QUALQUER. RUN Threat Intelligence (Pré-visualização)
O conector permite que as equipes de segurança e TI otimizem suas operações incorporando ANY. Os recursos de inteligência de ameaças da RUN em fluxos de trabalho manuais e automatizados com aplicativos como o Defender for Endpoint e o Sentinel.
Este conector está disponível nos seguintes produtos e regiões:
| Serviço | Class | Regiões |
|---|---|---|
| Estúdio Copiloto | Premium | Todas as regiões do Power Automatic , exceto as seguintes: - Governo dos EUA (CCG) - Governo dos EUA (GCC High) - China Cloud operado pela 21Vianet - Departamento de Defesa dos EUA (DoD) |
| Aplicações Lógicas | Standard | Todas as regiões do Logic Apps , exceto as seguintes: - Regiões do Azure Government - Regiões do Azure China - Departamento de Defesa dos EUA (DoD) |
| Aplicações Power | Premium | Todas as regiões do Power Apps , exceto as seguintes: - Governo dos EUA (CCG) - Governo dos EUA (GCC High) - China Cloud operado pela 21Vianet - Departamento de Defesa dos EUA (DoD) |
| Automatize o poder | Premium | Todas as regiões do Power Automatic , exceto as seguintes: - Governo dos EUA (CCG) - Governo dos EUA (GCC High) - China Cloud operado pela 21Vianet - Departamento de Defesa dos EUA (DoD) |
| Contato | |
|---|---|
| Nome | QUALQUER. CORRER |
| URL | https://app.any.run/contact-us |
| support@any.run |
| Metadados do conector | |
|---|---|
| Editora | ANYRUN FZCO |
| QUALQUER. Documentação da API RUN | https://docs.microsoft.com/connectors/anyrunthreatintellig |
| Sítio Web | https://any.run |
| Política de privacidade | https://any.run/privacy.pdf |
| Categorias | Segurança;Operações de TI |
QUALQUER. Conector de inteligência de ameaças RUN
O conector permite que as equipes de segurança e TI otimizem suas operações incorporando ANY. Os recursos de inteligência de ameaças da RUN em fluxos de trabalho manuais e automatizados com aplicativos como o Defender for Endpoint e o Sentinel.
Pré-requisitos
Para usar esse conector, você precisa ter um ANY. Conta RUN, uma chave de API e assinatura de Pesquisa de TI.
Documentação da API
https://any.run/api-documentation/
Instruções de implantação
Use estas instruções para implantar esse conector como conector personalizado no Microsoft Power Automate e Power Apps.
Operações suportadas
O conector suporta as seguintes operações:
-
Get threat intelligence data from ANY.RUN Threat Intelligence service: Realiza ações investigativas em ANY. Serviço de Inteligência de Ameaças RUN
A criar uma ligação
O conector suporta os seguintes tipos de autenticação:
| Predefinição | Parâmetros para criar conexão. | Todas as regiões | Não compartilhável |
Padrão
Aplicável: Todas as regiões
Parâmetros para criar conexão.
Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
| Nome | Tipo | Description | Obrigatório |
|---|---|---|---|
| API-Key | securestring | A chave de API para esta API (formato: chave> API-Key<) | Verdade |
Limites de Limitação
| Name | Chamadas | Período de Renovação |
|---|---|---|
| Chamadas de API por conexão | 100 | 60 segundos |
Ações
| Obtenha dados de inteligência de ameaças de ANY. Serviço de Inteligência de Ameaças RUN |
Realiza ações investigativas em ANY. Serviço de Inteligência de Ameaças RUN. |
Obtenha dados de inteligência de ameaças de ANY. Serviço de Inteligência de Ameaças RUN
Realiza ações investigativas em ANY. Serviço de Inteligência de Ameaças RUN.
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
consulta
|
query | True | string |
Especifique a sua consulta de pesquisa. Várias consultas podem ser combinadas com o operador AND para obter resultados mais específicos. |
|
startDate
|
startDate | string |
Especifique a data de início do período de pesquisa desejado. Deve estar no formatoMM-DD AAAA. |
|
|
data de término
|
endDate | string |
Especifique a data final do período de pesquisa desejado. Deve estar no formatoMM-DD AAAA. |
Devoluções
- Body
- ResponseApiDto
Definições
ResponseApiDto
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
destinationPorto
|
destinationPort | array of integer |
Números das portas de destino. |
|
destinoIPgeo
|
destinationIPgeo | array of string |
Destino IP Geo (países). |
|
destinoIpAsn
|
destinationIpAsn | array of object |
ASN IP de destino (número do sistema autónomo). |
|
ASN
|
destinationIpAsn.asn | string |
ASN IP de destino. |
|
date
|
destinationIpAsn.date | date-time |
Data ASN IP de destino. |
|
relacionadoTarefas
|
relatedTasks | array of string |
Links para tarefas relacionadas em ANY. EXECUTAR sandbox. |
|
threatName
|
threatName | array of string |
Nomes de ameaças. |
|
nível de ameaça
|
summary.threatLevel | integer | |
|
visto pela última vez
|
summary.lastSeen | date-time | |
|
detectedType
|
summary.detectedType | string | |
|
isTrial
|
summary.isTrial | boolean | |
|
relacionadoIncidentes
|
relatedIncidents | array of RelatedIncidentApiDto |
Incidentes relacionados. |
|
destinationIP
|
destinationIP | array of DestinationIpApiDto |
Endereços IP de destino. |
|
relatedFiles
|
relatedFiles | array of RelatedFileApiDto |
Dados de ficheiros relacionados. |
|
relacionadoDNS
|
relatedDNS | array of RelatedDnsApiDto |
DNS relacionado. |
|
URLs relacionados
|
relatedURLs | array of RelatedUrlApiDto |
URLs relacionados. |
|
sourceTarefas
|
sourceTasks | array of SourceTaskApiDto |
Informações sobre as tarefas de origem. |
|
relatedSynchronizationObjects
|
relatedSynchronizationObjects | array of RelatedSynchronizationObjectsApiDto |
Dados de objetos de sincronização relacionados. |
|
relacionadoRedeAmeaças
|
relatedNetworkThreats | array of RelatedNetworkThreatApiDto |
Dados relacionados a ameaças de rede. |
RelacionadoIncidenteApiDto
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
tarefa
|
task | string |
Link para a tarefa em ANY. EXECUTAR sandbox. |
|
time
|
time | date-time |
Tempo de criação. |
|
MITRE
|
MITRE | array of string |
Matriz de IDs de técnicas de matriz MITRE e IDs de subtécnicas. |
|
threatName
|
threatName | array of string |
Nomes de ameaças. |
|
evento
|
event | EventApiDto | |
|
processo
|
process | ProcessApiDto |
EventApiDto
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
nomeDaRegra
|
ruleName | string |
Nome da regra. |
|
linha de comando
|
commandLine | string |
Cadeia de caracteres de linha de comando. |
|
imagePath
|
imagePath | string |
Cadeia de caracteres do caminho da imagem. |
|
PID
|
pid | integer |
ID do processo. |
|
title
|
title | array of string |
Título do tipo de evento. |
|
destinationPorto
|
destinationPort | array of string |
Números das portas de destino. |
|
destinationIP
|
destinationIP | string |
Endereço IP de destino. |
|
destinoIPgeo
|
destinationIPgeo | array of string |
Destino IP Geo (países). |
|
destinoIpAsn
|
destinationIpAsn | array of string |
ASN IP de destino (número do sistema autónomo). |
|
URL
|
url | string |
URL. |
|
fileName
|
fileName | string |
Nome do arquivo. |
|
registryKey [en]
|
registryKey | string |
Chave do Registro. |
|
registryName
|
registryName | array of string |
Nome do registo. |
|
registryValue
|
registryValue | array of string |
Valor do Registro. |
|
moduleImagePath
|
moduleImagePath | string |
Caminho da imagem do módulo. |
|
injectedFlag
|
injectedFlag | boolean |
Bandeira injetada. |
|
domainName
|
domainName | array of string |
Nome de domínio. |
|
httpRequestContentType
|
httpRequestContentType | string |
Solicitar tipo de conteúdo. |
|
httpRequestContentFile
|
httpRequestContentFile | string |
Solicitar arquivo de conteúdo. |
|
httpResponseContentType
|
httpResponseContentType | string |
Tipo de conteúdo de resposta. |
|
httpResponseContentFile
|
httpResponseContentFile | string |
Arquivo de conteúdo de resposta. |
|
ruleThreatLevel
|
ruleThreatLevel | string |
Nível de ameaça da regra. |
|
sha256
|
sha256 | string |
Hash SHA256. |
ProcessApiDto
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
linha de comando
|
commandLine | string |
Cadeia de caracteres de linha de comando. |
|
imagePath
|
imagePath | string |
Cadeia de caracteres do caminho da imagem. |
|
threatName
|
threatName | string |
Nomes de ameaças. |
|
MITRE
|
MITRE | array of string |
Matriz de IDs de técnicas de matriz MITRE e IDs de subtécnicas. |
|
PID
|
pid | integer |
ID do processo. |
|
Pontuações
|
scores | ProcessScoresDto |
Pontuações do processo. |
|
eventosContadores
|
eventsCounters | EventsCountersDto |
Contadores de eventos. |
|
nível de ameaça
|
threatLevel | integer |
Nível de ameaça. |
ProcessScoresDto
Pontuações do processo.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Especificações
|
specs | ProcessScoresSpecsDto |
Especificações de pontuações de processo. |
ProcessScoresSpecsDto
Especificações de pontuações de processo.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
known_threat
|
known_threat | boolean |
Indica se é uma ameaça conhecida. |
|
network_loader
|
network_loader | boolean |
Indica se o download de rede foi detetado. |
|
rede
|
network | boolean |
Indica se a atividade de rede foi habilitada. |
|
uac_request
|
uac_request | boolean |
Indica se a solicitação de Controle de Acesso do Usuário (UAC) foi detetada. |
|
injetáveis
|
injects | boolean |
Indica se a ameaça usa injeções. |
|
service_luncher
|
service_luncher | boolean |
Indica se um novo registro de serviço foi detetado. |
|
executable_dropped
|
executable_dropped | boolean |
Indica se a ameaça usa executáveis descartados. |
|
multiprocessamento
|
multiprocessing | boolean |
Indica se a ameaça usa multiprocessamento. |
|
crashed_apps
|
crashed_apps | boolean |
Indica se o aplicativo falhou. |
|
debug_output
|
debug_output | boolean |
Indica se o aplicativo tem mensagem de saída de depuração. |
|
roubo
|
stealing | boolean |
Indica se o processo rouba informações da máquina infetada. |
|
explorável
|
exploitable | boolean |
Indica se alguma exploração conhecida foi detetada. |
|
static_detections
|
static_detections | boolean |
Indica se algum padrão mal-intencionado foi detetado pelo mecanismo de análise estática. |
|
susp_struct
|
susp_struct | boolean |
É susp struct. |
|
Início Automático
|
autostart | boolean |
Indica se o aplicativo foi adicionado ao início automático. |
|
low_access
|
low_access | boolean |
Indica se a ameaça usa acesso de baixo nível. |
|
tor
|
tor | boolean |
Indica se o TOR foi usado. |
|
lixo eletrónico
|
spam | boolean |
Indica se o spam foi detetado. |
|
malware_config
|
malware_config | boolean |
Indica se a configuração de malware foi extraída do arquivo enviado. |
|
process_dump
|
process_dump | boolean |
Indica se o despejo de memória do processo pode ser extraído. |
EventosCountersDto
Contadores de eventos.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
cru
|
raw | EventsCountersRawDto |
Eventos contadores crus. |
EventosContadoresRawDto
Eventos contadores crus.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
registo
|
registry | integer |
Número ou eventos do registo. |
|
files
|
files | integer |
Número ou ficheiros. |
|
modules
|
modules | integer |
Número ou módulos. |
|
objetos
|
objects | integer |
Número ou objetos. |
|
RPC
|
rpc | integer |
Número ou RPCs. |
DestinationIpApiDto
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
destinationIP
|
destinationIP | string |
Endereço IP de destino. |
|
date
|
date | date-time |
Data de criação. |
|
nível de ameaça
|
threatLevel | integer |
Nível de ameaça. |
|
threatName
|
threatName | array of string |
Nomes de ameaças. |
|
isMalconf
|
isMalconf | boolean |
Indica se o IOC foi extraído da configuração de malware. |
RelatedFileApiDto
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
tarefa
|
task | string |
Link para a tarefa em ANY. EXECUTAR sandbox. |
|
title
|
title | string |
Título do tipo de evento. |
|
fileLink
|
fileLink | string |
Link para os arquivos de resposta HTTP. |
|
time
|
time | date-time |
Data de criação. |
|
fileName
|
fileName | string |
Nome do arquivo. |
|
fileExt
|
fileExt | string |
Extensão de arquivo. |
|
processo
|
process | ProcessApiDto | |
|
hashes
|
hashes | HashesApiDto |
RelacionadoDnsApiDto
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
domainName
|
domainName | string |
Nome de domínio. |
|
threatName
|
threatName | array of string |
Nome da ameaça. |
|
nível de ameaça
|
threatLevel | integer |
Nível de ameaça. |
|
date
|
date | date-time |
Data de criação. |
|
isMalconf
|
isMalconf | boolean |
Indica se o IOC foi extraído da configuração de malware. |
RelacionadoUrlApiDto
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
URL
|
url | string |
Url. |
|
date
|
date | date-time |
Data de criação. |
|
nível de ameaça
|
threatLevel | integer |
Nível de ameaça. |
|
threatName
|
threatName | array of string |
Nomes de ameaças. |
|
isMalconf
|
isMalconf | boolean |
Indica se o IOC foi extraído da configuração de malware. |
SourceTaskApiDto
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Identificador Único Universal (UUID)
|
uuid | string |
UUID da tarefa. |
|
relacionados
|
related | string |
Link para a tarefa em ANY. EXECUTAR sandbox. |
|
date
|
date | date-time |
Tempo de criação da tarefa. |
|
nível de ameaça
|
threatLevel | integer |
Nível de ameaça. |
|
tags
|
tags | array of string |
Etiquetas. |
|
mainObject
|
mainObject | MainObjectApiDto |
Informações do objeto principal. |
MainObjectApiDto
Informações do objeto principal.
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
tipo
|
type | string |
Digite. |
|
nome
|
name | string |
Nome. |
|
hashes
|
hashes | HashesApiDto |
RelatedSynchronizationObjectsApiDto
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
syncObjectTime
|
syncObjectTime | date-time |
Hora. |
|
syncObjectType
|
syncObjectType | string |
Digite. |
|
syncObjectOperation
|
syncObjectOperation | string |
Funcionamento. |
|
syncObjectName
|
syncObjectName | string |
Nome. |
|
tarefa
|
task | string |
Link da tarefa. |
|
processo
|
process | ProcessApiDto |
RelatedNetworkThreatApiDto
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
suricataClasse
|
suricataClass | string |
Classe Suricata. |
|
imagePath
|
imagePath | string |
Caminho da imagem. |
|
suricataID
|
suricataID | string |
SID. |
|
suricataMensagem
|
suricataMessage | string |
Mensagem de Suricata. |
|
tags
|
tags | array of string |
Etiquetas. |
|
MITRE
|
MITRE | array of string |
Matriz de IDs de técnicas de matriz MITRE e IDs de subtécnicas. |
|
suricataThreatLevel
|
suricataThreatLevel | string |
Nível de ameaça de Suricata. |
|
tarefa
|
task | string |
Link da tarefa. |
HashesApiDto
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
MD5
|
md5 | string |
Cadeia de caracteres de hash MD5. |
|
sha1
|
sha1 | string |
Cadeia de caracteres de hash SHA1. |
|
sha256
|
sha256 | string |
Cadeia de caracteres de hash SHA256. |
|
Ssdeep
|
ssdeep | string |
Cadeia de caracteres de hash Ssdeep. |