.source_name | string | |
|
opis
|
external_references.description | string | |
|
external_id
|
external_references.external_id | string | |
|
URL
|
external_references.url | string |