Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Namespace: microsoft.graph
Importante
As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Atualize as propriedades de um objeto tiIndicator .
Esta API está disponível nas seguintes implementações de cloud nacionais.
| Serviço global | US Government L4 | US Government L5 (DOD) | China operada pela 21Vianet |
|---|---|---|---|
| ✅ | ❌ | ❌ | ❌ |
Permissões
Escolha a permissão ou permissões marcadas como menos privilegiadas para esta API. Utilize uma permissão ou permissões com privilégios mais elevados apenas se a sua aplicação o exigir. Para obter detalhes sobre as permissões delegadas e de aplicação, veja Tipos de permissão. Para saber mais sobre estas permissões, veja a referência de permissões.
| Tipo de permissão | Permissões com menos privilégios | Permissões com privilégios superiores |
|---|---|---|
| Delegado (conta corporativa ou de estudante) | ThreatIndicators.ReadWrite.OwnedBy | Indisponível. |
| Delegado (conta pessoal da Microsoft) | Sem suporte. | Sem suporte. |
| Application | ThreatIndicators.ReadWrite.OwnedBy | Indisponível. |
Solicitação HTTP
PATCH /security/tiIndicators/{id}
Cabeçalhos de solicitação
| Nome | Descrição |
|---|---|
| Authorization | Portador {code} Necessário |
| Preferir | return=representation |
Corpo da solicitação
No corpo da solicitação, forneça os valores para os campos relevantes que devem ser atualizados. As propriedades existentes que não estão incluídas no corpo do pedido mantêm os valores anteriores ou são recalculadas com base em alterações a outros valores de propriedade. Para alcançar o melhor desempenho, não inclua valores existentes que não foram alterados. Os campos obrigatórios são: id, , expirationDateTimetargetProduct.
| Propriedade | Tipo | Descrição |
|---|---|---|
| ação | string | A ação a aplicar se o indicador for correspondido a partir da ferramenta de segurança TargetProduct. Os valores possíveis são: unknown, allow, block, alert. |
| activityGroupNames | String collection | Os nomes das informações sobre ameaças cibernéticas para as partes responsáveis pela atividade maliciosa abrangida pelo indicador de ameaça. |
| additionalInformation | Cadeia de caracteres | Uma área catchall na qual podem ser colocados dados adicionais do indicador não abrangidos pelas outras propriedades tiIndicator. Normalmente, os dados colocados em additionalInformation não serão utilizados pela ferramenta de segurança targetProduct. |
| confidence | Int32 | Um número inteiro que representa a confiança dos dados no indicador identifica com precisão comportamentos maliciosos. Os valores aceitáveis são 0 – 100, sendo 100 o valor mais alto. |
| description | Cadeia de caracteres | Breve descrição (100 carateres ou menos) da ameaça representada pelo indicador. |
| diamondModel | diamondModel | A área do Modelo Losango no qual este indicador existe. Os valores possíveis são: unknown, adversary, capability, infrastructure, victim. |
| expirationDateTime | DateTimeOffset | Cadeia DateTime que indica quando o Indicador expira. Todos os indicadores têm de ter uma data de expiração para evitar que os indicadores obsoletos persistam no sistema. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. |
| externalId | Cadeia de caracteres | Um número de identificação que liga o indicador ao sistema do fornecedor de indicadores (por exemplo, uma chave externa). |
| isActive | Booliano | Utilizado para desativar indicadores no sistema. Por predefinição, qualquer indicador submetido é definido como ativo. No entanto, os fornecedores podem submeter indicadores existentes com este conjunto como "Falso" para desativar indicadores no sistema. |
| killChain | coleção killChain | Uma matriz JSON de cadeias que descreve qual o ponto ou pontos na Cadeia de Eliminação que este indicador procura. Veja os "valores killChain" abaixo para obter os valores exatos. |
| knownFalsePositives | Cadeia de caracteres | Cenários em que o indicador pode causar falsos positivos. Deve ser texto legível por humanos. |
| lastReportedDateTime | DateTimeOffset | A última vez que o indicador foi visto. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. |
| malwareFamilyNames | String collection | O nome da família de software maligno associado a um indicador, se existir. A Microsoft prefere o nome da família de software maligno da Microsoft, se possível, que possa ser encontrado através da enciclopédia de ameaças das Informações de Segurança do Windows Defender. |
| passiveOnly | Booliano | Determina se o indicador deve acionar um evento que está visível para um utilizador final. Quando definidas como 'true', as ferramentas de segurança não notificam o utilizador final de que ocorreu um 'hit'. Esta situação é geralmente tratada como auditoria ou modo silencioso por produtos de segurança onde irão registar que ocorreu uma correspondência, mas não efetuam a ação. O valor padrão é falso. |
| severity | Int32 | Um número inteiro que representa a gravidade do comportamento malicioso identificado pelos dados no indicador. Os valores aceitáveis são 0 – 5, em que 5 é o mais grave e zero não é grave. O valor predefinido é 3. |
| tags | String collection | Uma matriz JSON de cadeias que armazena etiquetas/palavras-chave arbitrárias. |
| tlpLevel | tlpLevel | Valor do Protocolo de Semáforo para o indicador. Os valores possíveis são: unknown, white, green, amber, red. |
Resposta
Se tiver êxito, este método retornará um código de resposta 204 No Content.
Se for utilizado o cabeçalho do pedido opcional, o método devolve um 200 OK código de resposta e o objeto tiIndicator atualizado no corpo da resposta.
Exemplos
Exemplo 1: Pedir sem cabeçalho Prefer
Solicitação
O exemplo seguinte mostra um pedido sem o Prefer cabeçalho.
PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
{
"description": "description-updated",
}
Resposta
O exemplo a seguir mostra a resposta.
HTTP/1.1 204 No Content
Exemplo 2: Pedir com o cabeçalho Preferir
Solicitação
O exemplo seguinte mostra um pedido que inclui o Prefer cabeçalho.
PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
Prefer: return=representation
{
"additionalInformation": "additionalInformation-after-update",
"confidence": 42,
"description": "description-after-update",
}
Resposta
O exemplo a seguir mostra a resposta.
Observação
O objeto de resposta mostrado aqui pode ser reduzido para facilitar a leitura.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#Security/tiIndicators/$entity",
"id": "e58c072b-c9bb-a5c4-34ce-eb69af44fb1e",
"azureTenantId": "XXXXXXXXXXXXXXXXXXXXXXXXX",
"action": null,
"additionalInformation": "additionalInformation-after-update",
"activityGroupNames": [],
"confidence": 42,
"description": "description-after-update",
}