Microsoft Graph 安全性 (已淘汰) [已淘汰]
Microsoft Graph 安全性連接器可協助使用統一的架構來連接不同的 Microsoft 和合作夥伴安全性產品和服務,以簡化安全性作業,並改善威脅防護、偵測和回應功能。 深入瞭解如何與 Microsoft Graph 安全性 API 整合,請參閱 https://aka.ms/graphsecuritydocs (已淘汰)
此連接器適用於以下產品和區域:
| 服務 | Class | Regions |
|---|---|---|
| 副駕駛工作室 | 進階 | 除下列區域外的所有 Power Automate 區域 : - 美國政府 (GCC) - 美國政府(海灣合作委員會高中) - 由 21Vianet 營運的中國雲 - 美國國防部 (DoD) |
| 邏輯應用程式 | 標準 | 所有 Logic Apps 區域, 但下列區域除外: - Azure Government 區域 - Azure 中國區域 - 美國國防部 (DoD) |
| Power Apps | 進階 | 除下列區域外的所有 Power Apps 區域 : - 美國政府 (GCC) - 美國政府(海灣合作委員會高中) - 由 21Vianet 營運的中國雲 - 美國國防部 (DoD) |
| Power Automate(自動化服務) | 進階 | 除下列區域外的所有 Power Automate 區域 : - 美國政府 (GCC) - 美國政府(海灣合作委員會高中) - 由 21Vianet 營運的中國雲 - 美國國防部 (DoD) |
| 連絡人 | |
|---|---|
| 名稱 | Microsoft |
| URL |
Microsoft LogicApps 支援 Microsoft Power Automate 支援 Microsoft Power Apps 支援 |
| sipsisgdev@microsoft.com |
| 連接器中繼資料 | |
|---|---|
| Publisher | Microsoft |
| 網站 | https://www.microsoft.com/security/business/graph-security-api |
連線至 Microsoft Graph 安全性連接器的必要條件
深入瞭解 Microsoft Graph 安全性 API。
若要使用 Microsoft Graph 安全性連接器動作 ,請從觸發程式開始,例如週期觸發程式。
若要使用 Microsoft Graph 安全性連接器,必須提供 Microsoft Entra ID 租用戶系統管理員同意,作為 Microsoft Graph 安全性驗證需求的一部分。
Microsoft Graph 安全性連接器應用程式識別碼和名稱 (適用於 中的 Microsoft Entra ID https://portal.azure.com) ,適用於 Microsoft Entra ID 系統管理員同意:
- 應用程式名稱 - MicrosoftGraphSecurityConnector
- 應用程式識別碼 - c4829704-0edc-4c3d-a347-7c4a67586f3c
- 租用戶系統管理員可以遵循授與上述應用程式的 Microsoft Entra ID 應用程式租用戶系統管理員同意 中所述的步驟,也可以根據 應用程式同意體驗,使用 Microsoft Graph 安全性連接器在工作流程初始執行時授與許可權。
您現在已準備好使用 Microsoft Graph 安全性連接器!
連接器深入
有關連接器的更多資訊,請參閱 深入部分。
正在建立連線
連接器支援下列驗證類型:
| 預設值 | 建立連線的參數。 | 所有區域 | 不可共享 |
預設
適用:所有地區
建立連線的參數。
這不是可共用的連線。 如果 Power App 與其他使用者共用,系統會明確提示其他使用者建立新連線。
節流限制
| 名稱 | 呼叫 | 續約期間 |
|---|---|---|
| 每個連線的 API 呼叫 | 100 | 60 秒 |
動作
|
依 ID 刪除 ti |
刪除與指定識別碼對應的威脅情報指標 (已棄用)。 |
|
依 ID 刪除多個 ti |
刪除與指定識別碼相對應的多個威脅情報指標(已棄用)。 |
|
依 ID 取得 ti |
取得對應至指定識別碼的威脅情報指標 (已棄用) 。 |
| 依 ID 取得警示 (已淘汰) [已淘汰] |
取得對應至指定識別碼的安全性警示 (已棄用)。 |
| 刪除訂用帳戶 (已淘汰) [已淘汰] |
刪除特定的 Microsoft Graph Webhook 訂用帳戶 (已淘汰) 。 |
|
取得 ti |
取得此 Microsoft Entra ID 租使用者的威脅情報指標清單。 與不同的查詢參數搭配使用(已淘汰)。 |
| 取得作用中的訂用帳戶 (已淘汰) [已淘汰] |
取得此 Microsoft Entra ID 租用戶的未到期訂用帳戶清單 (已取代)。 |
| 取得警示 (已淘汰) [已淘汰] |
取得此 Microsoft Entra ID 租使用者的安全性警示清單。 與不同的查詢參數搭配使用(已淘汰)。 |
|
建立 ti |
張貼至 tiIndicators 集合 (已淘汰) 來建立新的威脅情報指標。 |
| 建立訂閱 (已淘汰) [已淘汰] |
建立 Microsoft Graph Webhook 訂用帳戶 (已淘汰)。 |
|
按外部 ID 刪除多個 ti |
刪除與指定外部識別碼對應的多個威脅情報指標(已棄用)。 |
|
提交多個 ti |
透過張貼 tiIndicators 集合來建立新的威脅情報指標。 每個 tiIndicator 的必要欄位為:action、azureTenantId、description、expirationDateTime、targetProduct、threatType、tlpLevel (已淘汰)。 |
|
更新 ti |
更新威脅情報指標的特定屬性。 tiIndicator 的必要欄位為:Id、expirationDateTime 和 targetProduct (已棄用)。 |
|
更新多個 ti |
更新多個威脅情報指標的特定屬性。 每個 tiIndicator 的必要欄位為:Id、expirationDateTime 和 targetProduct (已淘汰)。 |
| 更新訂用帳戶 (已淘汰) [已淘汰] |
更新 Microsoft Graph Webhook 訂用帳戶,方法是更新其到期時間 (已淘汰)。 |
| 更新警示 (已淘汰) [已淘汰] |
更新安全性警示的特定屬性 (已淘汰)。 |
依 ID 刪除 tiIndicator (已棄用) [已棄用]
刪除與指定識別碼對應的威脅情報指標 (已棄用)。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
指定威脅情報指標識別碼 |
依 ID 刪除多個 tiIndicators(已棄用) [已棄用]
刪除與指定識別碼相對應的多個威脅情報指標(已棄用)。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
value
|
value | array of string |
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
value
|
value | array of object | |
|
字碼
|
value.code | integer |
結果代碼 |
|
訊息
|
value.message | string |
訊息 |
|
子代碼
|
value.subcode | integer |
結果子程式碼 |
依 ID 取得 tiIndicator (已棄用) [已棄用]
取得對應至指定識別碼的威脅情報指標 (已棄用) 。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
指定威脅情報指標識別碼 |
傳回
傳回的單一 TiIndicator 實體
- Ti指標
- TiIndicator
依 ID 取得警示 (已淘汰) [已淘汰]
取得對應至指定識別碼的安全性警示 (已棄用)。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
警示識別碼
|
alert-id | True | string |
指定警示識別碼。 |
傳回
傳回單一警示實體
- Alert
- Alert
刪除訂用帳戶 (已淘汰) [已淘汰]
刪除特定的 Microsoft Graph Webhook 訂用帳戶 (已淘汰) 。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
訂用帳戶識別碼
|
Subscription Id | True | string |
指定 Microsoft Graph Webhook 訂用帳戶識別碼。 |
取得 tiIndicators(已棄用) [已棄用]
取得此 Microsoft Entra ID 租使用者的威脅情報指標清單。 與不同的查詢參數搭配使用(已淘汰)。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
篩選 tiIndicators
|
$filter | string |
指定威脅情報指標的篩選條件,例如 threatType eq 'WatchList' |
|
|
頂級 tiIndicators
|
$top | integer |
指定要擷取的威脅情報指標的最近最高數目 |
|
|
選取 tiIndicator 屬性
|
$select | string |
指定要包含在結果中的威脅情報指標屬性。 |
|
|
包含傳回的 tiIndicators 計數
|
$count | string |
指定以包含回應中傳回的威脅情報指標數目 |
|
|
略過 “n” 結果
|
$skip | integer |
指定要略過的結果數目。 對於分頁很有用。 |
|
|
排序順序
|
$orderby | string |
指定結果的排序順序。 |
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
TiIndicator 計數
|
@odata.count | integer |
傳回的TiIndicator數量 |
|
Ti指標
|
value | array of TiIndicator |
TiIndicator 傳回 |
|
下一個鏈接
|
@odata.nextLink | string |
獲取下一個結果的鏈接,以防結果多於請求 |
取得作用中的訂用帳戶 (已淘汰) [已淘汰]
取得此 Microsoft Entra ID 租用戶的未到期訂用帳戶清單 (已取代)。
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
現有訂閱次數
|
@odata.count | integer |
傳回的訂閱次數 |
|
Subscription
|
value | array of Subscription |
傳回的訂閱實體 |
|
下一個鏈接
|
@odata.nextLink | string |
獲取下一個結果的鏈接,以防結果多於請求 |
取得警示 (已淘汰) [已淘汰]
取得此 Microsoft Entra ID 租使用者的安全性警示清單。 與不同的查詢參數搭配使用(已淘汰)。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
篩選警示
|
$filter | string |
指定警示的篩選條件,例如嚴重性等式「高」。 |
|
|
熱門警示
|
$top | integer |
指定要從每個提供者擷取的最新最高警示數目。 |
|
|
選取警示屬性
|
$select | string |
指定要包含在結果中的警示內容。 |
|
|
排序順序
|
$orderby | string |
指定結果的排序順序。 |
|
|
略過 “n” 結果
|
$skip | integer |
指定要略過的結果數目。 對於分頁很有用。 |
|
|
包括傳回的警示計數
|
$count | string |
指定以包含回應中傳回的警示數目 |
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
警示計數
|
@odata.count | integer |
傳回的警示數目 |
|
警示
|
value | array of Alert |
警示傳回 |
|
下一個鏈接
|
@odata.nextLink | string |
獲取下一個結果的鏈接,以防結果多於請求 |
建立 tiIndicator(已棄用) [已棄用]
張貼至 tiIndicators 集合 (已淘汰) 來建立新的威脅情報指標。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
行動
|
action | True | string |
如果指標符合 targetProduct 安全工具內,則要套用的動作。 值:(未知、允許、封鎖、警示)。 |
|
活動群組名稱
|
activityGroupNames | array of string |
負責威脅指標所涵蓋惡意活動之各方的網路威脅情報名稱。 |
|
|
其他資訊
|
additionalInformation | string |
可以放置其他 tiIndicator 屬性未涵蓋的指標中的額外資料 |
|
|
Azure 租用戶識別碼
|
azureTenantId | string |
提交用戶端的 Microsoft Entra ID 租用戶識別碼。 |
|
|
信賴度
|
confidence | integer |
偵測邏輯的信賴度 (介於 0-100 之間的百分比)。 |
|
|
Description
|
description | True | string |
TiIndicator 描述(100 個字符或更少)。 |
|
鑽石模型
|
diamondModel | string |
此指標所在的鑽石模型區域。 值:(未知、對手、能力、基礎結構、受害者)。 |
|
|
到期日期時間
|
expirationDateTime | True | date-time |
指標到期的時間 (UTC)。 |
|
外部 ID
|
externalId | string |
將指標綁定回指標提供者系統的識別號(例如外鍵)。 |
|
|
擷取的日期時間
|
ingestedDateTime | date-time |
擷取指標的時間(UTC)。 |
|
|
處於活動狀態
|
isActive | boolean |
依預設,提交的任何指標都會設定為作用中。 不過,提供者可以提交將此設定為「False」的現有指標,以停用系統中的指標。 |
|
|
殺傷鏈
|
killChain | array of string |
字串,描述此指標針對殺傷鏈上的一個或多個點。 值:(行動、C2、交付、利用、安裝、偵察、武器化)。 |
|
|
已知的誤判
|
knownFalsePositives | string |
指標可能導致誤報的情況。 |
|
|
上次報告的日期時間
|
lastReportedDateTime | date-time |
上次看到該指標的時間(UTC)。 |
|
|
惡意軟體系列名稱
|
malwareFamilyNames | array of string |
與指標相關聯的惡意軟體系列名稱 (如果存在)。 |
|
|
僅被動
|
passiveOnly | boolean |
決定指示器是否應該觸發一般使用者可見的事件。 |
|
|
Severity
|
severity | integer |
指標內資料所識別的惡意行為的嚴重性。 值介於 0 – 5 之間,其中 5 表示最嚴重。 預設值為 3。 |
|
|
Tags
|
tags | array of string | ||
|
目標產品
|
targetProduct | True | string |
應套用該指標的單一證券產品。 可接受的值為:Azure Sentinel、Microsoft Defender ATP。 |
|
威脅類型
|
threatType | string |
每個指標都必須具有有效的指標威脅類型。 可能的值為:殭屍網路、C2、CryptoMining、暗網、DDoS、MaliciousUrl、惡意軟體、網路釣魚、代理、PUA、監視清單。 |
|
|
Tlp 等級
|
tlpLevel | string |
指標的交通燈通訊協定值。 可能的值為:未知、白色、綠色、琥珀色、紅色。 |
|
|
電子郵件編碼
|
emailEncoding | string |
電子郵件中使用的文字編碼型別。 |
|
|
電子郵件語言
|
emailLanguage | string |
電子郵件的語言。 |
|
|
電子郵件收件者
|
emailRecipient | string |
收件者電子郵件地址。 |
|
|
電子郵件寄件者地址
|
emailSenderAddress | string |
攻擊者|受害者的電子郵件地址。 |
|
|
電子郵件寄件者名稱
|
emailSenderName | string |
顯示攻擊者|受害者的姓名。 |
|
|
電子郵件來源網域
|
emailSourceDomain | string |
電子郵件中使用的網域。 |
|
|
電子郵件來源 IP 位址
|
emailSourceIpAddress | string |
電子郵件的來源 IP 位址。 |
|
|
電子郵件主旨
|
emailSubject | string |
電子郵件的主旨行。 |
|
|
電子郵件 XMailer
|
emailXMailer | string |
電子郵件中使用的 X-Mailer 值。 |
|
|
檔案編譯日期時間
|
fileCompileDateTime | date-time |
編譯檔案時的 DateTime。 |
|
|
檔案建立日期時間
|
fileCreatedDateTime | date-time |
建立檔案時的日期時間。 |
|
|
檔案雜湊類型
|
fileHashType | string |
儲存在 fileHashValue 中的雜湊類型。 可能的值為:unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph。 |
|
|
檔案雜湊值
|
fileHashValue | string |
檔案哈希值。 |
|
|
檔案互斥鍵名稱
|
fileMutexName | string |
檔案型偵測中使用的 Mutex 名稱。 |
|
|
檔案名稱
|
fileName | string |
如果指示器是檔案型,則檔案名稱。 |
|
|
檔案封裝器
|
filePacker | string |
用於構建相關文件的打包程序。 |
|
|
檔案路徑
|
filePath | string |
指出入侵的檔案路徑。 可能是 Windows 或 *nix 樣式路徑。 |
|
|
檔案大小
|
fileSize | integer |
以位元組為單位的檔案大小。 |
|
|
檔案類型
|
fileType | string |
檔案類型的文字描述。 例如,“Word 文檔”或“二進制”。 |
|
|
網域名稱
|
domainName | string |
與此指標相關聯的網域名稱。 |
|
|
網路 cidr 區塊
|
networkCidrBlock | string |
CIDR 此指標中引用的網路的區塊表示法。 |
|
|
網路目的地 Asn
|
networkDestinationAsn | integer |
指標中參考之網路的目的地自治系統識別碼。 |
|
|
網路目的地 cidr 區塊
|
networkDestinationCidrBlock | string |
CIDR 此指標中目的地網路的區塊表示法。 |
|
|
網路目的地 IPv4
|
networkDestinationIPv4 | string |
IPv4 IP 位址目的地。 |
|
|
網路目的地 IPv6
|
networkDestinationIPv6 | string |
IPv6 IP 位址目的地。 |
|
|
網路目的地連接埠
|
networkDestinationPort | integer |
TCP 連接埠目的地。 |
|
|
網路IPv4
|
networkIPv4 | string |
IPv4 IP 位址。 |
|
|
網路IPv6
|
networkIPv6 | string |
IPv6 IP 位址。 |
|
|
網路連接埠
|
networkPort | integer |
TCP 連接埠。 |
|
|
網路協定
|
networkProtocol | integer |
IPv4 標頭中通訊協定欄位的十進位表示法。 |
|
|
網路來源Asn
|
networkSourceAsn | integer |
指標中參考之網路的來源自治系統識別碼。 |
|
|
網路來源 cidr 區塊
|
networkSourceCidrBlock | string |
CIDR 此指標中來源網路的區塊表示法。 |
|
|
網路來源 IPv4
|
networkSourceIPv4 | string |
IPv4 IP 位址來源。 |
|
|
網路目的地 IPv6
|
networkSourceIPv6 | string |
IPv6 IP 位址來源。 |
|
|
網路來源連接埠
|
networkSourcePort | integer |
TCP 連接埠來源。 |
|
|
網址
|
url | string |
統一資源定位器。 |
|
|
使用者代理程式
|
userAgent | string |
User-Agent 可能表示入侵的 Web 請求中的字串。 |
傳回
傳回的單一 TiIndicator 實體
- Ti指標
- TiIndicator
建立訂閱 (已淘汰) [已淘汰]
建立 Microsoft Graph Webhook 訂用帳戶 (已淘汰)。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
資源 URL
|
resource | True | string |
指定將監視變更的資源。 請勿包含基本 URL ( |
|
變更類型
|
changeType | True | string |
指定在訂閱資源上變更時應該引發通知的屬性類型。 |
|
用戶端狀態
|
clientState | string |
指定用戶端狀態以確認通知來源。 |
|
|
通知網址
|
notificationUrl | True | string |
指定將接收通知之端點格式正確的 URL。 |
|
到期日期時間
|
expirationDateTime | True | date-time |
指定 Webhook 訂閱到期的日期時間;日期時間必須大於目前時間且在 30 天內。 |
傳回
傳回的單一訂用帳戶實體
- Subscription
- Subscription
按外部 ID 刪除多個 tiIndicators(已棄用)[已棄用]
刪除與指定外部識別碼對應的多個威脅情報指標(已棄用)。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
value
|
value | array of string |
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
value
|
value | array of object | |
|
字碼
|
value.code | integer |
結果代碼 |
|
訊息
|
value.message | string |
訊息 |
|
子代碼
|
value.subcode | integer |
結果子程式碼 |
提交多個 tiIndicators(已棄用) [已棄用]
透過張貼 tiIndicators 集合來建立新的威脅情報指標。 每個 tiIndicator 的必要欄位為:action、azureTenantId、description、expirationDateTime、targetProduct、threatType、tlpLevel (已淘汰)。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
行動
|
action | True | string |
如果指標符合 targetProduct 安全工具內,則要套用的動作。 值:(未知、允許、封鎖、警示)。 |
|
活動群組名稱
|
activityGroupNames | array of string |
負責威脅指標所涵蓋惡意活動之各方的網路威脅情報名稱。 |
|
|
其他資訊
|
additionalInformation | string |
可以放置其他 tiIndicator 屬性未涵蓋的指標中的額外資料 |
|
|
Azure 租用戶識別碼
|
azureTenantId | string |
提交用戶端的 Microsoft Entra ID 租用戶識別碼。 |
|
|
信賴度
|
confidence | integer |
偵測邏輯的信賴度 (介於 0-100 之間的百分比)。 |
|
|
Description
|
description | True | string |
TiIndicator 描述(100 個字符或更少)。 |
|
鑽石模型
|
diamondModel | string |
此指標所在的鑽石模型區域。 值:(未知、對手、能力、基礎結構、受害者)。 |
|
|
到期日期時間
|
expirationDateTime | True | date-time |
指標到期的時間 (UTC)。 |
|
外部 ID
|
externalId | string |
將指標綁定回指標提供者系統的識別號(例如外鍵)。 |
|
|
擷取的日期時間
|
ingestedDateTime | date-time |
擷取指標的時間(UTC)。 |
|
|
處於活動狀態
|
isActive | boolean |
依預設,提交的任何指標都會設定為作用中。 不過,提供者可以提交將此設定為「False」的現有指標,以停用系統中的指標。 |
|
|
殺傷鏈
|
killChain | array of string |
字串,描述此指標針對殺傷鏈上的一個或多個點。 值:(行動、C2、交付、利用、安裝、偵察、武器化)。 |
|
|
已知的誤判
|
knownFalsePositives | string |
指標可能導致誤報的情況。 |
|
|
上次報告的日期時間
|
lastReportedDateTime | date-time |
上次看到該指標的時間(UTC)。 |
|
|
惡意軟體系列名稱
|
malwareFamilyNames | array of string |
與指標相關聯的惡意軟體系列名稱 (如果存在)。 |
|
|
僅被動
|
passiveOnly | boolean |
決定指示器是否應該觸發一般使用者可見的事件。 |
|
|
Severity
|
severity | integer |
指標內資料所識別的惡意行為的嚴重性。 值介於 0 – 5 之間,其中 5 表示最嚴重。 預設值為 3。 |
|
|
Tags
|
tags | array of string | ||
|
目標產品
|
targetProduct | True | string |
應套用該指標的單一證券產品。 可接受的值為:Azure Sentinel、Microsoft Defender ATP。 |
|
威脅類型
|
threatType | string |
每個指標都必須具有有效的指標威脅類型。 可能的值為:殭屍網路、C2、CryptoMining、暗網、DDoS、MaliciousUrl、惡意軟體、網路釣魚、代理、PUA、監視清單。 |
|
|
Tlp 等級
|
tlpLevel | string |
指標的交通燈通訊協定值。 可能的值為:未知、白色、綠色、琥珀色、紅色。 |
|
|
電子郵件編碼
|
emailEncoding | string |
電子郵件中使用的文字編碼型別。 |
|
|
電子郵件語言
|
emailLanguage | string |
電子郵件的語言。 |
|
|
電子郵件收件者
|
emailRecipient | string |
收件者電子郵件地址。 |
|
|
電子郵件寄件者地址
|
emailSenderAddress | string |
攻擊者|受害者的電子郵件地址。 |
|
|
電子郵件寄件者名稱
|
emailSenderName | string |
顯示攻擊者|受害者的姓名。 |
|
|
電子郵件來源網域
|
emailSourceDomain | string |
電子郵件中使用的網域。 |
|
|
電子郵件來源 IP 位址
|
emailSourceIpAddress | string |
電子郵件的來源 IP 位址。 |
|
|
電子郵件主旨
|
emailSubject | string |
電子郵件的主旨行。 |
|
|
電子郵件 XMailer
|
emailXMailer | string |
電子郵件中使用的 X-Mailer 值。 |
|
|
檔案編譯日期時間
|
fileCompileDateTime | date-time |
編譯檔案時的 DateTime。 |
|
|
檔案建立日期時間
|
fileCreatedDateTime | date-time |
建立檔案時的日期時間。 |
|
|
檔案雜湊類型
|
fileHashType | string |
儲存在 fileHashValue 中的雜湊類型。 可能的值為:unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph。 |
|
|
檔案雜湊值
|
fileHashValue | string |
檔案哈希值。 |
|
|
檔案互斥鍵名稱
|
fileMutexName | string |
檔案型偵測中使用的 Mutex 名稱。 |
|
|
檔案名稱
|
fileName | string |
如果指示器是檔案型,則檔案名稱。 |
|
|
檔案封裝器
|
filePacker | string |
用於構建相關文件的打包程序。 |
|
|
檔案路徑
|
filePath | string |
指出入侵的檔案路徑。 可能是 Windows 或 *nix 樣式路徑。 |
|
|
檔案大小
|
fileSize | integer |
以位元組為單位的檔案大小。 |
|
|
檔案類型
|
fileType | string |
檔案類型的文字描述。 例如,“Word 文檔”或“二進制”。 |
|
|
網域名稱
|
domainName | string |
與此指標相關聯的網域名稱。 |
|
|
網路 cidr 區塊
|
networkCidrBlock | string |
CIDR 此指標中引用的網路的區塊表示法。 |
|
|
網路目的地 Asn
|
networkDestinationAsn | integer |
指標中參考之網路的目的地自治系統識別碼。 |
|
|
網路目的地 cidr 區塊
|
networkDestinationCidrBlock | string |
CIDR 此指標中目的地網路的區塊表示法。 |
|
|
網路目的地 IPv4
|
networkDestinationIPv4 | string |
IPv4 IP 位址目的地。 |
|
|
網路目的地 IPv6
|
networkDestinationIPv6 | string |
IPv6 IP 位址目的地。 |
|
|
網路目的地連接埠
|
networkDestinationPort | integer |
TCP 連接埠目的地。 |
|
|
網路IPv4
|
networkIPv4 | string |
IPv4 IP 位址。 |
|
|
網路IPv6
|
networkIPv6 | string |
IPv6 IP 位址。 |
|
|
網路連接埠
|
networkPort | integer |
TCP 連接埠。 |
|
|
網路協定
|
networkProtocol | integer |
IPv4 標頭中通訊協定欄位的十進位表示法。 |
|
|
網路來源Asn
|
networkSourceAsn | integer |
指標中參考之網路的來源自治系統識別碼。 |
|
|
網路來源 cidr 區塊
|
networkSourceCidrBlock | string |
CIDR 此指標中來源網路的區塊表示法。 |
|
|
網路來源 IPv4
|
networkSourceIPv4 | string |
IPv4 IP 位址來源。 |
|
|
網路目的地 IPv6
|
networkSourceIPv6 | string |
IPv6 IP 位址來源。 |
|
|
網路來源連接埠
|
networkSourcePort | integer |
TCP 連接埠來源。 |
|
|
網址
|
url | string |
統一資源定位器。 |
|
|
使用者代理程式
|
userAgent | string |
User-Agent 可能表示入侵的 Web 請求中的字串。 |
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
Ti指標
|
value | array of TiIndicator |
提交的 TiIndicators |
更新 tiIndicator(已棄用)[已棄用]
更新威脅情報指標的特定屬性。 tiIndicator 的必要欄位為:Id、expirationDateTime 和 targetProduct (已棄用)。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
TiIndicator ID
|
indicator-id | True | string |
指定威脅情報指標識別碼。 |
|
行動
|
action | string |
如果指標符合 targetProduct 安全工具內,則要套用的動作。 值:(未知、允許、封鎖、警示)。 |
|
|
活動群組名稱
|
activityGroupNames | array of string |
負責威脅指標所涵蓋惡意活動之各方的網路威脅情報名稱。 |
|
|
其他資訊
|
additionalInformation | string |
可以放置其他 tiIndicator 屬性未涵蓋的指標中的額外資料 |
|
|
信賴度
|
confidence | integer |
偵測邏輯的信賴度 (介於 0-100 之間的百分比)。 |
|
|
Description
|
description | string |
TiIndicator 描述(100 個字符或更少)。 |
|
|
鑽石模型
|
diamondModel | string |
此指標所在的鑽石模型區域。 值:(未知、對手、能力、基礎結構、受害者)。 |
|
|
到期日期時間
|
expirationDateTime | True | date-time |
指標到期的時間(UTC 格式。例如,2020-03-01T00:00:00Z)。 |
|
外部 ID
|
externalId | string |
將指標綁定回指標提供者系統的識別號(例如外鍵)。 |
|
|
處於活動狀態
|
isActive | boolean |
依預設,提交的任何指標都會設定為作用中。 不過,提供者可以提交將此設定為「False」的現有指標,以停用系統中的指標。 |
|
|
殺傷鏈
|
killChain | array of string |
字串,描述此指標針對殺傷鏈上的一個或多個點。 值:(行動、C2、交付、利用、安裝、偵察、武器化)。 |
|
|
已知的誤判
|
knownFalsePositives | string |
指標可能導致誤報的情況。 |
|
|
上次報告的日期時間
|
lastReportedDateTime | date-time |
上次看到該指標的時間(UTC)。 |
|
|
惡意軟體系列名稱
|
malwareFamilyNames | array of string |
與指標相關聯的惡意軟體系列名稱 (如果存在)。 |
|
|
僅被動
|
passiveOnly | boolean |
決定指示器是否應該觸發一般使用者可見的事件。 |
|
|
Severity
|
severity | integer |
指標內資料所識別的惡意行為的嚴重性。 值介於 0 – 5 之間,其中 5 表示最嚴重。 預設值為 3。 |
|
|
Tags
|
tags | array of string | ||
|
Tlp 等級
|
tlpLevel | string |
指標的交通燈通訊協定值。 可能的值為:未知、白色、綠色、琥珀色、紅色。 |
|
|
目標產品
|
targetProduct | True | string |
應套用該指標的單一證券產品。 可接受的值為:Azure Sentinel、Microsoft Defender ATP。 |
更新多個 tiIndicators(已棄用) [已棄用]
更新多個威脅情報指標的特定屬性。 每個 tiIndicator 的必要欄位為:Id、expirationDateTime 和 targetProduct (已淘汰)。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
識別碼
|
id | True | string |
TiIndicator-ID |
|
行動
|
action | string |
如果指標符合 targetProduct 安全工具內,則要套用的動作。 值:(未知、允許、封鎖、警示)。 |
|
|
活動群組名稱
|
activityGroupNames | array of string |
負責威脅指標所涵蓋惡意活動之各方的網路威脅情報名稱。 |
|
|
其他資訊
|
additionalInformation | string |
可以放置其他 tiIndicator 屬性未涵蓋的指標中的額外資料 |
|
|
信賴度
|
confidence | integer |
偵測邏輯的信賴度 (介於 0-100 之間的百分比)。 |
|
|
Description
|
description | string |
TiIndicator 描述(100 個字符或更少)。 |
|
|
鑽石模型
|
diamondModel | string |
此指標所在的鑽石模型區域。 值:(未知、對手、能力、基礎結構、受害者)。 |
|
|
到期日期時間
|
expirationDateTime | True | date-time |
指標到期的時間 (UTC)。 |
|
目標產品
|
targetProduct | True | string |
應套用該指標的單一證券產品。 可接受的值為:Azure Sentinel、Microsoft Defender ATP。 |
|
外部 ID
|
externalId | string |
將指標綁定回指標提供者系統的識別號(例如外鍵)。 |
|
|
處於活動狀態
|
isActive | boolean |
依預設,提交的任何指標都會設定為作用中。 不過,提供者可以提交將此設定為「False」的現有指標,以停用系統中的指標。 |
|
|
殺傷鏈
|
killChain | array of string |
字串,描述此指標針對殺傷鏈上的一個或多個點。 值:(行動、C2、交付、利用、安裝、偵察、武器化)。 |
|
|
已知的誤判
|
knownFalsePositives | string |
指標可能導致誤報的情況。 |
|
|
上次報告的日期時間
|
lastReportedDateTime | date-time |
上次看到該指標的時間(UTC)。 |
|
|
惡意軟體系列名稱
|
malwareFamilyNames | array of string |
與指標相關聯的惡意軟體系列名稱 (如果存在)。 |
|
|
僅被動
|
passiveOnly | boolean |
決定指示器是否應該觸發一般使用者可見的事件。 |
|
|
Severity
|
severity | integer |
指標內資料所識別的惡意行為的嚴重性。 值介於 0 – 5 之間,其中 5 表示最嚴重。 預設值為 3。 |
|
|
Tags
|
tags | array of string | ||
|
Tlp 等級
|
tlpLevel | string |
指標的交通燈通訊協定值。 可能的值為:未知、白色、綠色、琥珀色、紅色。 |
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
Ti指標
|
value | array of TiIndicator |
TiIndicators 更新 |
更新訂用帳戶 (已淘汰) [已淘汰]
更新 Microsoft Graph Webhook 訂用帳戶,方法是更新其到期時間 (已淘汰)。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
訂用帳戶識別碼
|
Subscription Id | True | string |
指定 Microsoft Graph Webhook 訂用帳戶識別碼。 |
|
到期日期時間
|
expirationDateTime | string |
以 UTC 格式指定 Microsoft Graph Webhook 訂用帳戶到期的日期和時間。 安全性警示的到期時間上限為 43200 分鐘 (30 天以下)。 |
傳回
傳回的單一訂用帳戶實體
- Subscription
- Subscription
更新警示 (已淘汰) [已淘汰]
更新安全性警示的特定屬性 (已淘汰)。
參數
| 名稱 | 機碼 | 必要 | 類型 | Description |
|---|---|---|---|---|
|
警示識別碼
|
alert-id | True | string |
指定警示識別碼。 |
|
指派至
|
assignedTo | string |
指定警示指派給的分析師名稱,以進行分類、調查或補救。 |
|
|
關閉日期時間
|
closedDateTime | string |
指定關閉警示的時間。 時間戳記類型使用 ISO 8601 格式代表日期和時間資訊,且一律採用 UTC 時間。 |
|
|
註解
|
comments | array of string |
評論 |
|
|
Tags
|
tags | array of string |
指定任何可套用至警示的使用者可定義標籤,並可作為篩選條件 (例如「HVA」、「SAW」等)。 |
|
|
意見反饋
|
feedback | string |
指定分析師對警示的意見反應。 |
|
|
地位
|
status | string |
指定狀態以追蹤警示生命週期狀態 (階段)。 |
|
|
提供者名稱
|
provider | True | string |
特定供應商(產品/服務 - 非供應商公司);例如,WindowsDefenderATP。 |
|
提供者版本
|
providerVersion | string |
指定產生警示的提供者或子提供者版本 (如果存在)。 |
|
|
子提供者名稱
|
subProvider | string |
特定子提供者(在彙總提供者下);例如,WindowsDefenderATP.SmartScreen。 |
|
|
廠商名稱
|
vendor | True | string |
指定警示廠商的名稱 (例如,Microsoft、Dell、FireEye)。 |
觸發程序
| 在所有新警示上 (已淘汰) [已淘汰] |
所有新警示的觸發程式 (已淘汰) |
| 在新的高嚴重性警示 (已淘汰) [已淘汰] |
新的高嚴重性警示觸發程式 (已淘汰) |
在所有新警示上 (已淘汰) [已淘汰]
所有新警示的觸發程式 (已淘汰)
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
警示計數
|
@odata.count | integer |
傳回的警示數目 |
|
警示
|
value | array of Alert |
警示傳回 |
|
下一個鏈接
|
@odata.nextLink | string |
獲取下一個結果的鏈接,以防結果多於請求 |
在新的高嚴重性警示 (已淘汰) [已淘汰]
新的高嚴重性警示觸發程式 (已淘汰)
傳回
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
警示計數
|
@odata.count | integer |
傳回的警示數目 |
|
警示
|
value | array of Alert |
警示傳回 |
|
下一個鏈接
|
@odata.nextLink | string |
獲取下一個結果的鏈接,以防結果多於請求 |
定義
Alert
傳回單一警示實體
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
Azure 訂用帳戶識別碼
|
azureSubscriptionId | string |
Azure 訂用帳戶識別碼,如果此警示與 Azure 資源相關,則會出現。 |
|
Tags
|
tags | array of string |
可套用至警示的使用者定義標籤,並可作為篩選條件 (例如「HVA」、「SAW」等)。 |
|
ID
|
id | string |
提供者產生的 GUID/唯一識別碼。 |
|
Azure 租戶 ID
|
azureTenantId | string |
Microsoft Entra ID 租用戶識別碼。 |
|
活動群組名稱
|
activityGroupName | string |
此警示所歸因的活動群組 (攻擊者) 的名稱或別名。 |
|
指派至
|
assignedTo | string |
警示指派給以進行分級、調查或補救的分析師名稱。 |
|
類別
|
category | string |
警示的類別 (例如 credentialTheft、勒索軟體等)。 |
|
關閉日期時間
|
closedDateTime | date-time |
警示關閉的時間 (UTC)。 |
|
評論
|
comments | array of string |
客戶提供的警示註解 (用於客戶警示管理)。 |
|
信賴度
|
confidence | integer |
偵測邏輯的信賴度 (介於 1-100 之間的百分比)。 |
|
建立日期時間
|
createdDateTime | date-time |
建立警示的時間 (UTC)。 |
|
Description
|
description | string |
警示說明。 |
|
偵測識別碼
|
detectionIds | array of string |
與此警示實體相關的警示集。 |
|
活動日期時間
|
eventDateTime | date-time |
作為產生警示的觸發程序的事件發生的時間 (UTC)。 |
|
意見反饋
|
feedback | string |
分析師對警報的反饋。 可能的值為:unknown、truePositive、falsePositive、benignPositive。 |
|
上次修改日期時間
|
lastModifiedDateTime | date-time |
上次修改警示實體的時間 (UTC)。 |
|
建議的動作
|
recommendedActions | array of string |
廠商/提供者建議因警示而採取的動作 (例如隔離電腦、強制執行 2FA、重新映像主機等)。 |
|
Severity
|
severity | string |
警示嚴重性 - 由廠商/提供者設定。 值:(高、中、低、資訊性),其中「資訊性」推斷警示無法採取動作。 |
|
來源材料
|
sourceMaterials | array of string |
與警示相關的來源資料的超連結 (URI) ,例如提供者調查 UI 等。 |
|
地位
|
status | string |
警示生命週期狀態 (階段)。 值:(未知、newAlert、inProgress、已解決)。 |
|
Title
|
title | string |
警示標題。 |
|
提供者名稱
|
vendorInformation.provider | string |
特定供應商(產品/服務 - 非供應商公司);例如,WindowsDefenderATP。 |
|
提供者版本
|
vendorInformation.providerVersion | string |
提供者或子提供者的版本。 |
|
子提供者名稱
|
vendorInformation.subProvider | string |
特定子提供者(在彙總提供者下);例如,WindowsDefenderATP.SmartScreen。 |
|
廠商名稱
|
vendorInformation.vendor | string |
警示廠商的名稱 (例如,Microsoft、Dell、FireEye)。 |
|
雲端應用程式狀態
|
cloudAppStates | array of object |
提供者所產生的與此警示相關的雲端應用程式相關安全性相關可設定狀態資訊。 |
|
目的地服務 IP
|
cloudAppStates.destinationServiceIp | string |
雲端應用程式/服務連線的目的地 IP 位址。 |
|
目的地服務名稱
|
cloudAppStates.destinationServiceName | string |
目的地雲端應用程式/服務名稱。 |
|
風險評分
|
cloudAppStates.riskScore | string |
提供者產生/計算的雲端應用程式/服務風險評分。 |
|
檔案狀態
|
fileStates | array of object |
提供者所產生的與此警示相關的檔案的安全性相關可設定狀態資訊。 |
|
名稱
|
fileStates.name | string |
檔案名稱(不含路徑)。 |
|
路徑
|
fileStates.path | string |
檔案/imageFile 的完整檔案路徑。 |
|
風險評分
|
fileStates.riskScore | string |
提供者產生/計算警示檔案的風險評分。 |
|
類型
|
fileStates.fileHash.type | string |
檔案雜湊類型。 可能的值為:unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph、peSha1、peSha256。 |
|
價值觀
|
fileStates.fileHash.value | string |
檔案雜湊的值。 |
|
東道主狀態
|
hostStates | array of object |
提供者所產生的與此警示相關的主機安全性相關具狀態資訊。 |
|
完整功能變數名稱
|
hostStates.fqdn | string |
主機 FQDN(完整網域名稱)。 |
|
是否已加入 azureAd
|
hostStates.isAzureAdJoined | boolean |
如果主機已加入 Microsoft Entra ID 網域服務,則為 True。 |
|
是否已註冊 azureAd
|
hostStates.isAzureAdRegistered | boolean |
如果主機已向 Microsoft Entra ID 裝置註冊 (例如 BYOD) 註冊,則為 True - 未完全由企業管理。 |
|
是否已加入混合式 Azure 網域
|
hostStates.isHybridAzureDomainJoined | boolean |
如果主機已加入內部部署 Microsoft Entra ID 網域,則為 True。 |
|
網路 bios 名稱
|
hostStates.netBiosName | string |
沒有 DNS 域名的本地主機名。 |
|
作業系統名稱
|
hostStates.os | string |
主機作業系統。 |
|
私人 IP 位址
|
hostStates.privateIpAddress | string |
警示發生時的私人 (不可路由) IPv4 或 IPv6 位址。 |
|
公用 IP 位址
|
hostStates.publicIpAddress | string |
警示發生時可公開路由的 IPv4 或 IPv6 位址。 |
|
風險評分
|
hostStates.riskScore | string |
提供者產生/計算的主機風險評分。 |
|
惡意軟體狀態
|
malwareStates | array of object |
提供者所產生的與此警示相關的惡意軟體相關安全性相關狀態資訊。 |
|
類別
|
malwareStates.category | string |
提供者產生的惡意軟體類別(例如特洛伊木馬、勒索軟體等)。 |
|
家庭
|
malwareStates.family | string |
提供者產生的惡意軟體系列(例如「wannacry」、「notpetya」等)。 |
|
名稱
|
malwareStates.name | string |
提供者產生的惡意軟體變體名稱 (例如 Trojan:Win32/Powessere.H)。 |
|
Severity
|
malwareStates.severity | string |
提供者決定此惡意軟體的嚴重性。 |
|
正在運行
|
malwareStates.wasRunning | boolean |
指出偵測到的檔案 (惡意軟體/弱點) 是在偵測時執行中,還是在磁碟上偵測到靜態。 |
|
網路連線
|
networkConnections | array of object |
提供者所產生的與此警示相關的檔案的安全性相關可設定狀態資訊。 |
|
應用程式名稱
|
networkConnections.applicationName | string |
管理網路連線的應用程式名稱(例如 Facebook、SMTP 等)。 |
|
目的地位址
|
networkConnections.destinationAddress | string |
網路連線的目的地 IP 位址。 |
|
目的地網域
|
networkConnections.destinationDomain | string |
目的地URL的目的地網域部分。(例如“www.contoso.com”)。 |
|
目的地連接埠
|
networkConnections.destinationPort | string |
網路連線的目的地連接埠。 |
|
目的地網址
|
networkConnections.destinationUrl | string |
網路連線 URL/URI 字串 - 不包括參數。 |
|
方向
|
networkConnections.direction | string |
網路連線方向。 可能的值為:unknown、inbound、outbound。 |
|
網域註冊日期時間
|
networkConnections.domainRegisteredDateTime | date-time |
目的地網域的註冊日期 (UTC)。 |
|
本機 DNS 名稱
|
networkConnections.localDnsName | string |
主機本機 DNS 快取中顯示的本機 DNS 名稱解析 (例如,如果「主機」檔案被竄改)。 |
|
Nat 目的地位址
|
networkConnections.natDestinationAddress | string |
網路位址轉換目的地 IP 位址。 |
|
Nat 目的地連接埠
|
networkConnections.natDestinationPort | string |
網路位址轉換目的地連接埠。 |
|
Nat 來源位址
|
networkConnections.natSourceAddress | string |
網路位址轉換來源 IP 位址。 |
|
Nat 來源連接埠
|
networkConnections.natSourcePort | string |
網路位址轉換來源連接埠。 |
|
協定
|
networkConnections.protocol | string |
網路通訊協定。 可能的值為:unknown、ip、icmp、igmp、ggp、ipv4、tcp、pup、udp、idp、ipv6、ipv6RoutingHeader、ipv6FragmentHeader、ipSecEncapsulatingSecurityPayload、ipSecAuthenticationHeader、icmpV6、ipv6NoNextHeader、ipv6DestinationOptions、nd、raw、ipx、spx、spxII。 |
|
風險評分
|
networkConnections.riskScore | string |
提供者產生/計算的網路連線風險評分。 |
|
來源位址
|
networkConnections.sourceAddress | string |
網路連線的來源(即來源)IP 位址。 |
|
來源連接埠
|
networkConnections.sourcePort | string |
網路連線的來源(即來源)IP 連接埠。 |
|
地位
|
networkConnections.status | string |
網路連線狀態。 可能的值為:unknown、attempted、succeeded、blocked、failed。 |
|
網址參數
|
networkConnections.urlParameters | string |
目的地URL的引數(尾碼)為字串。 |
|
Processes
|
processes | array of object |
提供者所產生的有關與此警示相關的一或多個程序的安全性相關可狀態資訊。 |
|
帳戶名稱
|
processes.accountName | string |
使用者帳戶識別碼 (程式執行的使用者帳戶內容) ,例如 AccountName、SID 等。 |
|
命令列
|
processes.commandLine | string |
包含所有參數的完整程序呼叫命令列。 |
|
建立日期時間
|
processes.createdDateTime | date-time |
啟動父進程的日期時間 (UTC)。 |
|
完整性等級
|
processes.integrityLevel | string |
流程的完整性等級。 可能的值為:unknown、untrusted、low、medium、high、system。 |
|
被抬高
|
processes.isElevated | boolean |
如果進程已提高許可權,則為 True。 |
|
名稱
|
processes.name | string |
程序影像檔案的名稱。 |
|
父流程建立日期時間
|
processes.parentProcessCreatedDateTime | date-time |
程序開始的時間 (UTC)。 |
|
父進程標識碼
|
processes.parentProcessId | integer |
父進程的進程識別碼 (PID)。 |
|
父處理程序名稱
|
processes.parentProcessName | string |
父進程的映像檔名稱。 |
|
路徑
|
processes.path | string |
完整路徑,包括檔案名稱。 |
|
進程識別碼
|
processes.processId | integer |
進程的進程識別碼 (PID)。 |
|
類型
|
processes.fileHash.type | string |
檔案雜湊類型。 可能的值為:unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph、peSha1、peSha256。 |
|
價值觀
|
processes.fileHash.value | string |
檔案雜湊的值。 |
|
登錄機碼狀態
|
registryKeyStates | array of object |
提供者所產生的與此警示相關的登錄機碼相關安全性相關具狀態資訊。 |
|
流程
|
registryKeyStates.process | string |
修改登錄機碼之進程的進程識別碼 (PID) (進程詳細資料會出現在警示 「進程」集合中) 。 |
|
行動
|
registryKeyStates.operation | string |
變更登錄機碼名稱和/或值的作業 (新增、修改、刪除)。 |
|
值類型
|
registryKeyStates.valueType | string |
登錄機碼值類型。 可能的值為:unknown、binary、dword、dwordLittleEndian、dwordBigEndian、expandSz、link、multiSz、none、qword、qwordlittleEndian、sz。 |
|
登錄配置區
|
registryKeyStates.hive | string |
Windows 登錄配置區。 可能的值為:unknown、currentConfig、currentUser、localMachineSam、localMachineSamSoftware、localMachineSystem、usersDefault。 |
|
Key
|
registryKeyStates.key | string |
目前 (即已變更) 註冊機碼 (不包括 HIVE)。 |
|
值名稱
|
registryKeyStates.valueName | string |
目前 (亦即已變更) 登錄機碼值名稱。 |
|
數據值
|
registryKeyStates.valueData | string |
目前 (亦即已變更) 登錄機碼值資料 (內容)。 |
|
舊鑰匙
|
registryKeyStates.oldKey | string |
先前 (即變更之前) 登錄機碼 (不包括 HIVE)。 |
|
舊值名稱
|
registryKeyStates.oldValueName | string |
先前 (亦即變更之前) 登錄機碼值名稱。 |
|
舊值數據
|
registryKeyStates.oldValueData | string |
先前 (亦即變更之前) 登錄機碼值資料 (內容) 。 |
|
觸發器
|
triggers | array of object |
觸發警示之特定屬性的安全性相關資訊 (警示中顯示的屬性)。 警示可能包含多個使用者、主機、檔案、IP 位址的相關資訊。 此欄位指出哪些屬性觸發了警示產生。 |
|
名稱
|
triggers.name | string |
做為偵測觸發程式的屬性名稱。 |
|
類型
|
triggers.type | string |
鍵:值對中用於解釋的屬性類型,例如 String、Boolean 等。 |
|
價值觀
|
triggers.value | string |
作為偵測觸發程式的屬性值。 |
|
使用者狀態
|
userStates | array of object |
提供者所產生的有關登入使用者或與此警示相關的使用者的安全性相關狀態資訊。 |
|
Microsoft Entra ID 使用者識別碼
|
userStates.aadUserId | string |
Microsoft Entra ID 使用者物件識別碼 (GUID) - 代表實體/多帳戶使用者實體。 |
|
帳戶名稱
|
userStates.accountName | string |
使用者帳戶的帳戶名稱 (不含 Microsoft Entra ID 網域或 DNS 網域) - (也稱為 「mailNickName」)。 |
|
網域名稱
|
userStates.domainName | string |
NetBIOS/Microsoft Entra ID 使用者帳戶的網域 (也就是網域\帳戶格式) 。 |
|
電子郵件角色
|
userStates.emailRole | string |
對於電子郵件相關警示 - 使用者帳戶電子郵件角色。 |
|
是 VPN
|
userStates.isVpn | boolean |
指出使用者是否透過 VPN 登入。 |
|
登入日期時間
|
userStates.logonDateTime | date-time |
登入發生的時間 (UTC)。 |
|
登入 ID
|
userStates.logonId | string |
使用者登入 ID。 |
|
登入IP
|
userStates.logonIp | string |
登入要求的 IP 位址。 |
|
登入位置
|
userStates.logonLocation | string |
與此使用者與使用者登入事件相關聯的位置 (依 IP 位址對應)。 |
|
登入類型
|
userStates.logonType | string |
使用者登入的方法。 可能的值為:unknown、interactive、remoteInteractive、network、batch、service。 |
|
內部部署安全性識別碼
|
userStates.onPremisesSecurityIdentifier | string |
使用者的 Microsoft Entra ID (內部部署) 安全性識別碼 (SID)。 |
|
風險評分
|
userStates.riskScore | string |
提供者產生/計算的使用者帳戶風險評分。 |
|
使用者帳戶類型
|
userStates.userAccountType | string |
使用者帳戶類型 (群組成員資格) ,每個 Windows 定義。 可能的值為:unknown、standard、power、administrator。 |
|
使用者主體名稱
|
userStates.userPrincipalName | string |
使用者登入名稱 - 網際網路格式: <使用者帳戶名稱>@<使用者帳戶 DNS 網域名稱>。 |
|
弱點狀態
|
vulnerabilityStates | array of object |
與此警示相關的一或多個弱點相關的威脅情報。 |
|
Cve
|
vulnerabilityStates.cve | string |
弱點的常見弱點和暴露 (CVE)。 |
|
正在運行
|
vulnerabilityStates.wasRunning | boolean |
指出偵測到的弱點 (檔案) 是在偵測時執行,還是在磁碟上偵測到靜態檔案。 |
|
Severity
|
vulnerabilityStates.severity | string |
此弱點的基本常見弱點評分系統 (CVSS) 嚴重性評分。 |
Subscription
傳回的單一訂用帳戶實體
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
ID
|
id | string |
訂用帳戶的唯一識別碼。 |
|
Resource
|
resource | string |
指定將監視變更的資源。 |
|
應用程式識別碼
|
applicationId | string |
用來建立訂用帳戶之應用程式識別碼。 |
|
變更類型
|
changeType | string |
指出訂閱資源中將引發通知的變更類型。 |
|
用戶端狀態
|
clientState | string |
指定服務在每個通知中傳送的 clientState 屬性值。 長度上限為 128 個字元。 用戶端可以比較隨訂用帳戶傳送的 clientState 屬性值,與每個通知所收到的 clientState 屬性值進行比較,以檢查通知是否來自服務。 |
|
通知網址
|
notificationUrl | string |
將接收通知的端點 URL。 此 URL 必須使用 HTTPS 通訊協定。 |
|
到期日期時間
|
expirationDateTime | string |
指定 Webhook 訂閱到期的日期和時間 (UTC)。 |
|
創作者 ID
|
creatorId | string |
建立訂用帳戶之使用者或服務主體的識別碼。 如果應用程式使用委派的許可權來建立訂用帳戶,則此欄位會包含應用程式代表呼叫之登入使用者的識別碼。 如果應用程式使用應用程式權限,則此欄位會包含對應至應用程式之服務主體識別碼。 |
Ti指標
傳回的單一 TiIndicator 實體
| 名稱 | 路徑 | 類型 | Description |
|---|---|---|---|
|
行動
|
action | string |
如果指標符合 targetProduct 安全工具內,則要套用的動作。 值:(未知、允許、封鎖、警示)。 |
|
活動群組名稱
|
activityGroupNames | array of string |
負責威脅指標所涵蓋惡意活動之各方的網路威脅情報名稱。 |
|
其他資訊
|
additionalInformation | string |
可以放置其他 tiIndicator 屬性未涵蓋的指標中的額外資料 |
|
Azure 租用戶識別碼
|
azureTenantId | string |
提交用戶端的 Microsoft Entra ID 租用戶識別碼。 |
|
信賴度
|
confidence | integer |
偵測邏輯的信賴度 (介於 0-100 之間的百分比)。 |
|
Description
|
description | string |
TiIndicator 描述(100 個字符或更少)。 |
|
鑽石模型
|
diamondModel | string |
此指標所在的鑽石模型區域。 值:(未知、對手、能力、基礎結構、受害者)。 |
|
到期日期時間
|
expirationDateTime | date-time |
指標到期的時間 (UTC)。 |
|
外部 ID
|
externalId | string |
將指標綁定回指標提供者系統的識別號(例如外鍵)。 |
|
ID
|
id | string |
由系統在擷取指標時建立。 產生的 GUID/唯一識別碼。 |
|
擷取的日期時間
|
ingestedDateTime | date-time |
擷取指標的時間(UTC)。 |
|
處於活動狀態
|
isActive | boolean |
依預設,提交的任何指標都會設定為作用中。 不過,提供者可以提交將此設定為「False」的現有指標,以停用系統中的指標。 |
|
殺傷鏈
|
killChain | array of string |
字串,描述此指標針對殺傷鏈上的一個或多個點。 值:(行動、C2、交付、利用、安裝、偵察、武器化)。 |
|
已知的誤判
|
knownFalsePositives | string |
指標可能導致誤報的情況。 |
|
上次報告的日期時間
|
lastReportedDateTime | date-time |
上次看到該指標的時間(UTC)。 |
|
惡意軟體系列名稱
|
malwareFamilyNames | array of string |
與指標相關聯的惡意軟體系列名稱 (如果存在)。 |
|
僅被動
|
passiveOnly | boolean |
決定指示器是否應該觸發一般使用者可見的事件。 |
|
Severity
|
severity | integer |
指標內資料所識別的惡意行為的嚴重性。 值介於 0 – 5 之間,其中 5 表示最嚴重。 預設值為 3。 |
|
Tags
|
tags | array of string | |
|
目標產品
|
targetProduct | string |
應套用該指標的單一證券產品。 可接受的值為:Azure Sentinel、Microsoft Defender ATP。 |
|
威脅類型
|
threatType | string |
每個指標都必須具有有效的指標威脅類型。 可能的值為:殭屍網路、C2、CryptoMining、暗網、DDoS、MaliciousUrl、惡意軟體、網路釣魚、代理、PUA、監視清單。 |
|
Tlp 等級
|
tlpLevel | string |
指標的交通燈通訊協定值。 可能的值為:未知、白色、綠色、琥珀色、紅色。 |
|
電子郵件編碼
|
emailEncoding | string |
電子郵件中使用的文字編碼型別。 |
|
電子郵件語言
|
emailLanguage | string |
電子郵件的語言。 |
|
電子郵件收件者
|
emailRecipient | string |
收件者電子郵件地址。 |
|
電子郵件寄件者地址
|
emailSenderAddress | string |
攻擊者|受害者的電子郵件地址。 |
|
電子郵件寄件者名稱
|
emailSenderName | string |
顯示攻擊者|受害者的姓名。 |
|
電子郵件來源網域
|
emailSourceDomain | string |
電子郵件中使用的網域。 |
|
電子郵件來源 IP 位址
|
emailSourceIpAddress | string |
電子郵件的來源 IP 位址。 |
|
電子郵件主旨
|
emailSubject | string |
電子郵件的主旨行。 |
|
電子郵件 XMailer
|
emailXMailer | string |
電子郵件中使用的 X-Mailer 值。 |
|
檔案編譯日期時間
|
fileCompileDateTime | date-time |
編譯檔案時的 DateTime。 |
|
檔案建立日期時間
|
fileCreatedDateTime | date-time |
建立檔案時的日期時間。 |
|
檔案雜湊類型
|
fileHashType | string |
儲存在 fileHashValue 中的雜湊類型。 可能的值為:unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph。 |
|
檔案雜湊值
|
fileHashValue | string |
檔案哈希值。 |
|
檔案互斥鍵名稱
|
fileMutexName | string |
檔案型偵測中使用的 Mutex 名稱。 |
|
檔案名稱
|
fileName | string |
如果指示器是檔案型,則檔案名稱。 |
|
檔案封裝器
|
filePacker | string |
用於構建相關文件的打包程序。 |
|
檔案路徑
|
filePath | string |
指出入侵的檔案路徑。 可能是 Windows 或 *nix 樣式路徑。 |
|
檔案大小
|
fileSize | integer |
以位元組為單位的檔案大小。 |
|
檔案類型
|
fileType | string |
檔案類型的文字描述。 例如,“Word 文檔”或“二進制”。 |
|
網域名稱
|
domainName | string |
與此指標相關聯的網域名稱。 |
|
網路 cidr 區塊
|
networkCidrBlock | string |
CIDR 此指標中引用的網路的區塊表示法。 |
|
網路目的地 Asn
|
networkDestinationAsn | integer |
指標中參考之網路的目的地自治系統識別碼。 |
|
網路目的地 cidr 區塊
|
networkDestinationCidrBlock | string |
CIDR 此指標中目的地網路的區塊表示法。 |
|
網路目的地 IPv4
|
networkDestinationIPv4 | string |
IPv4 IP 位址目的地。 |
|
網路目的地 IPv6
|
networkDestinationIPv6 | string |
IPv6 IP 位址目的地。 |
|
網路目的地連接埠
|
networkDestinationPort | integer |
TCP 連接埠目的地。 |
|
網路IPv4
|
networkIPv4 | string |
IPv4 IP 位址。 |
|
網路IPv6
|
networkIPv6 | string |
IPv6 IP 位址。 |
|
網路連接埠
|
networkPort | integer |
TCP 連接埠。 |
|
網路協定
|
networkProtocol | integer |
IPv4 標頭中通訊協定欄位的十進位表示法。 |
|
網路來源Asn
|
networkSourceAsn | integer |
指標中參考之網路的來源自治系統識別碼。 |
|
網路來源 cidr 區塊
|
networkSourceCidrBlock | string |
CIDR 此指標中來源網路的區塊表示法。 |
|
網路來源 IPv4
|
networkSourceIPv4 | string |
IPv4 IP 位址來源。 |
|
網路目的地 IPv6
|
networkSourceIPv6 | string |
IPv6 IP 位址來源。 |
|
網路來源連接埠
|
networkSourcePort | integer |
TCP 連接埠來源。 |
|
網址
|
url | string |
統一資源定位器。 |
|
使用者代理程式
|
userAgent | string |
User-Agent 可能表示入侵的 Web 請求中的字串。 |