次の方法で共有


tiIndicator リソースの種類 (非推奨)

名前空間: microsoft.graph

重要

Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。

注:

tiIndicator エンティティは非推奨となり、2026 年 4 月までに削除されます。

悪意のあるアクティビティを識別するために使用されるデータを表します。

organizationが、独自の生成、オープンソース フィードからの取得、パートナー組織またはコミュニティとの共有、またはデータのフィードの購入によって、脅威インジケーターを使用する場合は、ログ データとの照合にさまざまなセキュリティ ツールでこれらのインジケーターを使用できます。 tiIndicators エンティティを使用すると、許可、ブロック、またはアラートのアクションの脅威インジケーターを Microsoft セキュリティ ツールにアップロードできます。

tiIndicator を介してアップロードされた脅威インジケーターは、Microsoft の脅威インテリジェンスと共に使用され、organizationにカスタマイズされたセキュリティ ソリューションを提供します。 tiIndicator エンティティを使用する場合は、targetProduct プロパティを使用してインジケーターを利用する Microsoft セキュリティ ソリューションを指定し、セキュリティ ソリューションがアクション プロパティを使用してインジケーターを適用するアクション (許可、ブロック、またはアラート) を指定します。

現時点では、 targetProduct は次の製品をサポートしています。

  • Microsoft Defender for Endpoint – 次の tiIndicators メソッドをサポートします。

    注:

    targetProduct では、次のインジケーターの種類Microsoft Defender for Endpointサポートされています。

    • Files
    • IP アドレス: Microsoft Defender for Endpointは宛先 IPv4/IPv6 のみをサポートします。microsoft Graph Security API tiIndicator の networkDestinationIPv4 または networkDestinationIPv6 プロパティの set プロパティ。
    • URL/ドメイン

    Microsoft Defender for Endpointのテナントごとに 15,000 個のインジケーターの制限があります。

  • Microsoft SentineltiIndicator API を使用して脅威インテリジェンス インジケーターを Microsoft Sentinel に送信できるのは、既存のお客様だけです。 脅威インテリジェント インジケーターを Microsoft Sentinel に送信する方法の最新の詳細な手順については、「脅威 インテリジェンス プラットフォームを Microsoft Sentinel に接続する」を参照してください。

サポートされているインジケーターの種類の詳細と、テナントごとのインジケーターのカウントに対する制限については、「インジケーターを管理する」を参照してください。

メソッド

メソッド 戻り値の型 説明
Get tiIndicator tiIndicator オブジェクトのプロパティとリレーションシップを読み取ります。
Create tiIndicator tiIndicators コレクションに投稿して、新しい tiIndicator をCreateします。
List tiIndicator コレクション tiIndicator オブジェクト コレクションを取得します。
Update tiIndicator tiIndicator オブジェクトを更新します。
Delete なし tiIndicator オブジェクトを削除します。
複数削除する なし 複数の tiIndicator オブジェクトを削除します。
外部 ID に基づいて複数削除する なし プロパティで複数の tiIndicator オブジェクトを externalId 削除します。
複数送信する tiIndicator コレクション tiIndicators コレクションを投稿して、新しい tiIndicator をCreateします。
複数更新する tiIndicator コレクション 複数の tiIndicator オブジェクトを更新します。

各ターゲット製品でサポートされるメソッド

メソッド Azure Sentinel Microsoft Defender for Endpoint
TI インジケーターを作成する 必須フィールドは、actionazureTenantIddescriptionexpirationDateTime、、threatTypetargetProducttlpLevel、および少なくとも 1 つの電子メール、ネットワーク、またはファイル監視可能です。 必須フィールドは、actionのいずれかの値 networkDestinationIPv6networkDestinationIPv4urlfileHashValuedomainNameです(の場合fileHashValueは指定fileHashTypeする必要があります)。
TI インジケーターを送信する tiIndicator の必須フィールドについては、Create tiIndicator メソッドを参照してください。 要求ごとに 100 tiIndicator の制限があります。 tiIndicator の必須フィールドについては、Create tiIndicator メソッドを参照してください。 要求ごとに 100 tiIndicator の制限があります。
TI インジケーターを更新する 必須フィールドは、 id、、 expirationDateTimeです targetProduct
編集可能なフィールドは、actiondescriptionactivityGroupNamesadditionalInformationconfidencediamondModel、、expirationDateTime、、 passiveOnlyseveritytagsexternalIdkillChaintlpLevelisActiveknownFalsePositiveslastReportedDateTimemalwareFamilyNamesです。
必須フィールドは、 id、、 expirationDateTimeです targetProduct
編集可能なフィールドは、 expirationDateTime、、 severityです description
tiIndicators を更新する 各 tiIndicator の必須フィールドと編集可能なフィールドについては、「 TiIndicator の更新 」メソッドを参照してください。

ファイルの問題

TI インジケーターを削除する 必須フィールドは です。 id 必須フィールドは です。 id
tiIndicator を削除する tiIndicator の 必須フィールドについては、上記の Delete tiIndicator メソッドを参照してください。

ファイルの問題

プロパティ

プロパティ 種類 説明
action 文字列 targetProduct セキュリティ ツール内からインジケーターが一致する場合に適用するアクション。 使用可能な値: unknownallowblockalert必須です。
activityGroupNames String collection 脅威インジケーターの対象となる悪意のあるアクティビティを担当する当事者のサイバー脅威インテリジェンス名。
additionalInformation String 他の tiIndicator プロパティで特にカバーされていないインジケーターからの追加データのキャッチオール領域。 targetProduct で指定されたセキュリティ ツールは、通常、このデータを利用しません。
azureTenantId String インジケーターが取り込まれるときにシステムによってスタンプされます。 クライアントを送信するMicrosoft Entraテナント ID。 必須です。
confidence Int32 インジケーター内のデータが悪意のある動作を正確に識別する信頼度を表す整数。 許容される値は 0 から 100 で、100 が最も高くなります。
説明 String インジケーターで表される脅威の簡単な説明 (100 文字以下)。 必須です。
diamondModel diamondModel このインジケーターが存在するダイヤモンド モデルの領域。 可能な値は、unknownadversarycapabilityinfrastructurevictim です。
expirationDateTime DateTimeOffset インジケーターの有効期限を示す DateTime 文字列。 古いインジケーターがシステムに保持されないようにするには、すべてのインジケーターに有効期限が必要です。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 必須です。
外部ID String インジケーターをインジケーター プロバイダーのシステム (外部キーなど) に戻す識別番号。
id String インジケーターが取り込まれるときにシステムによって作成されます。 生成された GUID/一意識別子。 読み取り専用です。
ingestedDateTime DateTimeOffset インジケーターが取り込まれるときにシステムによってスタンプされます。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。
isActive ブール型 システム内のインジケーターを非アクティブ化するために使用されます。 既定では、送信されたすべてのインジケーターがアクティブとして設定されます。 ただし、プロバイダーは、システム内のインジケーターを非アクティブ化するために、この設定を "False" に設定した既存のインジケーターを送信できます。
killChain killChain コレクション このインジケーターがターゲットとする Kill Chain 上のポイントまたはポイントを記述する文字列の JSON 配列。 正確な値については、以下の「killChain 値」を参照してください。
knownFalsePositives String インジケーターが誤検知を引き起こす可能性があるシナリオ。 これは人間が判読できるテキストである必要があります。
lastReportedDateTime DateTimeOffset インジケーターが最後に表示された時刻。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。
malwareFamilyNames String collection インジケーターに関連付けられているマルウェア ファミリ名 (存在する場合)。 Microsoft は、Windows Defender セキュリティ インテリジェンスの 脅威の百科事典を介して見つけられる可能性がある場合は、Microsoft マルウェアファミリ名を好みます。
passiveOnly ブール型 インジケーターがエンド ユーザーに表示されるイベントをトリガーする必要があるかどうかを判断します。 "true" に設定すると、セキュリティ ツールはエンド ユーザーに "ヒット" が発生したことを通知しません。 これは、ほとんどの場合、一致が発生したがアクションを実行しないことをログに記録するセキュリティ製品によって監査モードまたはサイレント モードとして扱われます。 既定値は False です。
severity Int32 インジケーター内のデータによって識別される悪意のある動作の重大度を表す整数。 許容される値は 0 から 5 で、5 が最も重大であり、ゼロはまったく重大ではありません。 既定値は 3 です。
tags String collection 任意のタグ/キーワードを格納する文字列の JSON 配列。
targetProduct String インジケーターを適用する必要がある 1 つのセキュリティ製品を表す文字列値。 許容される値は、 Azure SentinelMicrosoft Defender ATPです。 必須
threatType threatType 各インジケーターには、有効なインジケーターの脅威の種類が必要です。 使用可能な値は、BotnetC2CryptoMiningDarknetDDoSMaliciousUrlMalwarePhishingProxyPUAWatchList です。 必須です。
tlpLevel tlpLevel インジケーターの [トラフィック ライト プロトコル] の値。 可能な値は、unknownwhitegreenamberred です。 必須です。

インジケーターオブザーバブル - 電子メール

プロパティ 種類 説明
emailEncoding String 電子メールで使用されるテキスト エンコードの種類。
emailLanguage String メールの言語。
emailRecipient String 受信者のメール アドレス。
emailSenderAddress String 攻撃者のEmailアドレス|被害者。
emailSenderName String 攻撃者|被害者の名前が表示されます。
emailSourceDomain String メールで使用されるドメイン。
emailSourceIpAddress String メールの送信元 IP アドレス。
emailSubject String メールの件名行。
emailXMailer String メールで使用される X-Mailer 値。

インジケーター監視可能なファイル

プロパティ 種類 説明
fileCompileDateTime DateTimeOffset ファイルがコンパイルされたときの DateTime。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。
fileCreatedDateTime DateTimeOffset ファイルが作成された DateTime。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。
fileHashType 文字列 fileHashValue に格納されているハッシュの種類。 可能な値は、unknownsha1sha256md5authenticodeHash256lsHashctph です。
fileHashValue String ファイル ハッシュ値。
fileMutexName String ファイル ベースの検出で使用されるミューテックス名。
fileName String インジケーターがファイルベースの場合は、ファイルの名前。 複数のファイル名をコンマで区切る場合があります。
filePacker String 問題のファイルをビルドするために使用されるパッカー。
Filepath String 侵害を示すファイルのパス。 Windows または *nix スタイルのパスを指定できます。
ファイルサイズ Int64 ファイルのサイズ (バイト単位)。
Filetype String ファイルの種類のテキストの説明。 たとえば、"ドキュメントのWord" や "Binary" などです。

インジケーターオブザーバブル - ネットワーク

プロパティ 種類 説明
domainName String このインジケーターに関連付けられているドメイン名。 サブドメイン.domain.topleveldomain の形式にする必要があります (たとえば、baddomain.domain.net)
networkCidrBlock String CIDR このインジケーターで参照されるネットワークのブロック表記表現。 [ソース] と [宛先] を識別できない場合にのみ使用します。
networkDestinationAsn Int32 インジケーターで参照されるネットワークの宛先自律システム識別子。
networkDestinationCidrBlock String CIDR このインジケーターの宛先ネットワークのブロック表記表現。
networkDestinationIPv4 String IPv4 IP アドレスの宛先。
networkDestinationIPv6 String IPv6 IP アドレスの宛先。
networkDestinationPort Int32 TCP ポート宛先。
networkIPv4 String IPv4 IP アドレス。 [ソース] と [宛先] を識別できない場合にのみ使用します。
networkIPv6 String IPv6 IP アドレス。 [ソース] と [宛先] を識別できない場合にのみ使用します。
networkPort Int32 TCP ポート。 [ソース] と [宛先] を識別できない場合にのみ使用します。
networkProtocol Int32 IPv4 ヘッダーのプロトコル フィールドの 10 進表現。
networkSourceAsn Int32 インジケーターで参照されるネットワークのソース自律システム識別子。
networkSourceCidrBlock String このインジケーターでのソース ネットワークの CIDR ブロック表記表現
networkSourceIPv4 String IPv4 IP アドレス ソース。
networkSourceIPv6 String IPv6 IP アドレス ソース。
networkSourcePort Int32 TCP ポート ソース。
url String Uniform Resource Locator。 この URL は RFC 1738 に準拠している必要があります。
Useragent String User-Agent 侵害を示す可能性がある Web 要求からの文字列。

diamondModel 値

このモデルの詳細については、「 ダイヤモンド モデル」を参照してください。

メンバー 説明
不明 0
1 このインジケーターは敵対者を表します。
capability 2 インジケーターは敵対者の機能です。
インフラストラクチャ 3 このインジケーターは、敵対者のインフラストラクチャを記述します。
被害者 4 この指標は敵対者の犠牲者を表しています。
unknownFutureValue 127

killChain 値

メンバー 説明
アクション 攻撃者が侵害されたシステムを使用して、分散型サービス拒否攻撃などのアクションを実行していることを示します。
C2 侵害されたシステムが操作される制御チャネルを表します。
配信 悪用コードを被害者 (USB、電子メール、Web サイトなど) に配布するプロセス。
搾取 脆弱性を利用する悪用コード (コードの実行など)。
インストール 脆弱性が悪用された後のマルウェアのインストール。
偵察 インジケーターは、将来の攻撃で使用される情報を収集するアクティビティ グループの証拠です。
武器化 脆弱性を悪用コード (マルウェアなど) に変換する。

threatType 値

メンバー 説明
ボットネット インジケーターは、ボットネット ノード/メンバーの詳細を示しています。
C2 インジケーターは、ボットネットのコマンド & コントロール ノードの詳細を示しています。
CryptoMining このネットワーク アドレス/URL に関係するトラフィックは、CyrptoMining/リソースの不正使用を示しています。
Darknet インジケーターは、ダークネット ノード/ネットワークのインジケーターです。
Ddos アクティブまたは今後の DDoS キャンペーンに関連するインジケーター。
MaliciousUrl マルウェアにサービスを提供している URL。
マルウェア 悪意のあるファイルまたはファイルを記述するインジケーター。
フィッシング詐欺 フィッシング キャンペーンに関連するインジケーター。
プロキシ インジケーターは、プロキシ サービスのインジケーターです。
プア 望ましくない可能性のあるアプリケーション。
WatchList これは、脅威を特定できないインジケーター、または手動による解釈が必要なインジケーターの汎用バケットです。 システムにデータを送信するパートナーは、このプロパティを使用しないでください。

tlpLevel 値

すべてのインジケーターは、送信時にトラフィック ライト プロトコルの値も持つ必要があります。 この値は、特定のインジケーターの秘密度と共有スコープを表します。

メンバー 説明
ホワイト 共有スコープ: 無制限。 インジケーターは、制限なく自由に共有できます。
共有スコープ: コミュニティ。 インジケーターは、セキュリティ コミュニティと共有できます。
Amber 共有スコープ: 制限付き。 これはインジケーターの既定の設定であり、"知る必要がある" が 1) 脅威インテリジェンスを実装するサービスおよびサービスオペレーター 2) システムがインジケーターと一致する動作を示す顧客にのみ共有を制限します。
共有スコープ: 個人用。 これらの指標は、直接、できれば直接共有することだけです。 通常、TLP Red インジケーターは、定義済みの制限のために取り込まれません。 TLP Red インジケーターが送信された場合は、"PassiveOnly" プロパティも に設定する True 必要があります。

リレーションシップ

なし。

JSON 表記

次の JSON 表現は、リソースの種類を示しています。

{
  "action": "string",
  "activityGroupNames": ["String"],
  "additionalInformation": "String",
  "azureTenantId": "String",
  "confidence": 1024,
  "description": "String",
  "diamondModel": "string",
  "domainName": "String",
  "emailEncoding": "String",
  "emailLanguage": "String",
  "emailRecipient": "String",
  "emailSenderAddress": "String",
  "emailSenderName": "String",
  "emailSourceDomain": "String",
  "emailSourceIpAddress": "String",
  "emailSubject": "String",
  "emailXMailer": "String",
  "expirationDateTime": "String (timestamp)",
  "externalId": "String",
  "fileCompileDateTime": "String (timestamp)",
  "fileCreatedDateTime": "String (timestamp)",
  "fileHashType": "string",
  "fileHashValue": "String",
  "fileMutexName": "String",
  "fileName": "String",
  "filePacker": "String",
  "filePath": "String",
  "fileSize": 1024,
  "fileType": "String",
  "id": "String (identifier)",
  "ingestedDateTime": "String (timestamp)",
  "isActive": true,
  "killChain": ["String"],
  "knownFalsePositives": "String",
  "lastReportedDateTime": "String (timestamp)",
  "malwareFamilyNames": ["String"],
  "networkCidrBlock": "String",
  "networkDestinationAsn": 1024,
  "networkDestinationCidrBlock": "String",
  "networkDestinationIPv4": "String",
  "networkDestinationIPv6": "String",
  "networkDestinationPort": 1024,
  "networkIPv4": "String",
  "networkIPv6": "String",
  "networkPort": 1024,
  "networkProtocol": 1024,
  "networkSourceAsn": 1024,
  "networkSourceCidrBlock": "String",
  "networkSourceIPv4": "String",
  "networkSourceIPv6": "String",
  "networkSourcePort": 1024,
  "passiveOnly": true,
  "severity": 1024,
  "tags": ["String"],
  "targetProduct": "String",
  "threatType": "String",
  "tlpLevel": "string",
  "url": "String",
  "userAgent": "String"
}