Futuro Gravado V2
O Conector Futuro Gravado permite o acesso à Inteligência Futura Gravada. O conector tem ações dedicadas para puxar indicadores de Futuro Gravado (IP, Domínio, URL, Hash) e contexto associado (Pontuação de Risco, Regras de Risco, Link de Cartão de Inteligência e Links Baseados em Evidências de Alta Confiança), Vulnerabilidades, Alertas Futuros Gravados e permite o acesso a Recorded Future SOAR API e Fusion Files
Este conector está disponível nos seguintes produtos e regiões:
| Serviço | Class | Regiões |
|---|---|---|
| Estúdio Copiloto | Premium | Todas as regiões do Power Automate |
| Aplicações Lógicas | Standard | Todas as regiões do Logic Apps |
| Aplicações Power | Premium | Todas as regiões do Power Apps |
| Automatize o poder | Premium | Todas as regiões do Power Automate |
| Contato | |
|---|---|
| Nome | Suporte Futuro Gravado |
| URL | https://support.recordedfuture.com |
| support@recordedfuture.com |
| Metadados do conector | |
|---|---|
| Editora | Futuro Gravado |
| Sítio Web | https://www.recordedfuture.com |
| Política de Privacidade | https://www.recordedfuture.com/privacy-policy/ |
| Categorias | IA; Dados |
Futuro Gravado V2
A integração do Recorded Future permite que a inteligência de segurança em tempo real seja integrada em serviços populares da Microsoft, como Sentinel, Defender ATP e outros. Isso capacita nossos clientes a maximizar seus investimentos em segurança existentes, garantindo que eles tenham inteligência em tempo real para proteger seus ambientes de nuvem e reduzir o risco para a organização. O conector Recorded Future para Microsoft Azure permite o acesso a ações dedicadas para extrair indicadores de Futuro Gravado (IP, Domínio, URL, Hash, Vulnerabilidades), contexto associado (Pontuação de Risco, Regras de Risco, Links de Alta Confiança e um Link de Cartão de Inteligência), Alertas Futuros Gravados, Alertas de Playbooks, Mapa de Ameaças, Indicadores de Ameaça e Regras de Deteção.
Editora: Futuro Gravado
O que há de novo?
- Mapa de Ameaças do Agente de Ameaças do Futuro Gravado
- Mapa de Ameaças de Malware do Futuro Gravado
- Indicadores de Ameaça do Futuro Registados para os Intervenientes
- Indicadores de Ameaças do Futuro Gravado para Malware
Pré-requisitos
Para habilitar a integração Futuro Registrado para Microsoft Azure, os usuários devem provisionar um token de API Futuro Registrado. Entre em contato com seu gerente de conta para obter o token de API necessário.
Como obter credenciais
O Recorded Future requer chaves de API para comunicar com a nossa API. Para obter chaves de API: Inicie uma avaliação gratuita de 30 dias do Recorded Future for Microsoft Sentinel ou visite Recorded Future Requesting API Tokens (Require Recorded Future Login) e solicite o token de API para Recorded Future for Microsoft Sentinel ou/e Recorded Future Sandbox for Microsoft Sentinel.
Operações suportadas
Este conector é usado para puxar indicadores de futuro gravado, alertas, alertas playbook, mapa de ameaças, indicadores de ameaça e regras de deteção:
- Download de Listas de Risco Futuro Gravadas e SCF - Download de Listas de Riscos Futuros Gravadas e Feeds de Controle de Segurança
- Enriquecimento de IP - Enriqueça um IP com dados futuros gravados.
- Enriquecimento de Domínio - Enriqueça um domínio com dados Futuros Gravados.
- Enriquecimento de URL - Enriqueça um URL com dados futuros gravados.
- Enriquecimento de hash - Enriqueça um hash com dados futuros gravados.
- Enriquecimento de vulnerabilidade - Enriqueça uma vulnerabilidade com dados futuros gravados.
- API SOAR - Multi-Entitiy Enrichment - Enriqueça várias entidades ao mesmo tempo (acesso específico é necessário)
- Alertas acionados de pesquisa - Liste notificações de alerta por um conjunto de parâmetros de pesquisa.
- Obter alertas acionados por ID - Obter os detalhes de alerta de um alerta acionado
- Regras de alerta de pesquisa - Listar regras de alerta por nome
- Notificação de alerta de pesquisa (preterida) - Preterida
- Obter notificação de alerta por ID (preterido) - Preterido
- Search Playbook Alerts - Liste alertas de playbook com base em um conjunto de parâmetros de pesquisa
- Obter alerta Playbook por ID - Obter os detalhes de alerta de um alerta playbook
- Buscar agentes do Mapa de Ameaças - Buscar dados do Mapa de Ameaças para a organização principal da empresa com filtros.
- Buscar malware do Mapa de Ameaças - Buscar dados do Mapa de Ameaças para a organização principal da empresa com filtros.
- Buscar indicadores de ameaça para atores no formato STIX - Buscar indicadores de ameaça para atores no formato STIX.
- Fetch Threat Indicators for Malware in STIX format - Fetch Threat Indicators for Malware in STIX format.
- Regras de Deteção de Pesquisa (Pré-visualização) - Obter regras de deteção que correspondam a um filtro de pesquisa
Exemplos de soluções para o Microsoft Sentinel
Guia de instalação de soluções usando este conector: Recorded Future Solutions for Microsoft Sentinel
Problemas conhecidos e limitações
N/A
A criar uma ligação
O conector suporta os seguintes tipos de autenticação:
| Predefinição | Parâmetros para criar conexão. | Todas as regiões | Não compartilhável |
Padrão
Aplicável: Todas as regiões
Parâmetros para criar conexão.
Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
| Nome | Tipo | Description | Obrigatório |
|---|---|---|---|
| Chave de API | securestring | A chave de API para esta api | Verdade |
Limites de Limitação
| Name | Chamadas | Período de Renovação |
|---|---|---|
| Chamadas de API por conexão | 100 | 60 segundos |
Ações
| Alertas acionados de pesquisa |
Listar notificações de alerta por um conjunto de parâmetros de pesquisa |
| API SOAR - Enriquecimento Multi-Entitiy |
Enriqueça várias entidades ao mesmo tempo (acesso específico é necessário) |
| Buscar agentes do Mapa de Ameaças |
Obtenha dados do Mapa de Ameaças para a organização principal da empresa com filtros. |
| Buscar indicadores de ameaça para atores no formato STIX |
Buscar indicadores de ameaça para atores no formato STIX. |
| Buscar indicadores de ameaça para malware no formato STIX |
Buscar indicadores de ameaça para malware no formato STIX. |
| Download de Listas de Risco Futuras Gravadas e SCF |
Download de Listas de Riscos Futuros Gravados e Feeds de Controle de Segurança |
| Enriquecimento de Domínio |
Enriqueça um domínio com dados do Recorded Future |
| Enriquecimento de hash |
Enriqueça um hash com dados do Recorded Future |
| Enriquecimento de PI |
Enriqueça um IP com dados futuros gravados |
| Enriquecimento de URL |
Enriqueça um URL com dados futuros gravados |
| Enriquecimento de vulnerabilidade |
Enriqueça uma vulnerabilidade com dados do Recorded Future |
| Malware Fetch Threat Map |
Obtenha dados do Mapa de Ameaças para a organização principal da empresa com filtros. |
| Notificações de alerta de pesquisa (preteridas) |
Preterido, use /v2/alerts em vez disso. Listar notificações de alerta por um conjunto de parâmetros de pesquisa |
| Obter alerta Playbook por ID |
Obter os detalhes de alerta de um alerta playbook |
| Obter alertas acionados por ID |
Obter os detalhes do alerta de um alerta acionado |
| Obter notificação de alerta por ID (preterido) |
Preterido, use /v2/alerts/{id} em vez disso. Obter os detalhes do alerta de um alerta acionado |
| Pesquisar Alertas Playbook |
Listar alertas de playbook com base em um conjunto de parâmetros de pesquisa |
| Regras de alerta de pesquisa |
Listar regras de alerta por nome |
| Regras de deteção de pesquisa |
Obter regras de deteção correspondentes a um filtro de pesquisa |
Alertas acionados de pesquisa
Listar notificações de alerta por um conjunto de parâmetros de pesquisa
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Acionado
|
triggered | string |
O período de tempo para o qual incluir alertas acionados. Por exemplo, -24h ou -2d |
|
|
ID da Regra de Alerta
|
alertRule | string |
Somente alertas de retorno acionados para a ID da regra de alerta especificada. |
|
|
Número máximo de registos
|
limit | integer |
Limita o número de alertas retornados. |
|
|
Registros de offset
|
from | integer |
Registros de offset |
|
|
Campos a incluir
|
fields | string |
Campo(s) a incluir, por exemplo, "id, hits". Retorna tudo, se não especificado. |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
dados
|
data | array of AlertSearchV2 | |
|
devolvido
|
counts.returned | integer | |
|
total
|
counts.total | integer |
API SOAR - Enriquecimento Multi-Entitiy
Enriqueça várias entidades ao mesmo tempo (acesso específico é necessário)
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
IP
|
ip | array of string |
Ip |
|
|
URL
|
url | array of string |
Endereço URL |
|
|
domínio
|
domain | array of string |
Domínio |
|
|
hash
|
hash | array of string |
Hash |
|
|
vulnerabilidade
|
vulnerability | array of string |
Vulnerabilidade |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
devolvido
|
counts.returned | integer | |
|
total
|
counts.total | integer | |
|
results
|
data.results | array of object | |
|
id
|
data.results.entity.id | string | |
|
nome
|
data.results.entity.name | string | |
|
tipo
|
data.results.entity.type | string | |
|
contexto
|
data.results.risk.context | object | |
|
nível
|
data.results.risk.level | number | |
|
regra
|
data.results.risk.rule | object | |
|
classificação
|
data.results.risk.score | number |
Buscar agentes do Mapa de Ameaças
Obtenha dados do Mapa de Ameaças para a organização principal da empresa com filtros.
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
intervenientes
|
actors | True | array of string |
Lista de intervenientes |
|
categories
|
categories | True | array of string |
Lista de categorias |
|
watchlists
|
watchlists | True | array of string |
Lista de listas de vigilância |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
dados
|
data | ThreatMapActors |
Buscar indicadores de ameaça para atores no formato STIX
Buscar indicadores de ameaça para atores no formato STIX.
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
intervenientes
|
actors | array of string | ||
|
categories
|
categories | array of string | ||
|
watchlists
|
watchlists | array of string | ||
|
trigger_score_ip
|
trigger_score_ip | integer | ||
|
trigger_score_url
|
trigger_score_url | integer | ||
|
trigger_score_domain
|
trigger_score_domain | integer | ||
|
trigger_score_hash
|
trigger_score_hash | integer | ||
|
valid_until_delta_hours
|
valid_until_delta_hours | integer | ||
|
threat_hunt_description
|
threat_hunt_description | string |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
dados
|
data | ThreatHuntActors |
Buscar indicadores de ameaça para malware no formato STIX
Buscar indicadores de ameaça para malware no formato STIX.
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
desmalware
|
malware | array of string | ||
|
categories
|
categories | array of string | ||
|
watchlists
|
watchlists | array of string | ||
|
trigger_score_ip
|
trigger_score_ip | integer | ||
|
trigger_score_url
|
trigger_score_url | integer | ||
|
trigger_score_domain
|
trigger_score_domain | integer | ||
|
trigger_score_hash
|
trigger_score_hash | integer | ||
|
valid_until_delta_hours
|
valid_until_delta_hours | integer | ||
|
threat_hunt_description
|
threat_hunt_description | string |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
dados
|
data | ThreatHuntMalware |
Download de Listas de Risco Futuras Gravadas e SCF
Download de Listas de Riscos Futuros Gravados e Feeds de Controle de Segurança
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Caminho para o arquivo
|
path | True | string |
Caminho para o arquivo |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
|
array of object | ||
|
Nome
|
Name | string | |
|
Risco
|
Risk | integer | |
|
RiskString
|
RiskString | string | |
|
EvidênciasDetalhes
|
EvidenceDetails.EvidenceDetails | array of object | |
|
Regra
|
EvidenceDetails.EvidenceDetails.Rule | string | |
|
EvidenceString
|
EvidenceDetails.EvidenceDetails.EvidenceString | string | |
|
Rótulo de criticidade
|
EvidenceDetails.EvidenceDetails.CriticalityLabel | string | |
|
Data e Hora
|
EvidenceDetails.EvidenceDetails.Timestamp | integer | |
|
MitigationString
|
EvidenceDetails.EvidenceDetails.MitigationString | string | |
|
Criticidade
|
EvidenceDetails.EvidenceDetails.Criticality | integer |
Enriquecimento de Domínio
Enriqueça um domínio com dados do Recorded Future
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Entrada de domínio
|
domain | True | string |
O domínio a pesquisar. Deve ser um único domínio |
|
Campos
|
fields | True | string |
Lista separada por vírgulas de campos a serem retornados na resposta |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Partilhe correlações e dados de enriquecimento com a Recorded Future Intelligence Cloud. Valor padrão: true |
|
|
Resposta HTML
|
htmlresponse | boolean |
Incluir um modelo HTML na resposta |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
intelCard
|
data.intelCard | string |
Link do Cartão de Inteligência Futura Gravado |
|
criticidadeRótulo
|
data.risk.criticalityLabel | string |
Nível de criticidade do indicador futuro registado |
|
classificação
|
data.risk.score | integer |
Pontuação de Risco do Indicador Futuro Registada |
|
evidênciasDetalhes
|
data.risk.evidenceDetails | array of object |
Detalhes da evidência |
|
evidênciaString
|
data.risk.evidenceDetails.evidenceString | string |
Regras de Risco Futuro Registadas Detalhes da Evidência |
|
regra
|
data.risk.evidenceDetails.rule | string |
Regras de Risco de Indicadores Futuros Registados |
|
riscoResumo
|
data.risk.riskSummary | string |
Resumo das Regras de Risco Futuro Registadas |
|
links
|
data.links | Links |
Links baseados em evidências de alta confiança |
|
html_response
|
data.html_response | string |
Enriquecimento de hash
Enriqueça um hash com dados do Recorded Future
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Entrada HASH
|
hash | True | string |
O HASH a pesquisar. Deve ser um único HASH |
|
Campos
|
fields | True | string |
Lista separada por vírgulas de campos a serem retornados na resposta |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Partilhe correlações e dados de enriquecimento com a Recorded Future Intelligence Cloud. Valor padrão: true |
|
|
Resposta HTML
|
htmlresponse | boolean |
Incluir um modelo HTML na resposta |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
intelCard
|
data.intelCard | string |
Link do Cartão de Inteligência Futura Gravado |
|
criticidadeRótulo
|
data.risk.criticalityLabel | string |
Nível de criticidade do indicador futuro registado |
|
classificação
|
data.risk.score | integer |
Pontuação de Risco do Indicador Futuro Registada |
|
evidênciasDetalhes
|
data.risk.evidenceDetails | array of object |
Detalhes da evidência |
|
evidênciaString
|
data.risk.evidenceDetails.evidenceString | string |
Regras de Risco Futuro Registadas Detalhes da Evidência |
|
regra
|
data.risk.evidenceDetails.rule | string |
Regras de Risco de Indicadores Futuros Registados |
|
riscoResumo
|
data.risk.riskSummary | string |
Resumo das Regras de Risco Futuro Registadas |
|
links
|
data.links | Links |
Links baseados em evidências de alta confiança |
|
html_response
|
data.html_response | string |
Enriquecimento de PI
Enriqueça um IP com dados futuros gravados
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Entrada IP
|
ip | True | string |
O endereço IP a pesquisar. Deve ser um único endereço IP |
|
Campos
|
fields | True | string |
Lista separada por vírgulas de campos a serem retornados na resposta |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Partilhe correlações e dados de enriquecimento com a Recorded Future Intelligence Cloud. Valor padrão: true |
|
|
Resposta HTML
|
htmlresponse | boolean |
Incluir um modelo HTML na resposta |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
intelCard
|
data.intelCard | string |
Link do Cartão de Inteligência Futura Gravado |
|
criticidadeRótulo
|
data.risk.criticalityLabel | string |
Nível de criticidade do indicador futuro registado |
|
classificação
|
data.risk.score | integer |
Pontuação de Risco do Indicador Futuro Registada |
|
evidênciasDetalhes
|
data.risk.evidenceDetails | array of object |
Detalhes da evidência |
|
evidênciaString
|
data.risk.evidenceDetails.evidenceString | string |
Regras de Risco Futuro Registadas Detalhes da Evidência |
|
regra
|
data.risk.evidenceDetails.rule | string |
Regras de Risco de Indicadores Futuros Registados |
|
riscoResumo
|
data.risk.riskSummary | string |
Resumo das Regras de Risco Futuro Registadas |
|
links
|
data.links | Links |
Links baseados em evidências de alta confiança |
|
html_response
|
data.html_response | string |
Enriquecimento de URL
Enriqueça um URL com dados futuros gravados
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Entrada de URL
|
url | True | string |
O URL a pesquisar. Deve ser um único URL |
|
Campos
|
fields | True | string |
Lista separada por vírgulas de campos a serem retornados na resposta |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Partilhe correlações e dados de enriquecimento com a Recorded Future Intelligence Cloud. Valor padrão: true |
|
|
Resposta HTML
|
htmlresponse | boolean |
Incluir um modelo HTML na resposta |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
criticidadeRótulo
|
data.risk.criticalityLabel | string |
Nível de criticidade do indicador futuro registado |
|
classificação
|
data.risk.score | integer |
Pontuação de Risco do Indicador Futuro Registada |
|
evidênciasDetalhes
|
data.risk.evidenceDetails | array of object |
Detalhes da evidência |
|
evidênciaString
|
data.risk.evidenceDetails.evidenceString | string |
Regras de Risco Futuro Registadas Detalhes da Evidência |
|
regra
|
data.risk.evidenceDetails.rule | string |
Regras de Risco de Indicadores Futuros Registados |
|
riscoResumo
|
data.risk.riskSummary | string |
Resumo das Regras de Risco Futuro Registadas |
|
links
|
data.links | Links |
Links baseados em evidências de alta confiança |
|
html_response
|
data.html_response | string |
Enriquecimento de vulnerabilidade
Enriqueça uma vulnerabilidade com dados do Recorded Future
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Entrada de ID da vulnerabilidade (CVE, nome)
|
id | True | string |
O ID da vulnerabilidade (CVE, nome) a pesquisar. Deve ser uma única ID de vulnerabilidade (CVE, nome) |
|
Campos
|
fields | True | string |
Lista separada por vírgulas de campos a serem retornados na resposta |
|
IntelligenceCloud
|
IntelligenceCloud | boolean |
Partilhe correlações e dados de enriquecimento com a Recorded Future Intelligence Cloud. Valor padrão: true |
|
|
Resposta HTML
|
htmlresponse | boolean |
Incluir um modelo HTML na resposta |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
intelCard
|
data.intelCard | string |
Link do Cartão de Inteligência Futura Gravado |
|
criticidadeRótulo
|
data.risk.criticalityLabel | string |
Nível de Criticidade de Vulnerabilidade Futura Registada |
|
classificação
|
data.risk.score | integer |
Pontuação de Risco de Vulnerabilidade Futura Registada |
|
evidênciasDetalhes
|
data.risk.evidenceDetails | array of object |
Detalhes da evidência |
|
evidênciaString
|
data.risk.evidenceDetails.evidenceString | string |
Regras de Risco Futuro Registadas Detalhes da Evidência |
|
regra
|
data.risk.evidenceDetails.rule | string |
Regras de Risco de Vulnerabilidade Futuras Registadas |
|
riscoResumo
|
data.risk.riskSummary | string |
Resumo das Regras de Risco Futuro Registadas |
|
links
|
data.links | Links |
Links baseados em evidências de alta confiança |
|
html_response
|
data.html_response | string |
Malware Fetch Threat Map
Obtenha dados do Mapa de Ameaças para a organização principal da empresa com filtros.
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
desmalware
|
malware | True | array of string |
Lista de malware |
|
categories
|
categories | True | array of string |
Lista de categorias |
|
watchlists
|
watchlists | True | array of string |
Lista de listas de vigilância |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
dados
|
data | ThreatMapMalware |
Notificações de alerta de pesquisa (preteridas)
Preterido, use /v2/alerts em vez disso. Listar notificações de alerta por um conjunto de parâmetros de pesquisa
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Acionado
|
triggered | string |
Todos os formatos de data compatíveis com o Elasticsearch são válidos. |
|
|
ID da Regra de Alerta
|
alertRule | True | string |
ID da Regra de Alerta |
|
Número máximo de registos
|
limit | integer |
Número máximo de registos |
|
|
Registros de offset
|
from | integer |
Registros de offset |
Devoluções
- Body
- AlertSearch
Obter alerta Playbook por ID
Obter os detalhes de alerta de um alerta playbook
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID de alerta do Playbook
|
id | True | string |
O ID de alerta do Playbook |
Devoluções
- Body
- PlaybookAlertLookup
Obter alertas acionados por ID
Obter os detalhes do alerta de um alerta acionado
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da Notificação de Alerta
|
id | True | string |
ID da Notificação de Alerta |
|
Campos a incluir
|
fields | string |
Campo(s) a incluir, por exemplo, "id, hits". Retorna tudo, se não especificado. |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
dados
|
data | AlertSearchV2 |
Obter notificação de alerta por ID (preterido)
Preterido, use /v2/alerts/{id} em vez disso. Obter os detalhes do alerta de um alerta acionado
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
ID da Notificação de Alerta
|
id | True | string |
ID da Notificação de Alerta |
Devoluções
- Body
- AlertLookup
Pesquisar Alertas Playbook
Listar alertas de playbook com base em um conjunto de parâmetros de pesquisa
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Limite
|
limit | string |
Limitar o número de alertas de playbook retornados |
|
|
entidades
|
entities | array of string |
Uma lista de entidades |
|
|
statuses
|
statuses | array of string |
Uma lista de status de alerta |
|
|
prioridades
|
priorities | array of string |
Uma lista de prioridades de alerta |
|
|
categories
|
categories | array of string |
Uma lista de categorias de alerta |
|
|
Relativo criado a partir de
|
created_from_relative | string |
Limite a resposta a alertas de playbook criados no máximo há muitos minutos, horas ou dias. O padrão é o tempo todo. |
|
|
Relativo criado até
|
created_until_relative | string |
Limite a resposta aos alertas do playbook criados o mais tardar há muitos minutos, horas ou dias. O padrão é '-0' (agora). |
|
|
Relativo atualizado a partir de
|
updated_from_relative | string |
Limite a resposta a alertas de playbook atualizados no máximo muitos minutos, horas ou dias no passado. O padrão é '-1d' (um dia atrás). |
|
|
Relativo atualizado até
|
updated_until_relative | string |
Limite a resposta aos alertas do playbook atualizados, o mais tardar, por muitos minutos, horas ou dias no passado. O padrão é '-0' (agora). |
Devoluções
Playbook Alertas correspondentes aos critérios de pesquisa
- Itens
- PlaybookAlertSearch
Regras de alerta de pesquisa
Listar regras de alerta por nome
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
Pesquisa de texto livre
|
freetext | string |
Pesquisa de texto livre para Nome da Regra de Alerta |
|
|
Número máximo de registos
|
limit | integer |
Número máximo de registos |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
results
|
data.results | array of object |
Results |
|
Título da regra de alerta
|
data.results.title | string |
Title |
|
ID da Regra de Alerta
|
data.results.id | string |
Id |
|
Número retornado de regras de alerta
|
counts.returned | integer |
Devolvido |
|
Número total de regras de alerta
|
counts.total | integer |
Total |
Regras de deteção de pesquisa
Obter regras de deteção correspondentes a um filtro de pesquisa
Parâmetros
| Name | Chave | Necessário | Tipo | Description |
|---|---|---|---|---|
|
tipos
|
types | array of string |
Lista de tipos de regras de deteção a serem incluídos na resposta |
|
|
entidades
|
entities | array of string |
Lista de entidades com as quais as regras de deteção devem estar relacionadas |
|
|
before
|
before | date-time |
Limite a resposta às regras de deteção criadas antes dessa data. Exemplo: 2023-06-01T18:00:00Z |
|
|
after
|
after | date-time |
Limitar a resposta às regras de deteção criadas após esta data |
|
|
Limite
|
limit | integer |
Limitar o número de regras de deteção retornadas |
Devoluções
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Contagem de regras de deteção
|
count | integer |
Contar |
|
Regras de deteção
|
result | array of object |
Regras de deteção |
|
id
|
result.id | string | |
|
tipo
|
result.type | string | |
|
title
|
result.title | string | |
|
descrição
|
result.description | string | |
|
rules
|
result.rules | array of object | |
|
nome
|
result.rules.name | string | |
|
descrição
|
result.rules.description | string | |
|
nome_do_ficheiro
|
result.rules.file_name | string | |
|
entidades
|
result.rules.entities | array of object | |
|
id
|
result.rules.entities.id | string | |
|
tipo
|
result.rules.entities.type | string | |
|
nome
|
result.rules.entities.name | string | |
|
display_name
|
result.rules.entities.display_name | string | |
|
conteúdo
|
result.rules.content | string | |
|
criado
|
result.created | string | |
|
atualizado
|
result.updated | string |
Definições
Links
Links baseados em evidências de alta confiança
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
startDate
|
technical.start_date | string |
Data de início do link |
|
stopDate
|
technical.stop_date | string |
Data de interrupção do link |
|
entidades
|
technical.entities | array of LinkEntities |
Entidades relacionadas |
|
startDate
|
research.start_date | string |
Data de início do link |
|
stopDate
|
research.stop_date | string |
Data de interrupção do link |
|
entidades
|
research.entities | array of LinkEntities |
Entidades relacionadas |
LinkEntities
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
tipo
|
type | string |
Tipo de enitity |
|
nome
|
name | string |
Nome da entidade |
|
classificação
|
score | integer |
Pontuação de risco |
|
categoria
|
category | string |
Categoria de entidade |
AlertSearchV2
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
crítica
|
review | AlertReviewV2 | |
|
owner_organisation_details
|
owner_organisation_details | AlertOwnerV2 | |
|
URL
|
url | AlertURLV2 | |
|
regra
|
rule | AlertRuleV2 | |
|
alert_id
|
id | AlertID | |
|
acertos
|
hits | AlertHitsV2 | |
|
registar
|
log | AlertLogV2 | |
|
title
|
title | AlertTitle | |
|
tipo
|
type | AlertType | |
|
ai_insights
|
ai_insights | AlertAiV2 |
AlertaAiV2
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
comentário
|
comment | string | |
|
enviar SMS
|
text | string |
AlertHitsV2
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
entidades
|
entities | array of object | |
|
id
|
entities.id | string | |
|
nome
|
entities.name | string | |
|
tipo
|
entities.type | string | |
|
source_id
|
document.source.id | string | |
|
nome
|
document.source.name | string | |
|
tipo
|
document.source.type | string | |
|
title
|
document.title | string | |
|
URL
|
document.url | string | |
|
authors
|
document.authors | array of object | |
|
id
|
document.authors.id | string | |
|
nome
|
document.authors.name | string | |
|
tipo
|
document.authors.type | string | |
|
fragmento
|
fragment | string | |
|
id
|
id | string | |
|
linguagem
|
language | string | |
|
id
|
primary_entity.id | string | |
|
nome
|
primary_entity.name | string | |
|
tipo
|
primary_entity.type | string | |
|
analyst_note
|
analyst_note | string |
AlertSearch
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
results
|
data.results | array of object | |
|
crítica
|
data.results.review | AlertReview | |
|
URL
|
data.results.url | AlertURL | |
|
regra
|
data.results.rule | AlertRule | |
|
acionado
|
data.results.triggered | AlertTriggered | |
|
alert_id
|
data.results.id | AlertID | |
|
title
|
data.results.title | AlertTitle | |
|
tipo
|
data.results.type | AlertType | |
|
devolvido
|
counts.returned | integer | |
|
total
|
counts.total | integer |
AlertLookup
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
crítica
|
data.review | AlertReview | |
|
entidades
|
data.entities | AlertEntities | |
|
URL
|
data.url | AlertURL | |
|
regra
|
data.rule | AlertRule | |
|
acionado
|
data.triggered | AlertTriggered | |
|
alert_id
|
data.id | AlertID | |
|
Referências
|
data.counts.references | integer | |
|
entidades
|
data.counts.entities | integer | |
|
Documentação
|
data.counts.documents | integer | |
|
title
|
data.title | AlertTitle | |
|
tipo
|
data.type | AlertType |
AlertLogV2
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
note_author
|
note_author | string | |
|
note_date
|
note_date | date-time | |
|
status_date
|
status_date | string | |
|
acionado
|
triggered | string | |
|
status_change_by
|
status_change_by | string |
AlertOwnerV2
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
Organizações
|
organisations | array of object | |
|
id_organização
|
organisations.organisation_id | string | |
|
organisation_name
|
organisations.organisation_name | string | |
|
enterprise_id
|
enterprise_id | string | |
|
enterprise_name
|
enterprise_name | string |
AlertReviewV2
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
detentor
|
assignee | string | |
|
estado
|
status | string | |
|
status_in_portal
|
status_in_portal | string | |
|
Observação
|
note | string |
AlertReview
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
detentor
|
assignee | string | |
|
estado
|
status | string | |
|
notaData
|
noteDate | string | |
|
notaAutor
|
noteAuthor | string | |
|
Observação
|
note | string |
AlertEntities
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
tendência
|
trend | object | |
|
Documentação
|
documents | array of object | |
|
Referências
|
documents.references | array of object | |
|
fragmento
|
documents.references.fragment | string | |
|
entidades
|
documents.references.entities | array of object | |
|
id
|
documents.references.entities.id | string | |
|
nome
|
documents.references.entities.name | string | |
|
tipo
|
documents.references.entities.type | string | |
|
linguagem
|
documents.references.language | string | |
|
id
|
documents.source.id | string | |
|
nome
|
documents.source.name | string | |
|
tipo
|
documents.source.type | string | |
|
title
|
documents.title | string | |
|
URL
|
documents.url | string | |
|
risco
|
risk | object | |
|
id
|
entity.id | string | |
|
nome
|
entity.name | string | |
|
tipo
|
entity.type | string |
AlertURL
Regra de alerta
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
nome
|
name | string | |
|
id
|
id | string | |
|
URL
|
url | string |
AlertaURLV2
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
api
|
api | string | |
|
portal
|
portal | string |
AlertRuleV2
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
nome
|
name | string | |
|
rule_id
|
id | string | |
|
portal
|
url.portal | string |
AlertTriggered
ID do alerta
- alert_id
- string
AlertTitle
AlertType
PlaybookAlertSearch
Playbook Alertas correspondentes aos critérios de pesquisa
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
playbook_alert_id
|
playbook_alert_id | string | |
|
criado
|
created | string | |
|
atualizado
|
updated | string | |
|
estado
|
status | string | |
|
categoria
|
category | string | |
|
priority
|
priority | string | |
|
title
|
title | string | |
|
owner_id
|
owner_id | string | |
|
owner_name
|
owner_name | string | |
|
id_organização
|
organisation_id | string | |
|
organistaion_name
|
organistaion_name | string | |
|
Organizações
|
owner_organisation_details.organisations | array of object | |
|
id_organização
|
owner_organisation_details.organisations.organisation_id | string | |
|
organisation_name
|
owner_organisation_details.organisations.organisation_name | string | |
|
enterprise_id
|
owner_organisation_details.enterprise_id | string | |
|
enterprise_name
|
owner_organisation_details.enterprise_name | string |
PlaybookAlertLookup
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
title
|
title | string | |
|
id
|
id | string | |
|
categoria
|
category | string | |
|
rule_label
|
rule_label | string | |
|
estado
|
status | string | |
|
priority
|
priority | string | |
|
targets
|
targets | string | |
|
created_date
|
created_date | string | |
|
updated_date
|
updated_date | string | |
|
evidence_summary
|
evidence_summary | string | |
|
ligação
|
link | string | |
|
json_alert
|
json_alert | string |
ThreatMapActors
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
threat_map
|
data.threat_map | array of object | |
|
id
|
data.threat_map.id | string | |
|
nome
|
data.threat_map.name | string | |
|
alias
|
data.threat_map.alias | array of string | |
|
categories
|
data.threat_map.categories | array of object | |
|
id
|
data.threat_map.categories.id | string | |
|
nome
|
data.threat_map.categories.name | string | |
|
intenção
|
data.threat_map.intent | integer | |
|
oportunidade
|
data.threat_map.opportunity | integer | |
|
log_entries
|
data.threat_map.log_entries | array of object | |
|
id
|
data.threat_map.log_entries.watchlist.id | string | |
|
nome
|
data.threat_map.log_entries.watchlist.name | string | |
|
id
|
data.threat_map.log_entries.entity.id | string | |
|
nome
|
data.threat_map.log_entries.entity.name | string | |
|
severity
|
data.threat_map.log_entries.severity | integer | |
|
eixo
|
data.threat_map.log_entries.axis | string | |
|
date
|
data.threat_map.log_entries.date | date-time | |
|
date
|
data.date | date-time |
ThreatHuntActores
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
confiança
|
confidence | integer | |
|
descrição
|
description | string | |
|
id
|
id | string | |
|
indicator_types
|
indicator_types | array of string | |
|
labels
|
labels | array of string | |
|
nome
|
name | string | |
|
padrão
|
pattern | string | |
|
pattern_type
|
pattern_type | string | |
|
spec_version
|
spec_version | string | |
|
tipo
|
type | string | |
|
criado
|
created | string | |
|
modified
|
modified | string | |
|
valid_from
|
valid_from | string | |
|
valid_until
|
valid_until | string | |
|
external_references
|
external_references | array of object | |
|
source_name
|
external_references.source_name | string | |
|
descrição
|
external_references.description | string | |
|
external_id
|
external_references.external_id | string | |
|
URL
|
external_references.url | string |
ThreatMapMalware
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
threat_map
|
data.threat_map | array of object | |
|
id
|
data.threat_map.id | string | |
|
nome
|
data.threat_map.name | string | |
|
alias
|
data.threat_map.alias | array of string | |
|
categories
|
data.threat_map.categories | array of object | |
|
id
|
data.threat_map.categories.id | string | |
|
nome
|
data.threat_map.categories.name | string | |
|
intenção
|
data.threat_map.intent | integer | |
|
oportunidade
|
data.threat_map.opportunity | integer | |
|
log_entries
|
data.threat_map.log_entries | array of object | |
|
id
|
data.threat_map.log_entries.watchlist.id | string | |
|
nome
|
data.threat_map.log_entries.watchlist.name | string | |
|
id
|
data.threat_map.log_entries.entity.id | string | |
|
nome
|
data.threat_map.log_entries.entity.name | string | |
|
severity
|
data.threat_map.log_entries.severity | integer | |
|
eixo
|
data.threat_map.log_entries.axis | string | |
|
date
|
data.threat_map.log_entries.date | date-time | |
|
date
|
data.date | date-time |
ThreatHuntMalware
| Name | Caminho | Tipo | Description |
|---|---|---|---|
|
confiança
|
confidence | integer | |
|
descrição
|
description | string | |
|
id
|
id | string | |
|
indicator_types
|
indicator_types | array of string | |
|
labels
|
labels | array of string | |
|
nome
|
name | string | |
|
padrão
|
pattern | string | |
|
pattern_type
|
pattern_type | string | |
|
spec_version
|
spec_version | string | |
|
tipo
|
type | string | |
|
criado
|
created | string | |
|
modified
|
modified | string | |
|
valid_from
|
valid_from | string | |
|
valid_until
|
valid_until | string | |
|
external_references
|
external_references | array of object | |
|
source_name
|
external_references.source_name | string | |
|
descrição
|
external_references.description | string | |
|
external_id
|
external_references.external_id | string | |
|
URL
|
external_references.url | string |