Тип ресурса tiIndicator (не рекомендуется)
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Примечание.
Сущность tiIndicator устарела и будет удалена к апрелю 2026 г.
Представляет данные, используемые для выявления вредоносных действий.
Если ваша организация работает с индикаторами угроз, создавая собственные, получая их из открытый код веб-каналов, предоставляя доступ к партнерским организациям или сообществам или приобретая веб-каналы данных, вы можете использовать эти индикаторы в различных средствах безопасности для сопоставления с данными журнала. Сущность tiIndicators позволяет передавать индикаторы угроз в средства безопасности Майкрософт для действий с разрешением, блокировкой или оповещением.
Индикаторы угроз, передаваемые через tiIndicator , используются с аналитикой угроз Майкрософт для предоставления настраиваемого решения безопасности для вашей организации. При использовании сущности tiIndicator укажите решение майкрософт для обеспечения безопасности, которое вы хотите использовать, с помощью свойства targetProduct , и укажите действие (разрешить, заблокировать или оповещение), к которому решение безопасности должно применять индикаторы с помощью свойства action .
В настоящее время targetProduct поддерживает следующие продукты:
Microsoft Defender для конечной точки — поддерживает следующие методы tiIndicators:
- Получение объекта tiIndicator
- Создание объекта tiIndicator
- Перечисление объектов tiIndicator
- Обновление
- удаление;
Примечание.
В Microsoft Defender для конечной точки targetProduct поддерживаются следующие типы индикаторов:
- Файлы
- IP-адреса: Microsoft Defender для конечной точки поддерживает только назначение IPv4/IPv6. Задайте свойство в свойствах networkDestinationIPv4 или networkDestinationIPv6 в Microsoft Graph API безопасности tiIndicator.
- URL-адреса и домены
Существует ограничение в 15 000 индикаторов на арендатор для Microsoft Defender для конечной точки.
Microsoft Sentinel — только существующие клиенты могут использовать API tiIndicator для отправки индикаторов аналитики угроз в Microsoft Sentinel. Самые актуальные и подробные инструкции по отправке интеллектуальных индикаторов угроз в Microsoft Sentinel см. в статье Подключение платформы аналитики угроз к Microsoft Sentinel.
Подробнее о поддерживаемых типах индикаторов и ограничениях относительно количества индикаторов для каждого клиента см. в статье Управление индикаторами.
Методы
| Метод | Возвращаемый тип | Описание |
|---|---|---|
| Получение | tiIndicator | Чтение свойств и связей объекта tiIndicator. |
| Создание | tiIndicator | Create новый tiIndicator, разместив в коллекции tiIndicators. |
| List | коллекция tiIndicator | Получение коллекции объектов tiIndicator. |
| Обновление | tiIndicator | Обновление объекта tiIndicator. |
| удаление; | Нет | Удаление объекта tiIndicator. |
| Удаление нескольких | Нет | Удалите несколько объектов tiIndicator. |
| Удаление нескольких по внешнему ИД | Нет | Удалите несколько объектов tiIndicator с помощью externalId свойства . |
| Отправка нескольких | коллекция tiIndicator | Create новые tiIndicators, разместив коллекцию tiIndicators. |
| Обновление нескольких | коллекция tiIndicator | Обновите несколько объектов tiIndicator. |
Методы, поддерживаемые каждым целевым продуктом
| Метод | Azure Sentinel | Microsoft Defender для конечной точки |
|---|---|---|
| Создание объекта tiIndicator | Обязательные поля: action, , descriptionazureTenantId, expirationDateTime, targetProduct, threatTypetlpLevel, и по крайней мере одно сообщение электронной почты, сеть или наблюдаемый файл. |
Обязательные поля: action, и одно из следующих значений: domainName, url, networkDestinationIPv4, , networkDestinationIPv6, , fileHashValue (должен предоставляться fileHashType в случае fileHashValue). |
| Отправка объектов tiIndicator | Обязательные поля для каждого tiIndicator см. в методе tiIndicator Create. Существует ограничение в 100 tiIndicators на запрос. | Обязательные поля для каждого tiIndicator см. в методе tiIndicator Create. Существует ограничение в 100 tiIndicators на запрос. |
| Обновление объекта tiIndicator | Обязательные поля: id, expirationDateTime, targetProduct. Редактируемые поля: , , , additionalInformationconfidence, description, diamondModel, expirationDateTime, isActiveexternalId, killChain, knownFalsePositives, , lastReportedDateTime, , malwareFamilyNames, passiveOnly, severity, , tags, . tlpLevelactivityGroupNamesaction |
Обязательные поля: id, expirationDateTime, targetProduct. Редактируемые поля: expirationDateTime, severity, description. |
| Обновление tiIndicators | Сведения о обязательных и редактируемых полях для каждого tiIndicator см. в методе Update tiIndicator . | |
| Удаление объекта tiIndicator | Обязательное поле: id. |
Обязательное поле: id. |
| Удаление tiIndicators | Обязательное поле для каждого tiIndicator см. в описании метода Delete tiIndicator выше. |
Свойства
| Свойство | Тип | Описание |
|---|---|---|
| action | string | Действие, применяемое, если индикатор сопоставляется из средства безопасности targetProduct. Возможные значения: unknown, allow, block, alert.
Обязательно. |
| activityGroupNames | Коллекция строк | Имена аналитики киберугрызов для сторон, ответственных за вредоносные действия, охватываемые индикатором угрозы. |
| additionalInformation | String | Область catchall для дополнительных данных из индикатора, который не охватывается другими свойствами tiIndicator. Средство безопасности, указанное в targetProduct, обычно не использует эти данные. |
| azureTenantId | String | Маркируется системой при приеме индикатора. Идентификатор Microsoft Entra клиента отправки. Обязательно. |
| confidence | Int32 | Целое число, представляющее достоверность данных в индикаторе, точно идентифицирует вредоносное поведение. Допустимые значения: от 0 до 100, а наибольшее значение — 100. |
| description | String | Краткое описание (не более 100 символов) угрозы, представленной индикатором. Обязательно. |
| diamondModel | diamondModel | Область алмазной модели, в которой существует этот индикатор. Возможные значения: unknown, adversary, capability, infrastructure, victim. |
| expirationDateTime | DateTimeOffset | Строка DateTime, указывающая, когда истекает срок действия индикатора. Все индикаторы должны иметь дату окончания срока действия, чтобы избежать сохранения устаревших индикаторов в системе. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z.
Обязательно. |
| externalId | String | Идентификационный номер, который связывает индикатор с системой поставщика индикатора (например, внешний ключ). |
| id | String | Создается системой при приеме индикатора. Созданный идентификатор GUID или уникальный идентификатор. Только для чтения. |
| ingestedDateTime | DateTimeOffset | Маркируется системой при приеме индикатора. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. |
| isActive | Логический | Используется для деактивации индикаторов в системе. По умолчанию любой отправленный индикатор задается как активный. Однако поставщики могут отправлять существующие индикаторы с этим набором "False", чтобы отключить индикаторы в системе. |
| killChain | коллекция killChain | Массив json строк, описывающий, какие точки или точки в цепочке kill для этого индикатора предназначен. Точные значения см. в разделе KillChain values ниже. |
| knownFalsePositives | String | Сценарии, в которых индикатор может вызывать ложные срабатывания. Это должен быть удобочитаемый текст. |
| lastReportedDateTime | DateTimeOffset | При последнем просмотре индикатора. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. |
| malwareFamilyNames | Коллекция строк | Имя семейства вредоносных программ, связанное с индикатором, если оно существует. Корпорация Майкрософт предпочитает имя семейства вредоносных программ Майкрософт, если это вообще возможно, которое можно найти в энциклопедии аналитики угроз в Защитнике Windows. |
| passiveOnly | Логический | Определяет, должен ли индикатор активировать событие, видимое для конечного пользователя. Если задано значение true, средства безопасности не будут уведомлять конечного пользователя о том, что произошло "попадание". Продукты безопасности чаще всего рассматривают это как аудит или автоматический режим, в котором они просто регистрируют совпадение, но не выполняют действие. Значение по умолчанию − ложь. |
| severity | Int32 | Целое число, представляющее серьезность вредоносного поведения, определяемого данными в индикаторе. Допустимые значения: от 0 до 5, где 5 является самым серьезным, а ноль не является серьезным вообще. Значение по умолчанию: 3. |
| tags | Коллекция String | Массив строк JSON, в котором хранятся произвольные теги или ключевые слова. |
| targetProduct | String | Строковое значение, представляющее один продукт безопасности, к которому должен применяться индикатор. Допустимые значения: Azure Sentinel, Microsoft Defender ATP.
Required |
| threatType | threatType | Каждый индикатор должен иметь допустимый тип угрозы индикатора. Возможные значения: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList.
Обязательно. |
| tlpLevel | tlpLevel | Значение протокола светофора для индикатора. Возможные значения: unknown, white, green, amber, red.
Обязательно. |
Наблюдаемые индикаторы — электронная почта
| Свойство | Тип | Описание |
|---|---|---|
| emailEncoding | String | Тип кодировки текста, используемой в сообщении электронной почты. |
| emailLanguage | String | Язык сообщения электронной почты. |
| emailRecipient | String | Адрес электронной почты получателя. |
| emailSenderAddress | String | Email адрес злоумышленника|жертвы. |
| emailSenderName | String | Отображается имя злоумышленника|жертва. |
| emailSourceDomain | String | Домен, используемый в сообщении электронной почты. |
| emailSourceIpAddress | String | Исходный IP-адрес электронной почты. |
| emailSubject | String | Тема сообщения электронной почты. |
| emailXMailer | String | Значение X-Mailer, используемое в сообщении электронной почты. |
Наблюдаемые индикаторы — файл
| Свойство | Тип | Описание |
|---|---|---|
| fileCompileDateTime | DateTimeOffset | Дата и время компиляции файла. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. |
| fileCreatedDateTime | DateTimeOffset | Дата и время создания файла. Тип Timestamp представляет сведения о времени и дате с использованием формата ISO 8601 (всегда применяется формат UTC). Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. |
| fileHashType | string | Тип хэша, хранящегося в файлеHashValue. Возможные значения: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph. |
| fileHashValue | String | Хэш-значение файла. |
| fileMutexName | String | Имя мьютекса, используемое при обнаружении на основе файлов. |
| fileName | String | Имя файла, если индикатор основан на файле. Несколько имен файлов могут быть разделены запятыми. |
| filePacker | String | Упаковщик, используемый для сборки соответствующего файла. |
| filePath | String | Путь к файлу, указывающий на компрометацию. Может быть путем стиля Windows или *nix. |
| fileSize | Int64 | Размер файла в байтах. |
| Filetype | String | Текстовое описание типа файла. Например, "Word документ" или "Двоичный". |
Наблюдаемые индикаторы — сеть
| Свойство | Тип | Описание |
|---|---|---|
| domainName | String | Доменное имя, связанное с этим индикатором. Должен иметь формат subdomain.domain.topleveldomain (например, baddomain.domain.net) |
| networkCidrBlock | String | Представление нотации блока CIDR сети, на которые ссылается этот индикатор. Используйте только в том случае, если не удается определить источник и назначение. |
| networkDestinationAsn | Int32 | Идентификатор автономной системы назначения сети, на который ссылается индикатор. |
| networkDestinationCidrBlock | String | Представление нотации блока CIDR целевой сети в этом индикаторе. |
| networkDestinationIPv4 | String | Назначение IP-адреса IPv4. |
| networkDestinationIPv6 | String | Назначение IP-адреса IPv6. |
| networkDestinationPort | Int32 | Назначение TCP-порта. |
| networkIPv4 | String | IP-адрес IPv4. Используйте только в том случае, если не удается определить источник и назначение. |
| networkIPv6 | String | IP-адрес IPv6. Используйте только в том случае, если не удается определить источник и назначение. |
| networkPort | Int32 | TCP-порт. Используйте только в том случае, если не удается определить источник и назначение. |
| networkProtocol | Int32 | Десятичное представление поля протокола в заголовке IPv4. |
| networkSourceAsn | Int32 | Идентификатор исходной автономной системы сети, на который ссылается индикатор. |
| networkSourceCidrBlock | String | Представление нотации блока CIDR для исходной сети в этом индикаторе |
| networkSourceIPv4 | String | Источник IP-адреса IPv4. |
| networkSourceIPv6 | String | Источник IP-адреса IPv6. |
| networkSourcePort | Int32 | Источник TCP-порта. |
| url | String | Универсальный указатель ресурсов. Этот URL-адрес должен соответствовать стандарту RFC 1738. |
| Useragent | String | User-Agent строку из веб-запроса, которая может указывать на компрометацию. |
Значения diamondModel
Дополнительные сведения об этой модели см. в разделе Алмазная модель.
| Элемент | Значение | Описание |
|---|---|---|
| unknown | 0 | |
| Противника | 1 | Индикатор описывает злоумышленника. |
| Возможность | 2 | Индикатор — это способность злоумышленника. |
| Инфраструктуры | 3 | Индикатор описывает инфраструктуру злоумышленника. |
| Жертва | 4 | Индикатор описывает жертву злоумышленника. |
| unknownFutureValue | 127 |
значения killChain
| Member | Описание |
|---|---|
| Действия | Указывает, что злоумышленник использует скомпрометированную систему для выполнения таких действий, как распределенная атака типа "отказ в обслуживании". |
| C2 | Представляет канал управления, по которому обрабатывается скомпрометированная система. |
| Delivery | Процесс распространения кода эксплойтов среди жертв (например, USB, электронной почты, веб-сайтов). |
| Эксплуатации | Код эксплойтов, использующие уязвимости (например, выполнение кода). |
| Установка | Установка вредоносных программ после использования уязвимости. |
| Рекогносцировка | Индикатор является свидетельством того, что группа действий собирает информацию для использования в будущей атаке. |
| Веодеризация | Преобразование уязвимости в код эксплойтов (например, вредоносные программы). |
Значения threatType
| Member | Описание |
|---|---|
| Ботнет | Индикатор содержит подробные сведения об узле или члене ботнета. |
| C2 | Индикатор содержит подробные сведения об узле Управления командой & ботнета. |
| CryptoMining | Трафик, включающий этот сетевой адрес или URL-адрес, указывает на злоупотребление CyrptoMining или ресурсом. |
| Darknet | Индикатор — это узел или сеть Darknet. |
| Ddos | Индикаторы, относящиеся к активной или предстоящей кампании DDoS. |
| MaliciousUrl | URL-адрес, обслуживающий вредоносную программу. |
| Вредоносная программа | Индикатор, описывающий вредоносный файл или файлы. |
| Фишинг | Индикаторы, связанные с фишинговой кампанией. |
| Прокси-сервер | Индикатор — это прокси-служба. |
| PUA | Потенциально нежелательное приложение. |
| Список | Это универсальный контейнер для индикаторов, для которых невозможно определить угрозу или для которых требуется интерпретация вручную. Партнеры, отправляющие данные в систему, не должны использовать это свойство. |
значения tlpLevel
Каждый индикатор также должен иметь значение протокола светофора при его отправке. Это значение представляет область конфиденциальности и совместного использования заданного индикатора.
| Member | Описание |
|---|---|
| Белый | Общий доступ область: не ограничено. Индикаторы можно делиться бесплатно, без ограничений. |
| Зеленый | Общий доступ область: Сообщество. Индикаторы могут предоставляться сообществу безопасности. |
| Amber | Общий доступ область: ограничено. Это параметр по умолчанию для индикаторов и ограничивает общий доступ только теми пользователями, которые должны знать: 1) Службы и операторы служб, которые реализуют аналитику угроз 2) клиенты, чьи системы демонстрируют поведение, соответствующее индикатору. |
| Красный | Общий доступ область: личный. Эти индикаторы должны предоставляться только непосредственно и, желательно, лично. Как правило, индикаторы TLP Red не приемлются из-за предопределенных ограничений. Если передаются индикаторы TLP Red, свойству PassiveOnly также должно быть присвоено значение True . |
Связи
Отсутствуют.
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"action": "string",
"activityGroupNames": ["String"],
"additionalInformation": "String",
"azureTenantId": "String",
"confidence": 1024,
"description": "String",
"diamondModel": "string",
"domainName": "String",
"emailEncoding": "String",
"emailLanguage": "String",
"emailRecipient": "String",
"emailSenderAddress": "String",
"emailSenderName": "String",
"emailSourceDomain": "String",
"emailSourceIpAddress": "String",
"emailSubject": "String",
"emailXMailer": "String",
"expirationDateTime": "String (timestamp)",
"externalId": "String",
"fileCompileDateTime": "String (timestamp)",
"fileCreatedDateTime": "String (timestamp)",
"fileHashType": "string",
"fileHashValue": "String",
"fileMutexName": "String",
"fileName": "String",
"filePacker": "String",
"filePath": "String",
"fileSize": 1024,
"fileType": "String",
"id": "String (identifier)",
"ingestedDateTime": "String (timestamp)",
"isActive": true,
"killChain": ["String"],
"knownFalsePositives": "String",
"lastReportedDateTime": "String (timestamp)",
"malwareFamilyNames": ["String"],
"networkCidrBlock": "String",
"networkDestinationAsn": 1024,
"networkDestinationCidrBlock": "String",
"networkDestinationIPv4": "String",
"networkDestinationIPv6": "String",
"networkDestinationPort": 1024,
"networkIPv4": "String",
"networkIPv6": "String",
"networkPort": 1024,
"networkProtocol": 1024,
"networkSourceAsn": 1024,
"networkSourceCidrBlock": "String",
"networkSourceIPv4": "String",
"networkSourceIPv6": "String",
"networkSourcePort": 1024,
"passiveOnly": true,
"severity": 1024,
"tags": ["String"],
"targetProduct": "String",
"threatType": "String",
"tlpLevel": "string",
"url": "String",
"userAgent": "String"
}