tiIndicator リソースの種類 (非推奨)
名前空間: microsoft.graph
重要
Microsoft Graph の /beta バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。
注:
tiIndicator エンティティは非推奨となり、2026 年 4 月までに削除されます。
悪意のあるアクティビティを識別するために使用されるデータを表します。
organizationが、独自の生成、オープンソース フィードからの取得、パートナー組織またはコミュニティとの共有、またはデータのフィードの購入によって、脅威インジケーターを使用する場合は、ログ データとの照合にさまざまなセキュリティ ツールでこれらのインジケーターを使用できます。 tiIndicators エンティティを使用すると、許可、ブロック、またはアラートのアクションの脅威インジケーターを Microsoft セキュリティ ツールにアップロードできます。
tiIndicator を介してアップロードされた脅威インジケーターは、Microsoft の脅威インテリジェンスと共に使用され、organizationにカスタマイズされたセキュリティ ソリューションを提供します。 tiIndicator エンティティを使用する場合は、targetProduct プロパティを使用してインジケーターを利用する Microsoft セキュリティ ソリューションを指定し、セキュリティ ソリューションがアクション プロパティを使用してインジケーターを適用するアクション (許可、ブロック、またはアラート) を指定します。
現時点では、 targetProduct は次の製品をサポートしています。
Microsoft Defender for Endpoint – 次の tiIndicators メソッドをサポートします。
注:
targetProduct では、次のインジケーターの種類Microsoft Defender for Endpointサポートされています。
- Files
- IP アドレス: Microsoft Defender for Endpointは宛先 IPv4/IPv6 のみをサポートします。microsoft Graph Security API tiIndicator の networkDestinationIPv4 または networkDestinationIPv6 プロパティの set プロパティ。
- URL/ドメイン
Microsoft Defender for Endpointのテナントごとに 15,000 個のインジケーターの制限があります。
Microsoft Sentinel – tiIndicator API を使用して脅威インテリジェンス インジケーターを Microsoft Sentinel に送信できるのは、既存のお客様だけです。 脅威インテリジェント インジケーターを Microsoft Sentinel に送信する方法の最新の詳細な手順については、「脅威 インテリジェンス プラットフォームを Microsoft Sentinel に接続する」を参照してください。
サポートされているインジケーターの種類の詳細と、テナントごとのインジケーターのカウントに対する制限については、「インジケーターを管理する」を参照してください。
メソッド
| メソッド | 戻り値の型 | 説明 |
|---|---|---|
| Get | tiIndicator | tiIndicator オブジェクトのプロパティとリレーションシップを読み取ります。 |
| Create | tiIndicator | tiIndicators コレクションに投稿して、新しい tiIndicator をCreateします。 |
| List | tiIndicator コレクション | tiIndicator オブジェクト コレクションを取得します。 |
| Update | tiIndicator | tiIndicator オブジェクトを更新します。 |
| Delete | なし | tiIndicator オブジェクトを削除します。 |
| 複数削除する | なし | 複数の tiIndicator オブジェクトを削除します。 |
| 外部 ID に基づいて複数削除する | なし | プロパティで複数の tiIndicator オブジェクトを externalId 削除します。 |
| 複数送信する | tiIndicator コレクション | tiIndicators コレクションを投稿して、新しい tiIndicator をCreateします。 |
| 複数更新する | tiIndicator コレクション | 複数の tiIndicator オブジェクトを更新します。 |
各ターゲット製品でサポートされるメソッド
| メソッド | Azure Sentinel | Microsoft Defender for Endpoint |
|---|---|---|
| TI インジケーターを作成する | 必須フィールドは、action、azureTenantId、description、expirationDateTime、、threatTypetargetProduct、tlpLevel、および少なくとも 1 つの電子メール、ネットワーク、またはファイル監視可能です。 |
必須フィールドは、actionのいずれかの値 networkDestinationIPv6networkDestinationIPv4urlfileHashValuedomainNameです(の場合fileHashValueは指定fileHashTypeする必要があります)。 |
| TI インジケーターを送信する | 各 tiIndicator の必須フィールドについては、Create tiIndicator メソッドを参照してください。 要求ごとに 100 tiIndicator の制限があります。 | 各 tiIndicator の必須フィールドについては、Create tiIndicator メソッドを参照してください。 要求ごとに 100 tiIndicator の制限があります。 |
| TI インジケーターを更新する | 必須フィールドは、 id、、 expirationDateTimeです targetProduct。 編集可能なフィールドは、 actiondescriptionactivityGroupNamesadditionalInformationconfidencediamondModel、、expirationDateTime、、 passiveOnlyseveritytagsexternalIdkillChaintlpLevelisActiveknownFalsePositiveslastReportedDateTimemalwareFamilyNamesです。 |
必須フィールドは、 id、、 expirationDateTimeです targetProduct。 編集可能なフィールドは、 expirationDateTime、、 severityです description。 |
| tiIndicators を更新する | 各 tiIndicator の必須フィールドと編集可能なフィールドについては、「 TiIndicator の更新 」メソッドを参照してください。 | |
| TI インジケーターを削除する | 必須フィールドは です。 id |
必須フィールドは です。 id |
| tiIndicator を削除する | 各 tiIndicator の 必須フィールドについては、上記の Delete tiIndicator メソッドを参照してください。 |
プロパティ
| プロパティ | 種類 | 説明 |
|---|---|---|
| action | 文字列 | targetProduct セキュリティ ツール内からインジケーターが一致する場合に適用するアクション。 使用可能な値: unknown、allow、block、alert。
必須です。 |
| activityGroupNames | String collection | 脅威インジケーターの対象となる悪意のあるアクティビティを担当する当事者のサイバー脅威インテリジェンス名。 |
| additionalInformation | String | 他の tiIndicator プロパティで特にカバーされていないインジケーターからの追加データのキャッチオール領域。 targetProduct で指定されたセキュリティ ツールは、通常、このデータを利用しません。 |
| azureTenantId | String | インジケーターが取り込まれるときにシステムによってスタンプされます。 クライアントを送信するMicrosoft Entraテナント ID。 必須です。 |
| confidence | Int32 | インジケーター内のデータが悪意のある動作を正確に識別する信頼度を表す整数。 許容される値は 0 から 100 で、100 が最も高くなります。 |
| 説明 | String | インジケーターで表される脅威の簡単な説明 (100 文字以下)。 必須です。 |
| diamondModel | diamondModel | このインジケーターが存在するダイヤモンド モデルの領域。 可能な値は、unknown、adversary、capability、infrastructure、victim です。 |
| expirationDateTime | DateTimeOffset | インジケーターの有効期限を示す DateTime 文字列。 古いインジケーターがシステムに保持されないようにするには、すべてのインジケーターに有効期限が必要です。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。
必須です。 |
| 外部ID | String | インジケーターをインジケーター プロバイダーのシステム (外部キーなど) に戻す識別番号。 |
| id | String | インジケーターが取り込まれるときにシステムによって作成されます。 生成された GUID/一意識別子。 読み取り専用です。 |
| ingestedDateTime | DateTimeOffset | インジケーターが取り込まれるときにシステムによってスタンプされます。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 |
| isActive | ブール型 | システム内のインジケーターを非アクティブ化するために使用されます。 既定では、送信されたすべてのインジケーターがアクティブとして設定されます。 ただし、プロバイダーは、システム内のインジケーターを非アクティブ化するために、この設定を "False" に設定した既存のインジケーターを送信できます。 |
| killChain | killChain コレクション | このインジケーターがターゲットとする Kill Chain 上のポイントまたはポイントを記述する文字列の JSON 配列。 正確な値については、以下の「killChain 値」を参照してください。 |
| knownFalsePositives | String | インジケーターが誤検知を引き起こす可能性があるシナリオ。 これは人間が判読できるテキストである必要があります。 |
| lastReportedDateTime | DateTimeOffset | インジケーターが最後に表示された時刻。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 |
| malwareFamilyNames | String collection | インジケーターに関連付けられているマルウェア ファミリ名 (存在する場合)。 Microsoft は、Windows Defender セキュリティ インテリジェンスの 脅威の百科事典を介して見つけられる可能性がある場合は、Microsoft マルウェアファミリ名を好みます。 |
| passiveOnly | ブール型 | インジケーターがエンド ユーザーに表示されるイベントをトリガーする必要があるかどうかを判断します。 "true" に設定すると、セキュリティ ツールはエンド ユーザーに "ヒット" が発生したことを通知しません。 これは、ほとんどの場合、一致が発生したがアクションを実行しないことをログに記録するセキュリティ製品によって監査モードまたはサイレント モードとして扱われます。 既定値は False です。 |
| severity | Int32 | インジケーター内のデータによって識別される悪意のある動作の重大度を表す整数。 許容される値は 0 から 5 で、5 が最も重大であり、ゼロはまったく重大ではありません。 既定値は 3 です。 |
| tags | String collection | 任意のタグ/キーワードを格納する文字列の JSON 配列。 |
| targetProduct | String | インジケーターを適用する必要がある 1 つのセキュリティ製品を表す文字列値。 許容される値は、 Azure Sentinel、 Microsoft Defender ATPです。
必須 |
| threatType | threatType | 各インジケーターには、有効なインジケーターの脅威の種類が必要です。 使用可能な値は、Botnet、C2、CryptoMining、Darknet、DDoS、MaliciousUrl、Malware、Phishing、Proxy、PUA、WatchList です。
必須です。 |
| tlpLevel | tlpLevel | インジケーターの [トラフィック ライト プロトコル] の値。 可能な値は、unknown、white、green、amber、red です。
必須です。 |
インジケーターオブザーバブル - 電子メール
| プロパティ | 種類 | 説明 |
|---|---|---|
| emailEncoding | String | 電子メールで使用されるテキスト エンコードの種類。 |
| emailLanguage | String | メールの言語。 |
| emailRecipient | String | 受信者のメール アドレス。 |
| emailSenderAddress | String | 攻撃者のEmailアドレス|被害者。 |
| emailSenderName | String | 攻撃者|被害者の名前が表示されます。 |
| emailSourceDomain | String | メールで使用されるドメイン。 |
| emailSourceIpAddress | String | メールの送信元 IP アドレス。 |
| emailSubject | String | メールの件名行。 |
| emailXMailer | String | メールで使用される X-Mailer 値。 |
インジケーター監視可能なファイル
| プロパティ | 種類 | 説明 |
|---|---|---|
| fileCompileDateTime | DateTimeOffset | ファイルがコンパイルされたときの DateTime。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 |
| fileCreatedDateTime | DateTimeOffset | ファイルが作成された DateTime。 Timestamp 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 |
| fileHashType | 文字列 | fileHashValue に格納されているハッシュの種類。 可能な値は、unknown、sha1、sha256、md5、authenticodeHash256、lsHash、ctph です。 |
| fileHashValue | String | ファイル ハッシュ値。 |
| fileMutexName | String | ファイル ベースの検出で使用されるミューテックス名。 |
| fileName | String | インジケーターがファイルベースの場合は、ファイルの名前。 複数のファイル名をコンマで区切る場合があります。 |
| filePacker | String | 問題のファイルをビルドするために使用されるパッカー。 |
| Filepath | String | 侵害を示すファイルのパス。 Windows または *nix スタイルのパスを指定できます。 |
| ファイルサイズ | Int64 | ファイルのサイズ (バイト単位)。 |
| Filetype | String | ファイルの種類のテキストの説明。 たとえば、"ドキュメントのWord" や "Binary" などです。 |
インジケーターオブザーバブル - ネットワーク
| プロパティ | 種類 | 説明 |
|---|---|---|
| domainName | String | このインジケーターに関連付けられているドメイン名。 サブドメイン.domain.topleveldomain の形式にする必要があります (たとえば、baddomain.domain.net) |
| networkCidrBlock | String | CIDR このインジケーターで参照されるネットワークのブロック表記表現。 [ソース] と [宛先] を識別できない場合にのみ使用します。 |
| networkDestinationAsn | Int32 | インジケーターで参照されるネットワークの宛先自律システム識別子。 |
| networkDestinationCidrBlock | String | CIDR このインジケーターの宛先ネットワークのブロック表記表現。 |
| networkDestinationIPv4 | String | IPv4 IP アドレスの宛先。 |
| networkDestinationIPv6 | String | IPv6 IP アドレスの宛先。 |
| networkDestinationPort | Int32 | TCP ポート宛先。 |
| networkIPv4 | String | IPv4 IP アドレス。 [ソース] と [宛先] を識別できない場合にのみ使用します。 |
| networkIPv6 | String | IPv6 IP アドレス。 [ソース] と [宛先] を識別できない場合にのみ使用します。 |
| networkPort | Int32 | TCP ポート。 [ソース] と [宛先] を識別できない場合にのみ使用します。 |
| networkProtocol | Int32 | IPv4 ヘッダーのプロトコル フィールドの 10 進表現。 |
| networkSourceAsn | Int32 | インジケーターで参照されるネットワークのソース自律システム識別子。 |
| networkSourceCidrBlock | String | このインジケーターでのソース ネットワークの CIDR ブロック表記表現 |
| networkSourceIPv4 | String | IPv4 IP アドレス ソース。 |
| networkSourceIPv6 | String | IPv6 IP アドレス ソース。 |
| networkSourcePort | Int32 | TCP ポート ソース。 |
| url | String | Uniform Resource Locator。 この URL は RFC 1738 に準拠している必要があります。 |
| Useragent | String | User-Agent 侵害を示す可能性がある Web 要求からの文字列。 |
diamondModel 値
このモデルの詳細については、「 ダイヤモンド モデル」を参照してください。
| メンバー | 値 | 説明 |
|---|---|---|
| 不明 | 0 | |
| 敵 | 1 | このインジケーターは敵対者を表します。 |
| capability | 2 | インジケーターは敵対者の機能です。 |
| インフラストラクチャ | 3 | このインジケーターは、敵対者のインフラストラクチャを記述します。 |
| 被害者 | 4 | この指標は敵対者の犠牲者を表しています。 |
| unknownFutureValue | 127 |
killChain 値
| メンバー | 説明 |
|---|---|
| アクション | 攻撃者が侵害されたシステムを使用して、分散型サービス拒否攻撃などのアクションを実行していることを示します。 |
| C2 | 侵害されたシステムが操作される制御チャネルを表します。 |
| 配信 | 悪用コードを被害者 (USB、電子メール、Web サイトなど) に配布するプロセス。 |
| 搾取 | 脆弱性を利用する悪用コード (コードの実行など)。 |
| インストール | 脆弱性が悪用された後のマルウェアのインストール。 |
| 偵察 | インジケーターは、将来の攻撃で使用される情報を収集するアクティビティ グループの証拠です。 |
| 武器化 | 脆弱性を悪用コード (マルウェアなど) に変換する。 |
threatType 値
| メンバー | 説明 |
|---|---|
| ボットネット | インジケーターは、ボットネット ノード/メンバーの詳細を示しています。 |
| C2 | インジケーターは、ボットネットのコマンド & コントロール ノードの詳細を示しています。 |
| CryptoMining | このネットワーク アドレス/URL に関係するトラフィックは、CyrptoMining/リソースの不正使用を示しています。 |
| Darknet | インジケーターは、ダークネット ノード/ネットワークのインジケーターです。 |
| Ddos | アクティブまたは今後の DDoS キャンペーンに関連するインジケーター。 |
| MaliciousUrl | マルウェアにサービスを提供している URL。 |
| マルウェア | 悪意のあるファイルまたはファイルを記述するインジケーター。 |
| フィッシング詐欺 | フィッシング キャンペーンに関連するインジケーター。 |
| プロキシ | インジケーターは、プロキシ サービスのインジケーターです。 |
| プア | 望ましくない可能性のあるアプリケーション。 |
| WatchList | これは、脅威を特定できないインジケーター、または手動による解釈が必要なインジケーターの汎用バケットです。 システムにデータを送信するパートナーは、このプロパティを使用しないでください。 |
tlpLevel 値
すべてのインジケーターは、送信時にトラフィック ライト プロトコルの値も持つ必要があります。 この値は、特定のインジケーターの秘密度と共有スコープを表します。
| メンバー | 説明 |
|---|---|
| ホワイト | 共有スコープ: 無制限。 インジケーターは、制限なく自由に共有できます。 |
| 緑 | 共有スコープ: コミュニティ。 インジケーターは、セキュリティ コミュニティと共有できます。 |
| Amber | 共有スコープ: 制限付き。 これはインジケーターの既定の設定であり、"知る必要がある" が 1) 脅威インテリジェンスを実装するサービスおよびサービスオペレーター 2) システムがインジケーターと一致する動作を示す顧客にのみ共有を制限します。 |
| 赤 | 共有スコープ: 個人用。 これらの指標は、直接、できれば直接共有することだけです。 通常、TLP Red インジケーターは、定義済みの制限のために取り込まれません。 TLP Red インジケーターが送信された場合は、"PassiveOnly" プロパティも に設定する True 必要があります。 |
リレーションシップ
なし。
JSON 表記
次の JSON 表現は、リソースの種類を示しています。
{
"action": "string",
"activityGroupNames": ["String"],
"additionalInformation": "String",
"azureTenantId": "String",
"confidence": 1024,
"description": "String",
"diamondModel": "string",
"domainName": "String",
"emailEncoding": "String",
"emailLanguage": "String",
"emailRecipient": "String",
"emailSenderAddress": "String",
"emailSenderName": "String",
"emailSourceDomain": "String",
"emailSourceIpAddress": "String",
"emailSubject": "String",
"emailXMailer": "String",
"expirationDateTime": "String (timestamp)",
"externalId": "String",
"fileCompileDateTime": "String (timestamp)",
"fileCreatedDateTime": "String (timestamp)",
"fileHashType": "string",
"fileHashValue": "String",
"fileMutexName": "String",
"fileName": "String",
"filePacker": "String",
"filePath": "String",
"fileSize": 1024,
"fileType": "String",
"id": "String (identifier)",
"ingestedDateTime": "String (timestamp)",
"isActive": true,
"killChain": ["String"],
"knownFalsePositives": "String",
"lastReportedDateTime": "String (timestamp)",
"malwareFamilyNames": ["String"],
"networkCidrBlock": "String",
"networkDestinationAsn": 1024,
"networkDestinationCidrBlock": "String",
"networkDestinationIPv4": "String",
"networkDestinationIPv6": "String",
"networkDestinationPort": 1024,
"networkIPv4": "String",
"networkIPv6": "String",
"networkPort": 1024,
"networkProtocol": 1024,
"networkSourceAsn": 1024,
"networkSourceCidrBlock": "String",
"networkSourceIPv4": "String",
"networkSourceIPv6": "String",
"networkSourcePort": 1024,
"passiveOnly": true,
"severity": 1024,
"tags": ["String"],
"targetProduct": "String",
"threatType": "String",
"tlpLevel": "string",
"url": "String",
"userAgent": "String"
}