Update tiIndicator
Namespace: microsoft.graph
Wichtig
Die APIs unter der /beta
Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Aktualisieren sie die Eigenschaften eines tiIndicator-Objekts .
Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.
Globaler Dienst | US Government L4 | US Government L5 (DOD) | China, betrieben von 21Vianet |
---|---|---|---|
✅ | ❌ | ❌ | ❌ |
Berechtigungen
Wählen Sie für diese API die Als am wenigsten privilegierten Berechtigungen gekennzeichneten Berechtigungen aus. Verwenden Sie nur dann eine Berechtigung mit höheren Berechtigungen , wenn dies für Ihre App erforderlich ist. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.
Berechtigungstyp | Berechtigungen mit den geringsten Berechtigungen | Berechtigungen mit höheren Berechtigungen |
---|---|---|
Delegiert (Geschäfts-, Schul- oder Unikonto) | ThreatIndicators.ReadWrite.OwnedBy | Nicht verfügbar. |
Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt | Nicht unterstützt |
Anwendung | ThreatIndicators.ReadWrite.OwnedBy | Nicht verfügbar. |
HTTP-Anforderung
PATCH /security/tiIndicators/{id}
Anforderungsheader
Name | Beschreibung |
---|---|
Authorization | Bearer {code} Erforderlich |
Prefer | return=representation |
Anforderungstext
Geben Sie im Anforderungstext die Werte für die relevanten Felder an, die aktualisiert werden sollen. Vorhandene Eigenschaften, die nicht im Anforderungstext enthalten sind, behalten ihre vorherigen Werte bei oder werden basierend auf Änderungen an anderen Eigenschaftswerten neu berechnet. Geben Sie aus Gründen der Leistung vorhandene Werte, die nicht geändert wurden, nicht an. Pflichtfelder sind: id
, expirationDateTime
, targetProduct
.
Eigenschaft | Typ | Beschreibung |
---|---|---|
Aktion | string | Die Aktion, die angewendet werden soll, wenn der Indikator innerhalb des TargetProduct-Sicherheitstools abgeglichen wird. Mögliche Werte: unknown , allow , block , alert . |
activityGroupNames | Zeichenfolgensammlung | Die Namen der Cyber Threat Intelligence für die Parteien, die für die böswillige Aktivität verantwortlich sind, die vom Bedrohungsindikator abgedeckt wird. |
additionalInformation | String | Ein Catchall-Bereich, in dem zusätzliche Daten aus dem Indikator platziert werden können, die nicht von den anderen tiIndicator-Eigenschaften abgedeckt sind. Daten, die in additionalInformation platziert werden, werden in der Regel nicht vom TargetProduct-Sicherheitstool verwendet. |
confidence | Int32 | Eine ganze Zahl, die die Zuverlässigkeit der Daten innerhalb des Indikators darstellt, identifiziert schädliches Verhalten genau. Zulässige Werte sind 0 bis 100, wobei 100 am höchsten ist. |
description | String | Kurze Beschreibung (maximal 100 Zeichen) der Bedrohung, die durch den Indikator dargestellt wird. |
diamondModel | diamondModel | Der Bereich des Diamantmodells, in dem dieser Indikator vorhanden ist. Mögliche Werte: unknown , adversary , capability , infrastructure , victim . |
expirationDateTime | DateTimeOffset | DateTime-Zeichenfolge, die angibt, wann der Indikator abläuft. Alle Indikatoren müssen über ein Ablaufdatum verfügen, um zu verhindern, dass veraltete Indikatoren im System beibehalten werden. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z . |
externalId | String | Eine Identifikationsnummer, die den Indikator wieder an das System des Indikatoranbieters bindet (z. B. ein Fremdschlüssel). |
isActive | Boolesch | Wird verwendet, um Indikatoren im System zu deaktivieren. Standardmäßig wird jeder übermittelte Indikator als aktiv festgelegt. Anbieter können jedoch vorhandene Indikatoren mit dieser Einstellung auf "False" übermitteln, um Indikatoren im System zu deaktivieren. |
killChain | killChain-Sammlung | Ein JSON-Array von Zeichenfolgen, das beschreibt, auf welchen Punkt bzw. welche Punkte auf die Kill Chain dieser Indikator abzielt. Unter "killChain-Werte" finden Sie die genauen Werte weiter unten. |
knownFalsePositives | String | Szenarien, in denen der Indikator zu falsch positiven Ergebnissen führen kann. Dies sollte für Menschen lesbarer Text sein. |
lastReportedDateTime | DateTimeOffset | Das letzte Mal, wenn der Indikator angezeigt wurde. Der Timestamp-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z . |
malwareFamilyNames | Zeichenfolgensammlung | Der Name der Schadsoftwarefamilie, der einem Indikator zugeordnet ist, sofern vorhanden. Microsoft bevorzugt den Namen der Microsoft-Schadsoftwarefamilie, wenn möglich, der über die Windows Defender Security Intelligence Threat Encyclopedia gefunden werden kann. |
passiveOnly | Boolesch | Bestimmt, ob der Indikator ein Ereignis auslösen soll, das für einen Endbenutzer sichtbar ist. Wenn diese Einstellung auf "true" festgelegt ist, benachrichtigen Sicherheitstools den Endbenutzer nicht, dass ein "Treffer" aufgetreten ist. Dies wird von Sicherheitsprodukten am häufigsten als Überwachungs- oder Unbeaufsichtigter Modus behandelt, in dem sie protokollieren, dass eine Übereinstimmung aufgetreten ist, aber die Aktion nicht ausführt. Standardwert ist "false". |
Schweregrad | Int32 | Eine ganze Zahl, die den Schweregrad des schädlichen Verhaltens darstellt, das durch die Daten innerhalb des Indikators identifiziert wird. Zulässige Werte sind 0 bis 5, wobei 5 die schwerwiegendste und null überhaupt nicht schwerwiegend ist. Der Standardwert ist 3. |
tags | Zeichenfolgenauflistung | Ein JSON-Array von Zeichenfolgen, das beliebige Tags/Schlüsselwörter speichert. |
tlpLevel | tlpLevel | Traffic Light Protocol-Wert für den Indikator. Mögliche Werte: unknown , white , green , amber , red . |
Antwort
Wenn die Methode erfolgreich verläuft, wird der Antwortcode 204 No Content
zurückgegeben.
Wenn der optionale Anforderungsheader verwendet wird, gibt die Methode einen 200 OK
Antwortcode und das aktualisierte tiIndicator-Objekt im Antworttext zurück.
Beispiele
Beispiel 1: Anforderung ohne Prefer-Header
Anforderung
Das folgende Beispiel zeigt eine Anforderung ohne den Prefer
-Header.
PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
{
"description": "description-updated",
}
Antwort
Das folgende Beispiel zeigt die Antwort.
HTTP/1.1 204 No Content
Beispiel 2: Anforderung mit Prefer-Header
Anforderung
Das folgende Beispiel zeigt eine Anforderung, die den Prefer
-Header enthält.
PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
Prefer: return=representation
{
"additionalInformation": "additionalInformation-after-update",
"confidence": 42,
"description": "description-after-update",
}
Antwort
Das folgende Beispiel zeigt die Antwort.
Hinweis
Das hier gezeigte Antwortobjekt wird möglicherweise zur besseren Lesbarkeit verkürzt.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#Security/tiIndicators/$entity",
"id": "e58c072b-c9bb-a5c4-34ce-eb69af44fb1e",
"azureTenantId": "XXXXXXXXXXXXXXXXXXXXXXXXX",
"action": null,
"additionalInformation": "additionalInformation-after-update",
"activityGroupNames": [],
"confidence": 42,
"description": "description-after-update",
}