共用方式為

任何。RUN 威脅情報 (預覽版)

該連接器使安全和 IT 團隊能夠通過合併 ANY.RUN 的威脅情報 功能可透過適用於端點的 Defender 和 Sentinel 等應用程式進行手動和自動化工作流程。

此連接器適用於以下產品和區域:

服務 Class Regions
副駕駛工作室 進階 除下列區域外的所有 Power Automate 區域
     - 美國政府 (GCC)
     - 美國政府(海灣合作委員會高中)
     - 由 21Vianet 營運的中國雲
     - 美國國防部 (DoD)
邏輯應用程式 標準 所有 Logic Apps 區域, 但下列區域除外:
     - Azure Government 區域
     - Azure 中國區域
     - 美國國防部 (DoD)
Power Apps 進階 除下列區域外的所有 Power Apps 區域
     - 美國政府 (GCC)
     - 美國政府(海灣合作委員會高中)
     - 由 21Vianet 營運的中國雲
     - 美國國防部 (DoD)
Power Automate(自動化服務) 進階 除下列區域外的所有 Power Automate 區域
     - 美國政府 (GCC)
     - 美國政府(海灣合作委員會高中)
     - 由 21Vianet 營運的中國雲
     - 美國國防部 (DoD)
連絡人​​
名稱 任何。跑
URL https://app.any.run/contact-us
Email support@any.run
連接器中繼資料
Publisher 安潤FZCO
任何。RUN API 文件 https://docs.microsoft.com/connectors/anyrunthreatintellig
網站 https://any.run
隱私策略 https://any.run/privacy.pdf
類別 安全性;IT 營運

任何。RUN 威脅情報連接器

該連接器使安全和 IT 團隊能夠通過合併 ANY.RUN 的威脅情報 功能可透過適用於端點的 Defender 和 Sentinel 等應用程式進行手動和自動化工作流程。

先決條件

若要使用此連接器,您需要有一個 ANY。RUN 帳戶、API 金鑰和 TI Lookup 訂閱

API 文件

https://any.run/api-documentation/

部署指示

請使用 這些指示 ,在 Microsoft Power Automate 和 Power Apps 中將此連接器部署為自訂連接器。

支援的作業

連接器支援下列作業:

  • Get threat intelligence data from ANY.RUN Threat Intelligence service:在 ANY 中執行調查動作。RUN 威脅情報服務

正在建立連線

連接器支援下列驗證類型:
預設值 建立連線的參數。 所有區域 不可共享

預設

適用:所有地區

建立連線的參數。

這不是可共用的連線。 如果 Power App 與其他使用者共用,系統會明確提示其他使用者建立新連線。

名稱 類型 Description 為必填項目
API-Key securestring 此 API 的 API 金鑰 (格式:API-Key <金鑰>)

節流限制

名稱 呼叫 續約期間
每個連線的 API 呼叫 100 60 秒

動作

從 ANY 取得威脅情報資料。RUN 威脅情報服務

在 ANY 中執行調查行動。RUN 威脅情報服務。

從 ANY 取得威脅情報資料。RUN 威脅情報服務

作業識別碼:
GetIntelligence

在 ANY 中執行調查行動。RUN 威脅情報服務。

參數

名稱 機碼 必要 類型 Description
查詢
 query True string

指定您的搜尋查詢。 數個查詢可以與 AND 運算子結合在一起,以獲得更具體的結果。
startDate
 startDate string

指定所需搜尋期間的開始日期。 必須採用 YYYY-MM-DD 格式。
結束日期
 endDate string

指定所需搜尋期間的結束日期。 必須採用 YYYY-MM-DD 格式。

傳回

身體
ResponseApiDto

定義

ResponseApiD設為

名稱 路徑 類型 Description
destinationPort
 destinationPort array of integer

目的地連接埠號碼。
目的地IPgeo
 destinationIPgeo array of string

目的地 IP 地理位置 (國家/地區)。
目的地IpAsn
 destinationIpAsn array of object

目的地 IP ASN (自治系統編號)。
asn (自動傳感器網路)
 destinationIpAsn.asn string

目的地 IP ASN。
date
 destinationIpAsn.date date-time

目的地 IP ASN 日期。
相關任務
 relatedTasks array of string

Links to related tasks in ANY.RUN 沙箱。
威脅名稱
 threatName array of string

威脅名稱。
威脅等級
 summary.threatLevel integer
最後看到
 summary.lastSeen date-time
偵測到類型
 summary.detectedType string
是審判
 summary.isTrial boolean
相關事件
 relatedIncidents array of RelatedIncidentApiDto

相關事件。
目的地IP
 destinationIP array of DestinationIpApiDto

目的地 IP 位址。
相關檔案
 relatedFiles array of RelatedFileApiDto

相關檔案資料。
相關DNS
 relatedDNS array of RelatedDnsApiDto

相關 DNS。
相關網址
 relatedURLs array of RelatedUrlApiDto

相關網址。
來源任務
 sourceTasks array of SourceTaskApiDto

來源任務資訊。
相關同步物件
 relatedSynchronizationObjects array of RelatedSynchronizationObjectsApiDto

相關同步處理物件資料。
相關網路威脅
 relatedNetworkThreats array of RelatedNetworkThreatApiDto

相關的網路威脅資料。

相關事件ApiDto

名稱 路徑 類型 Description
工作
 task string

連結至 ANY 中的任務。RUN 沙箱。
time
 time date-time

創建時間。
米特爾
 MITRE array of string

MITRE 矩陣技術 ID 和子技術 ID 的陣列。
威脅名稱
 threatName array of string

威脅名稱。
事件
 event EventApiDto
流程
 process ProcessApiDto

EventApiD為

名稱 路徑 類型 Description
規則名稱
 ruleName string

規則名稱。
命令列
 commandLine string

命令列字串。
圖像路徑
 imagePath string

影像路徑字串。
PID
 pid integer

進程 ID。
title
 title array of string

事件類型的標題。
destinationPort
 destinationPort array of string

目的地連接埠號碼。
目的地IP
 destinationIP string

目的地 IP 位址。
目的地IPgeo
 destinationIPgeo array of string

目的地 IP 地理位置 (國家/地區)。
目的地IpAsn
 destinationIpAsn array of string

目的地 IP ASN (自治系統編號)。
url
 url string

網址。
fileName
 fileName string

檔案名稱。
登錄鍵
 registryKey string

登錄機碼。
registryName
 registryName array of string

登錄名稱。
註冊表值
 registryValue array of string

登錄值。
模組影像路徑
 moduleImagePath string

模組映像路徑。
注入旗標
 injectedFlag boolean

注入標誌。
domainName
 domainName array of string

網域名稱。
httpRequestContentType
 httpRequestContentType string

請求內容類型。
httpRequestContentFile
 httpRequestContentFile string

要求內容檔案。
http回應內容類型
 httpResponseContentType string

回應內容類型。
httpResponseContentFile
 httpResponseContentFile string

回應內容檔案。
規則威脅等級
 ruleThreatLevel string

規則威脅等級。
沙256
 sha256 string

SHA256 雜湊。

ProcessApiD新增至

名稱 路徑 類型 Description
命令列
 commandLine string

命令列字串。
圖像路徑
 imagePath string

影像路徑字串。
威脅名稱
 threatName string

威脅名稱。
米特爾
 MITRE array of string

MITRE 矩陣技術 ID 和子技術 ID 的陣列。
PID
 pid integer

進程 ID。
分數
 scores ProcessScoresDto

過程分數。
事件計數器
 eventsCounters EventsCountersDto

事件計數器。
威脅等級
 threatLevel integer

威脅等級。

ProcessScoresD設定為

過程分數。

名稱 路徑 類型 Description
規格
 specs ProcessScoresSpecsDto

過程評分規格。

ProcessScoresSpecsD設定為

過程評分規格。

名稱 路徑 類型 Description
known_threat
 known_threat boolean

指出它是否為已知威脅。
network_loader
 network_loader boolean

指出是否偵測到網路下載。
網路
 network boolean

指出是否已啟用網路活動。
uac_request
 uac_request boolean

指出是否偵測到使用者存取控制 (UAC) 要求。
注射
 injects boolean

指出威脅是否使用注入。
service_luncher
 service_luncher boolean

指出是否偵測到新的服務註冊。
executable_dropped
 executable_dropped boolean

指出威脅是否使用捨棄的可執行檔。
多處理
 multiprocessing boolean

指出威脅是否使用多重處理。
crashed_apps
 crashed_apps boolean

指出應用程式是否當機。
debug_output
 debug_output boolean

指出應用程式是否有偵錯輸出訊息。
偷竊
 stealing boolean

指出進程是否從受感染的電腦竊取資訊。
可利用
 exploitable boolean

指出是否偵測到任何已知的漏洞。
static_detections
 static_detections boolean

指出靜態分析引擎是否偵測到任何惡意模式。
susp_struct
 susp_struct boolean

是 susp 結構。
自動啟動
 autostart boolean

指出應用程式是否已新增至自動啟動。
low_access
 low_access boolean

指出威脅是否使用低階存取。
托爾
 tor boolean

指出是否使用了 TOR。
垃圾郵件
 spam boolean

指出是否偵測到垃圾郵件。
malware_config
 malware_config boolean

指出是否從提交的檔案中擷取惡意軟體組態。
process_dump
 process_dump boolean

指出是否可以擷取進程記憶體傾印。

EventsCountersDto

事件計數器。

名稱 路徑 類型 Description
raw EventsCountersRawDto

事件計數器原始。

EventsCountersRawDto

事件計數器原始。

名稱 路徑 類型 Description
登錄
 registry integer

編號或登錄事件。
files
 files integer

編號或檔案。
modules
 modules integer

編號或模組。
物件
 objects integer

數字或物件。
RPC
 rpc integer

編號或 RPC。

DestinationIpApiD設定為

名稱 路徑 類型 Description
目的地IP
 destinationIP string

目的地 IP 位址。
date
 date date-time

創建日期。
威脅等級
 threatLevel integer

威脅等級。
威脅名稱
 threatName array of string

威脅名稱。
是馬爾康
 isMalconf boolean

指出 IOC 是否是從惡意軟體組態中擷取的。

RelatedFileApiDto

名稱 路徑 類型 Description
工作
 task string

連結至 ANY 中的任務。RUN 沙箱。
title
 title string

事件類型的標題。
檔案連結
 fileLink string

連結至 HTTP 回應檔案。
time
 time date-time

創建日期。
fileName
 fileName string

檔案名稱。
檔案分機
 fileExt string

檔案副檔名。
流程
 process ProcessApiDto
雜湊
 hashes HashesApiDto

相關DnsApiDto

名稱 路徑 類型 Description
domainName
 domainName string

網域名稱。
威脅名稱
 threatName array of string

威脅名稱。
威脅等級
 threatLevel integer

威脅等級。
date
 date date-time

創建日期。
是馬爾康
 isMalconf boolean

指出 IOC 是否是從惡意軟體組態中擷取的。

相關網址ApiDto

名稱 路徑 類型 Description
url
 url string

網址。
date
 date date-time

創建日期。
威脅等級
 threatLevel integer

威脅等級。
威脅名稱
 threatName array of string

威脅名稱。
是馬爾康
 isMalconf boolean

指出 IOC 是否是從惡意軟體組態中擷取的。

SourceTaskApiD設定為

名稱 路徑 類型 Description
全域唯一識別碼 (UUID)
 uuid string

任務 UUID。
相關
 related string

連結至 ANY 中的任務。RUN 沙箱。
date
 date date-time

任務建立時間。
威脅等級
 threatLevel integer

威脅等級。
tags
 tags array of string

標籤。
mainObject
 mainObject MainObjectApiDto

主要物件資訊。

MainObjectApiD設定為

主要物件資訊。

名稱 路徑 類型 Description
型別
 type string

類型。
名稱
 name string

名稱.
雜湊
 hashes HashesApiDto

RelatedSynchronizationObjectsApiD新增至

名稱 路徑 類型 Description
syncObjectTime
 syncObjectTime date-time

時間。
syncObjectType
 syncObjectType string

類型。
syncObject操作
 syncObjectOperation string

手術。
syncObjectName
 syncObjectName string

名稱.
工作
 task string

任務連結。
流程
 process ProcessApiDto

相關NetworkThreatApiDto

名稱 路徑 類型 Description
suricata類別
 suricataClass string

蘇里卡塔類。
圖像路徑
 imagePath string

影像路徑。
蘇里卡塔ID
 suricataID string

SID。
suricata訊息
 suricataMessage string

蘇里卡塔消息。
tags
 tags array of string

標籤。
米特爾
 MITRE array of string

MITRE 矩陣技術 ID 和子技術 ID 的陣列。
suricataThreatLevel
 suricataThreatLevel string

蘇里卡塔威脅等級。
工作
 task string

任務連結。

HashesApiDto

名稱 路徑 類型 Description
md5
 md5 string

MD5 雜湊字串。
沙1
 sha1 string

SHA1 雜湊字串。
沙256
 sha256 string

SHA256 雜湊字串。
SSDEEP
 ssdeep string

Ssdeep 雜湊字串。