tiIndicator-Ressourcentyp (veraltet)
Namespace: microsoft.graph
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Hinweis
Die tiIndicator-Entität ist veraltet und wird im April 2026 entfernt.
Stellt Daten dar, die zum Identifizieren schädlicher Aktivitäten verwendet werden.
Wenn Ihr organization mit Bedrohungsindikatoren arbeitet, indem Sie entweder Eigene generieren, sie aus Open Source Feeds abrufen, sie für Partnerorganisationen oder Communitys freigeben oder Datenfeeds kaufen, sollten Sie diese Indikatoren in verschiedenen Sicherheitstools für den Abgleich mit Protokolldaten verwenden. Mit der entität tiIndicators können Sie Ihre Bedrohungsindikatoren für die Aktionen zulassen, blockieren oder warnungen in Microsoft-Sicherheitstools hochladen.
Über tiIndicator hochgeladene Bedrohungsindikatoren werden zusammen mit Microsoft Threat Intelligence verwendet, um eine angepasste Sicherheitslösung für Ihre organization bereitzustellen. Wenn Sie die tiIndicator-Entität verwenden, geben Sie die Microsoft-Sicherheitslösung an, die Sie über die targetProduct-Eigenschaft verwenden möchten, und geben Sie die Aktion (Zulassen, Blockieren oder Warnung) an, auf die die Sicherheitslösung die Indikatoren über die action-Eigenschaft anwenden soll.
Derzeit unterstützt targetProduct die folgenden Produkte:
Microsoft Defender for Endpoint: Unterstützt die folgenden tiIndicators-Methoden:
Hinweis
Die folgenden Indikatortypen werden von Microsoft Defender for Endpoint targetProduct unterstützt:
- Dateien
- IP-Adressen: Microsoft Defender for Endpoint nur Ziel-IPv4/IPv6 unterstützt– Legen Sie die Eigenschaft in den Eigenschaften networkDestinationIPv4 oder networkDestinationIPv6 in Microsoft Graph Sicherheits-API tiIndicator fest.
- URLs/Domänen
Es gibt einen Grenzwert von 15.000 Indikatoren pro Mandant für Microsoft Defender for Endpoint.
Microsoft Sentinel : Nur vorhandene Kunden können die tiIndicator-API verwenden, um Threat Intelligence-Indikatoren an Microsoft Sentinel zu senden. Die aktuellsten und detaillierten Anweisungen zum Senden intelligenter Bedrohungsindikatoren an Microsoft Sentinel finden Sie unter Verbinden Ihrer Threat Intelligence-Plattform mit Microsoft Sentinel.
Ausführliche Informationen zu den unterstützten Indikatortypen und den Beschränkungen der Indikatoranzahl pro Mandant finden Sie unter Verwalten von Indikatoren.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| Get | tiIndicator | Lesen von Eigenschaften und Beziehungen des tiIndicator-Objekts. |
| Create | tiIndicator | Create einen neuen tiIndicator durch Posten in der tiIndicators-Auflistung. |
| List | tiIndicator-Auflistung | Ruft eine tiIndicator-Objektauflistung ab. |
| Update | tiIndicator | Aktualisieren Sie das tiIndicator-Objekt. |
| Delete | Keine | Löschen Sie das tiIndicator-Objekt. |
| Mehrere löschen | Keine | Löschen Sie mehrere tiIndicator-Objekte. |
| Mehrere nach externer ID löschen | Keine | Löschen Sie mehrere tiIndicator-Objekte nach der externalId -Eigenschaft. |
| Mehrere übermitteln | tiIndicator-Auflistung | Create neue tiIndicators durch Posten einer tiIndicators-Sammlung. |
| Mehrere aktualisieren | tiIndicator-Auflistung | Aktualisieren mehrerer tiIndicator-Objekte. |
Von jedem Zielprodukt unterstützte Methoden
| Methode | Azure Sentinel | Microsoft Defender für Endpunkt |
|---|---|---|
| Create tiIndicator | Pflichtfelder sind: action, azureTenantId, description, expirationDateTime, targetProduct, threatType, tlpLevelund mindestens eine E-Mail, ein Netzwerk oder eine Datei, die überwacht werden kann. |
Erforderliche Felder sind: action, und einer der folgenden Werte: domainName, url, networkDestinationIPv4, networkDestinationIPv6, ( fileHashValue muss im Fall von fileHashValueangegeben fileHashType werden). |
| Submit tiIndicators | Die erforderlichen Felder für jeden tiIndicator finden Sie in der Create tiIndicator-Methode. Es gibt einen Grenzwert von 100 tiIndicators pro Anforderung. | Die erforderlichen Felder für jeden tiIndicator finden Sie in der Create tiIndicator-Methode. Es gibt einen Grenzwert von 100 tiIndicators pro Anforderung. |
| Update tiIndicator | Pflichtfelder sind: id, expirationDateTime, targetProduct. Bearbeitbare Felder sind: action, activityGroupNames, additionalInformation, confidence, description, , externalIdexpirationDateTimeisActivemalwareFamilyNamesknownFalsePositiveskillChaindiamondModelpassiveOnlyseveritylastReportedDateTime, tags, , . tlpLevel |
Pflichtfelder sind: id, expirationDateTime, targetProduct. Bearbeitbare Felder sind: expirationDateTime, severity, description. |
| Aktualisieren von tiIndicators | Informationen zu erforderlichen und bearbeitbaren Feldern für jeden tiIndicator finden Sie in der Update tiIndicator-Methode . | |
| Delete tiIndicator | Pflichtfeld ist: id. |
Pflichtfeld ist: id. |
| Löschen von tiIndicators | Informationen zum erforderlichen Feld für jeden tiIndicator finden Sie oben in der delete tiIndicator-Methode . |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| Aktion | string | Die Aktion, die angewendet werden soll, wenn der Indikator innerhalb des TargetProduct-Sicherheitstools abgeglichen wird. Mögliche Werte: unknown, allow, block, alert
Erforderlich. |
| activityGroupNames | String-Sammlung | Die Namen der Cyber Threat Intelligence für die Parteien, die für die böswillige Aktivität verantwortlich sind, die vom Bedrohungsindikator abgedeckt wird. |
| additionalInformation | Zeichenfolge | Ein Sammelbereich für zusätzliche Daten aus dem Indikator, die nicht speziell von anderen tiIndicator-Eigenschaften abgedeckt werden. Das von targetProduct angegebene Sicherheitstool verwendet diese Daten in der Regel nicht. |
| azureTenantId | String | Wird vom System gestempelt, wenn der Indikator erfasst wird. Die Microsoft Entra Mandanten-ID des übermittelnden Clients. Erforderlich. |
| confidence | Int32 | Eine ganze Zahl, die die Zuverlässigkeit der Daten innerhalb des Indikators darstellt, identifiziert schädliches Verhalten genau. Zulässige Werte sind 0 bis 100, wobei 100 am höchsten ist. |
| description | Zeichenfolge | Kurze Beschreibung (maximal 100 Zeichen) der Bedrohung, die durch den Indikator dargestellt wird. Erforderlich. |
| diamondModel | diamondModel | Der Bereich des Diamantmodells, in dem dieser Indikator vorhanden ist. Mögliche Werte: unknown, adversary, capability, infrastructure, victim. |
| expirationDateTime | DateTimeOffset | DateTime-Zeichenfolge, die angibt, wann der Indikator abläuft. Alle Indikatoren müssen über ein Ablaufdatum verfügen, um zu verhindern, dass veraltete Indikatoren im System beibehalten werden. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z.
Erforderlich. |
| externalId | Zeichenfolge | Eine Identifikationsnummer, die den Indikator wieder an das System des Indikatoranbieters bindet (z. B. ein Fremdschlüssel). |
| id | Zeichenfolge | Wird vom System erstellt, wenn der Indikator erfasst wird. Generierte GUID/eindeutiger Bezeichner. Schreibgeschützt. |
| ingestedDateTime | DateTimeOffset | Wird vom System gestempelt, wenn der Indikator erfasst wird. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
| isActive | Boolesch | Wird verwendet, um Indikatoren im System zu deaktivieren. Standardmäßig wird jeder übermittelte Indikator als aktiv festgelegt. Anbieter können jedoch vorhandene Indikatoren mit dieser Einstellung auf "False" übermitteln, um Indikatoren im System zu deaktivieren. |
| killChain | killChain-Sammlung | Ein JSON-Array von Zeichenfolgen, das beschreibt, auf welchen Punkt bzw. welche Punkte auf die Kill Chain dieser Indikator abzielt. Die genauen Werte finden Sie unter "killChain-Werte". |
| knownFalsePositives | Zeichenfolge | Szenarien, in denen der Indikator zu falsch positiven Ergebnissen führen kann. Dies sollte für Menschen lesbarer Text sein. |
| lastReportedDateTime | DateTimeOffset | Das letzte Mal, wenn der Indikator angezeigt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
| malwareFamilyNames | Zeichenfolgensammlung | Der Name der Schadsoftwarefamilie, der einem Indikator zugeordnet ist, sofern vorhanden. Microsoft bevorzugt den Namen der Microsoft-Schadsoftwarefamilie, wenn möglich, die über die Windows Defender Security Intelligence-Bedrohungsenzyklopädie gefunden werden kann. |
| passiveOnly | Boolesch | Bestimmt, ob der Indikator ein Ereignis auslösen soll, das für einen Endbenutzer sichtbar ist. Wenn diese Einstellung auf "true" festgelegt ist, benachrichtigen Sicherheitstools den Endbenutzer nicht, dass ein "Treffer" aufgetreten ist. Dies wird von Sicherheitsprodukten am häufigsten als Überwachungs- oder Unbeaufsichtigter Modus behandelt, in dem sie einfach protokollieren, dass eine Übereinstimmung aufgetreten ist, aber die Aktion nicht ausführt. Standardwert ist "false". |
| Schweregrad | Int32 | Eine ganze Zahl, die den Schweregrad des schädlichen Verhaltens darstellt, das durch die Daten innerhalb des Indikators identifiziert wird. Zulässige Werte sind 0 bis 5, wobei 5 die schwerwiegendste und null überhaupt nicht schwerwiegend ist. Der Standardwert ist 3. |
| tags | String-Sammlung | Ein JSON-Array von Zeichenfolgen, das beliebige Tags/Schlüsselwörter speichert. |
| targetProduct | Zeichenfolge | Ein Zeichenfolgenwert, der ein einzelnes Sicherheitsprodukt darstellt, auf das der Indikator angewendet werden soll. Zulässige Werte sind: Azure Sentinel, Microsoft Defender ATP.
Erforderlich |
| threatType | threatType | Jeder Indikator muss einen gültigen Indikator-Bedrohungstyp aufweisen. Mögliche Werte: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList.
Erforderlich. |
| tlpLevel | tlpLevel | Traffic Light Protocol-Wert für den Indikator. Mögliche Werte: unknown, white, green, amber, red.
Erforderlich. |
Indikator-Observables – E-Mail
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| emailEncoding | Zeichenfolge | Der In der E-Mail verwendete Textcodierungstyp. |
| emailLanguage | Zeichenfolge | Die Sprache der E-Mail. |
| emailRecipient | Zeichenfolge | E-Mail-Adresse des Empfängers. |
| emailSenderAddress | Zeichenfolge | Email Adresse des Angreifers|Opfers. |
| emailSenderName | Zeichenfolge | Angezeigter Name des Angreifers|Opfer. |
| emailSourceDomain | Zeichenfolge | Domäne, die in der E-Mail verwendet wird. |
| emailSourceIpAddress | Zeichenfolge | Quell-IP-Adresse der E-Mail. |
| Emailsubject | Zeichenfolge | Betreffzeile der E-Mail. |
| emailXMailer | Zeichenfolge | Der in der E-Mail verwendete X-Mailer-Wert. |
Indikatorbeobachtbare Daten – Datei
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| fileCompileDateTime | DateTimeOffset | DateTime, wenn die Datei kompiliert wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
| fileCreatedDateTime | DateTimeOffset | DateTime, wann die Datei erstellt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
| fileHashType | Zeichenfolge | Der In fileHashValue gespeicherte Hashtyp. Mögliche Werte: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
| fileHashValue | Zeichenfolge | Der Dateihashwert. |
| fileMutexName | Zeichenfolge | Mutex-Name, der in dateibasierten Erkennungen verwendet wird. |
| fileName | Zeichenfolge | Name der Datei, wenn der Indikator dateibasiert ist. Mehrere Dateinamen können durch Kommas getrennt werden. |
| filePacker | Zeichenfolge | Der Zum Erstellen der betreffenden Datei verwendete Packer. |
| Filepath | Zeichenfolge | Pfad der Datei, die die Kompromittierung angibt. Kann ein Pfad im Windows- oder *nix-Format sein. |
| Dateigröße | Int64 | Größe der Datei in Bytes. |
| Filetype | Zeichenfolge | Textbeschreibung des Dateityps. Beispiel: "Word Document" oder "Binary". |
Indikator-Observables – Netzwerk
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| Domänname | Zeichenfolge | Domänenname, der diesem Indikator zugeordnet ist. Sollte das Format subdomain.domain.topleveldomain aufweisen (z. B. baddomain.domain.net) |
| networkCidrBlock | Zeichenfolge | CIDR Blocknotation Darstellung des Netzwerks, auf das in diesem Indikator verwiesen wird. Verwenden Sie nur, wenn Quelle und Ziel nicht identifiziert werden können. |
| networkDestinationAsn | Int32 | Der bezeichner des autonomen Zielsystems des Netzwerks, auf das im Indikator verwiesen wird. |
| networkDestinationCidrBlock | Zeichenfolge | CIDR Blocknotation Darstellung des Zielnetzwerks in diesem Indikator. |
| networkDestinationIPv4 | Zeichenfolge | IPv4-IP-Adressziel. |
| networkDestinationIPv6 | Zeichenfolge | IPv6-IP-Adressziel. |
| networkDestinationPort | Int32 | TCP-Portziel. |
| networkIPv4 | Zeichenfolge | IPv4-IP-Adresse. Verwenden Sie nur, wenn Quelle und Ziel nicht identifiziert werden können. |
| networkIPv6 | Zeichenfolge | IPv6-IP-Adresse. Verwenden Sie nur, wenn Quelle und Ziel nicht identifiziert werden können. |
| networkPort | Int32 | TCP-Port. Verwenden Sie nur, wenn Quelle und Ziel nicht identifiziert werden können. |
| networkProtocol | Int32 | Dezimaldarstellung des Protokollfelds im IPv4-Header. |
| networkSourceAsn | Int32 | Der Bezeichner des autonomen Quellsystems des Netzwerks, auf das im Indikator verwiesen wird. |
| networkSourceCidrBlock | Zeichenfolge | CIDR-Blocknotationsdarstellung des Quellnetzwerks in diesem Indikator |
| networkSourceIPv4 | Zeichenfolge | IPv4-IP-Adressquelle. |
| networkSourceIPv6 | Zeichenfolge | Quelle der IPv6-IP-Adresse. |
| networkSourcePort | Int32 | TCP-Portquelle. |
| url | Zeichenfolge | Uniform Resource Locator. Diese URL muss RFC 1738 entsprechen. |
| Useragent | Zeichenfolge | User-Agent Zeichenfolge aus einer Webanforderung, die auf eine Kompromittierung hinweisen könnte. |
diamondModel-Werte
Informationen zu diesem Modell finden Sie unter Das Diamantmodell.
| Element | Wert | Beschreibung |
|---|---|---|
| unknown | 0 | |
| Gegner | 1 | Der Indikator beschreibt den Gegner. |
| Fähigkeit | 2 | Indikator ist eine Funktion des Gegners. |
| Infrastruktur | 3 | Der Indikator beschreibt die Infrastruktur des Angreifers. |
| Opfer | 4 | Der Indikator beschreibt das Opfer des Widersachers. |
| unknownFutureValue | 127 |
killChain-Werte
| Member | Beschreibung |
|---|---|
| Aktionen | Gibt an, dass der Angreifer das kompromittierte System verwendet, um Aktionen wie einen verteilten Denial-of-Service-Angriff auszuführen. |
| C2 | Stellt den Steuerungskanal dar, über den ein kompromittiertes System bearbeitet wird. |
| Übermittlung | Der Prozess der Verteilung des Exploit-Codes an die Opfer (z. B. USB, E-Mail, Websites). |
| Ausbeutung | Exploitcode, der Sicherheitsrisiken ausnutzt (z. B. Codeausführung). |
| Installation | Installieren von Schadsoftware, nachdem ein Sicherheitsrisiko ausgenutzt wurde. |
| Reconnaissance | Der Indikator ist ein Beweis dafür, dass eine Aktivitätsgruppe Informationen erhält, die bei einem zukünftigen Angriff verwendet werden sollen. |
| Bewaffnung | Umwandeln eines Sicherheitsrisikos in Exploitcode (z. B. Schadsoftware). |
threatType-Werte
| Member | Beschreibung |
|---|---|
| Botnet | Der Indikator zeigt einen Botnetknoten/-member an. |
| C2 | Der Indikator ist ein Befehls-&-Steuerungsknoten eines Botnets. |
| CryptoMining | Datenverkehr, der diese Netzwerkadresse/URL einbezieht, ist ein Hinweis auf CyrptoMining / Ressourcenmissbrauch. |
| Darknet | Der Indikator ist der eines Darknetknotens/-netzwerks. |
| Ddos | Indikatoren, die sich auf eine aktive oder bevorstehende DDoS-Kampagne beziehen. |
| MaliciousUrl | URL, die Schadsoftware bereitstellt. |
| Schadsoftware | Indikator, der eine oder mehrere schädliche Dateien beschreibt. |
| Phishing | Indikatoren im Zusammenhang mit einer Phishing-Kampagne. |
| Proxy | Der Indikator ist der eines Proxydiensts. |
| PUA | Potenziell unerwünschte Anwendung. |
| Watchlist | Dies ist der generische Bucket für Indikatoren, für die die Bedrohung nicht bestimmt werden kann oder die eine manuelle Interpretation erfordern. Partner, die Daten an das System übermitteln, sollten diese Eigenschaft nicht verwenden. |
tlpLevel-Werte
Jeder Indikator muss auch einen Traffic Light Protocol-Wert aufweisen, wenn er übermittelt wird. Dieser Wert stellt die Vertraulichkeit und den Freigabebereich eines bestimmten Indikators dar.
| Member | Beschreibung |
|---|---|
| Weiß | Freigabebereich: Unbegrenzt. Indikatoren können frei und ohne Einschränkung geteilt werden. |
| Grün | Freigabebereich: Community. Indikatoren können für die Sicherheitscommunity freigegeben werden. |
| Amber | Freigabebereich: Begrenzt. Dies ist die Standardeinstellung für Indikatoren und schränkt die Freigabe auf diejenigen ein, deren "Need-to-Know" ist 1) Dienste und Dienstbetreiber, die Threat Intelligence implementieren 2) Kunden, deren System(en) ein mit dem Indikator übereinstimmenes Verhalten aufweisen. |
| Rot | Freigabebereich: Persönlich. Diese Indikatoren sind nur direkt und vorzugsweise persönlich zu teilen. In der Regel werden TLP Red-Indikatoren aufgrund ihrer vordefinierten Einschränkungen nicht erfasst. Wenn TLP Red-Indikatoren übermittelt werden, sollte auch die Eigenschaft "PassiveOnly" auf True festgelegt werden. |
Beziehungen
Keine.
JSON-Darstellung
Die folgende JSON-Darstellung zeigt den Ressourcentyp.
{
"action": "string",
"activityGroupNames": ["String"],
"additionalInformation": "String",
"azureTenantId": "String",
"confidence": 1024,
"description": "String",
"diamondModel": "string",
"domainName": "String",
"emailEncoding": "String",
"emailLanguage": "String",
"emailRecipient": "String",
"emailSenderAddress": "String",
"emailSenderName": "String",
"emailSourceDomain": "String",
"emailSourceIpAddress": "String",
"emailSubject": "String",
"emailXMailer": "String",
"expirationDateTime": "String (timestamp)",
"externalId": "String",
"fileCompileDateTime": "String (timestamp)",
"fileCreatedDateTime": "String (timestamp)",
"fileHashType": "string",
"fileHashValue": "String",
"fileMutexName": "String",
"fileName": "String",
"filePacker": "String",
"filePath": "String",
"fileSize": 1024,
"fileType": "String",
"id": "String (identifier)",
"ingestedDateTime": "String (timestamp)",
"isActive": true,
"killChain": ["String"],
"knownFalsePositives": "String",
"lastReportedDateTime": "String (timestamp)",
"malwareFamilyNames": ["String"],
"networkCidrBlock": "String",
"networkDestinationAsn": 1024,
"networkDestinationCidrBlock": "String",
"networkDestinationIPv4": "String",
"networkDestinationIPv6": "String",
"networkDestinationPort": 1024,
"networkIPv4": "String",
"networkIPv6": "String",
"networkPort": 1024,
"networkProtocol": 1024,
"networkSourceAsn": 1024,
"networkSourceCidrBlock": "String",
"networkSourceIPv4": "String",
"networkSourceIPv6": "String",
"networkSourcePort": 1024,
"passiveOnly": true,
"severity": 1024,
"tags": ["String"],
"targetProduct": "String",
"threatType": "String",
"tlpLevel": "string",
"url": "String",
"userAgent": "String"
}