tiIndicator 资源类型 (已弃用)
命名空间:microsoft.graph
重要
Microsoft Graph /beta
版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
注意
tiIndicator 实体已弃用,将于 2026 年 4 月删除。
表示用于标识恶意活动的数据。
如果你的组织通过生成自己的威胁指标、从开放源代码源获取威胁指标、与合作伙伴组织或社区共享,或者通过购买数据馈送来处理威胁指标,则你可能希望在各种安全工具中使用这些指标来与日志数据进行匹配。 tiIndicators 实体允许将威胁指标上传到 Microsoft 安全工具,以执行允许、阻止或警报操作。
通过 tiIndicator 上传的威胁指示器与 Microsoft 威胁情报配合使用,为组织提供自定义的安全解决方案。 使用 tiIndicator 实体时,请通过 targetProduct 属性指定要利用指示器的 Microsoft 安全解决方案,并指定安全解决方案应通过 操作 属性应用指示器的操作 (允许、阻止或警报) 。
目前, targetProduct 支持以下产品:
Microsoft Defender for Endpoint – 支持以下 tiIndicators 方法:
注意
Microsoft Defender for Endpoint targetProduct 支持以下指示器类型:
- 文件
- IP 地址:Microsoft Defender for Endpoint仅支持目标 IPv4/IPv6 - 在 microsoft Graph 安全性 API tiIndicator 中设置 networkDestinationIPv4 或 networkDestinationIPv6 属性。
- URL/域
对于Microsoft Defender for Endpoint,每个租户限制为 15,000 个指标。
Microsoft Sentinel - 只有现有客户可以使用 tiIndicator API 向 Microsoft Sentinel 发送威胁情报指标。 有关如何将威胁智能指标发送到 Microsoft Sentinel 的最新详细说明,请参阅 将威胁情报平台连接到 Microsoft Sentinel。
有关支持的指示器类型以及每个租户的指示器数限制的详细信息,请参阅管理指示器。
方法
方法 | 返回类型 | 说明 |
---|---|---|
获取 | tiIndicator | 读取 tiIndicator 对象的属性和关系。 |
创建 | tiIndicator | 通过发布到 tiIndicators 集合来Create新的 tiIndicator。 |
List | tiIndicator 集合 | 获取 tiIndicator 对象集合。 |
更新 | tiIndicator | 更新 tiIndicator 对象。 |
删除 | 无 | 删除 tiIndicator 对象。 |
删除多个 | 无 | 删除多个 tiIndicator 对象。 |
按外部 ID 删除多项 | 无 | 通过 externalId 属性删除多个 tiIndicator 对象。 |
提交多个 | tiIndicator 集合 | 通过发布 tiIndicators 集合来Create新的 tiIndicators。 |
更新多个 | tiIndicator 集合 | 更新多个 tiIndicator 对象。 |
每个目标产品支持的方法
方法 | Azure Sentinel | Microsoft Defender for Endpoint |
---|---|---|
创建 tiIndicator | 必填字段包括:action 、、azureTenantId 、description 、targetProduct expirationDateTime threatType 、tlpLevel 、 和至少一个可观测到的电子邮件、网络或文件。 |
必填字段为 :action ,以下值之一:domainName 、url 、networkDestinationIPv4 、 networkDestinationIPv6 fileHashValue 、 (在) 时fileHashValue 必须提供fileHashType 。 |
提交 tiIndicator | 有关每个 tiIndicator 的必填字段,请参阅 Create tiIndicator 方法。 每个请求的限制为 100 tiIndicator。 | 有关每个 tiIndicator 的必填字段,请参阅 Create tiIndicator 方法。 每个请求的限制为 100 tiIndicator。 |
更新 tiIndicator | 必填字段为: id 、 expirationDateTime 、 targetProduct 。 可编辑字段包括: action 、、activityGroupNames 、、description confidence expirationDateTime isActive externalId additionalInformation knownFalsePositives diamondModel killChain 、、、lastReportedDateTime passiveOnly severity malwareFamilyNames 、 。 tlpLevel tags |
必填字段为: id 、 expirationDateTime 、 targetProduct 。 可编辑字段包括: expirationDateTime 、 severity 、 description 。 |
更新 tiIndicators | 有关每个 tiIndicator 的必需字段和可编辑字段,请参阅 Update tiIndicator 方法。 | |
删除 tiIndicator | 必填字段为: id 。 |
必填字段为: id 。 |
删除 tiIndicators | 有关每个 tiIndicator 的必填字段,请参阅上面的 Delete tiIndicator 方法。 |
属性
属性 | 类型 | 说明 |
---|---|---|
action | string | 从 targetProduct 安全工具中匹配指示器时要应用的操作。 可能的值是:unknown 、allow 、block 、alert 。
必需。 |
activityGroupNames | 字符串集合 | 网络威胁情报名称 (威胁指标所涵盖恶意活动的责任方) 。 |
additionalInformation | String | 其他 tiIndicator 属性未专门涵盖的指标中额外数据的捕获区域。 targetProduct 指定的安全工具通常不会利用此数据。 |
azureTenantId | 字符串 | 引入指示器时由系统标记。 提交客户端Microsoft Entra租户 ID。 必需。 |
confidence | Int32 | 一个整数,表示指示器内数据准确识别恶意行为的置信度。 可接受的值为 0 – 100,最高值为 100。 |
说明 | String | 简要说明 (指示器表示的威胁) 100 个字符或更少。 必需。 |
diamondModel | diamondModel | 此指标所在的钻石模型区域。 可取值为:unknown 、adversary 、capability 、infrastructure 、victim 。 |
expirationDateTime | DateTimeOffset | 指示指示器过期时间的 DateTime 字符串。 所有指标都必须具有到期日期,以避免系统中保留过时的指标。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z 。
必需。 |
externalId | String | 一个标识号,将指示器关联回指示器提供程序的系统 (例如外键) 。 |
id | String | 引入指示器时由系统创建。 生成的 GUID/唯一标识符。 此为只读属性。 |
ingestedDateTime | DateTimeOffset | 引入指示器时由系统标记。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z |
isActive | 布尔值 | 用于停用系统内的指示器。 默认情况下,提交的任何指示器都设置为活动状态。 但是,提供商可能会提交设置为“False”的现有指标,以停用系统中的指示器。 |
killChain | killChain 集合 | 一个 JSON 字符串数组,用于描述此指标针对终止链上的哪个点。 有关确切值,请参阅下面的“killChain 值”。 |
knownFalsePositives | String | 指示器可能导致误报的情况。 这应该是人类可读的文本。 |
lastReportedDateTime | DateTimeOffset | 上次看到指示器的时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z |
malwareFamilyNames | 字符串集合 | 与指示器关联的恶意软件系列名称(如果存在)。 如果可以通过 Windows Defender 安全情报 威胁百科全书找到,Microsoft 更倾向于使用 Microsoft 恶意软件系列名称。 |
passiveOnly | 布尔值 | 确定指示器是否应触发对最终用户可见的事件。 设置为“true”时,安全工具不会通知最终用户发生了“命中”。 安全产品通常将其视为审核模式或静默模式,它们只会记录发生了匹配,但不会执行该操作。 默认值为 false。 |
severity | Int32 | 一个整数,表示由指示器中的数据标识的恶意行为的严重性。 可接受的值为 0 – 5,其中 5 表示最严重,零根本不严重。 默认值为 3。 |
tags | 字符串集合 | 存储任意标记/关键字的字符串的 JSON 数组。 |
targetProduct | String | 一个字符串值,表示应应用指示器的单个安全产品。 可接受的值为: Azure Sentinel 、 Microsoft Defender ATP 。
必需 |
threatType | threatType | 每个指示器都必须具有有效的指示器威胁类型。 可取值为:Botnet 、C2 、CryptoMining 、Darknet 、DDoS 、MaliciousUrl 、Malware 、Phishing 、Proxy 、PUA 、WatchList 。
必需。 |
tlpLevel | tlpLevel | 指示器的“交通灯协议”值。 可取值为:unknown 、white 、green 、amber 、red 。
必需。 |
指示器可观测 - 电子邮件
属性 | 类型 | 说明 |
---|---|---|
emailEncoding | String | 电子邮件中使用的文本编码类型。 |
emailLanguage | String | 电子邮件的语言。 |
emailRecipient | String | 收件人电子邮件地址。 |
emailSenderAddress | String | Email攻击者|受害者的地址。 |
emailSenderName | String | 攻击者|受害者的显示名称。 |
emailSourceDomain | String | 电子邮件中使用的域。 |
emailSourceIpAddress | String | 电子邮件的源 IP 地址。 |
emailSubject | String | 电子邮件的主题行。 |
emailXMailer | String | 电子邮件中使用的 X-Mailer 值。 |
指示器可观测 - 文件
属性 | 类型 | 说明 |
---|---|---|
fileCompileDateTime | DateTimeOffset | 编译文件时的 DateTime。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z |
fileCreatedDateTime | DateTimeOffset | 创建文件时的 DateTime。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z |
fileHashType | string | 存储在 fileHashValue 中的哈希类型。 可取值为:unknown 、sha1 、sha256 、md5 、authenticodeHash256 、lsHash 或 ctph 。 |
fileHashValue | String | 文件哈希值。 |
fileMutexName | String | 在基于文件的检测中使用的互斥体名称。 |
fileName | String | 如果指示器基于文件,则文件名。 多个文件名可以用逗号分隔。 |
filePacker | String | 用于生成有问题的文件的打包程序。 |
filePath | String | 指示泄露的文件的路径。 可以是 Windows 或 *nix 样式路径。 |
fileSize | Int64 | 文件的大小(以字节为单位)。 |
fileType | String | 文件类型的文本说明。 例如,“Word Document”或“Binary”。 |
指示器可观测 - 网络
属性 | 类型 | 说明 |
---|---|---|
domainName | String | 与此指示器关联的域名。 格式应为 subdomain.domain.topleveldomain (例如,baddomain.domain.net) |
networkCidrBlock | String | 此指示器中引用的网络的 CIDR 块表示法表示形式。 仅当无法识别源和目标时使用。 |
networkDestinationAsn | Int32 | 指示器中引用的网络的目标自治系统标识符。 |
networkDestinationCidrBlock | String | 此指示器中目标网络的 CIDR 块表示法表示形式。 |
networkDestinationIPv4 | String | IPv4 IP 地址目标。 |
networkDestinationIPv6 | String | IPv6 IP 地址目标。 |
networkDestinationPort | Int32 | TCP 端口目标。 |
networkIPv4 | String | IPv4 IP 地址。 仅当无法识别源和目标时使用。 |
networkIPv6 | String | IPv6 IP 地址。 仅当无法识别源和目标时使用。 |
networkPort | Int32 | TCP 端口。 仅当无法识别源和目标时使用。 |
networkProtocol | Int32 | IPv4 标头中协议字段的十进制表示形式。 |
networkSourceAsn | Int32 | 指示器中引用的网络的源自治系统标识符。 |
networkSourceCidrBlock | String | 此指示器中源网络的 CIDR 块表示法表示形式 |
networkSourceIPv4 | String | IPv4 IP 地址源。 |
networkSourceIPv6 | String | IPv6 IP 地址源。 |
networkSourcePort | Int32 | TCP 端口源。 |
url | String | 统一资源定位符。 此 URL 必须符合 RFC 1738。 |
userAgent | String | User-Agent 可能指示泄露的 Web 请求的字符串。 |
diamondModel 值
有关此模型的信息,请参阅 钻石模型。
成员 | 值 | 说明 |
---|---|---|
unknown | 0 | |
对手 | 1 | 指示器描述对手。 |
能力 | 2 | 指示器是攻击者的一项功能。 |
基础 设施 | 3 | 该指标描述攻击者的基础结构。 |
受害者 | 4 | 该指标描述对手的受害者。 |
unknownFutureValue | 127 |
killChain 值
成员 | 说明 |
---|---|
操作 | 指示攻击者使用受攻击的系统执行分布式拒绝服务攻击等操作。 |
C2 | 表示操作受入侵系统的控制通道。 |
交付 | 向受害者分发攻击代码的过程 (例如 USB、电子邮件、网站) 。 |
开发 | 利用漏洞的攻击代码 (例如代码执行) 。 |
安装 | 利用漏洞后安装恶意软件。 |
侦查 | 指示器是活动组收集信息以用于将来攻击的证据。 |
武器化 | 将漏洞转换为攻击代码 (例如恶意软件) 。 |
threatType 值
成员 | 说明 |
---|---|
僵尸网络 | 指示器详细说明了僵尸网络节点/成员。 |
C2 | 指示器详细说明了僵尸网络的命令 & 控制节点。 |
CryptoMining | 涉及此网络地址/URL 的流量指示 CyrptoMining/资源滥用。 |
Darknet | 指示符是 Darknet 节点/网络的指示符。 |
Ddos | 与活动或即将推出的 DDoS 市场活动相关的指标。 |
MaliciousUrl | 为恶意软件提供服务的 URL。 |
恶意软件 | 描述恶意文件或文件的指示器。 |
网络钓鱼 | 与网络钓鱼活动相关的指标。 |
代理 | 指示符是代理服务的指示符。 |
Pua | 可能不需要的应用程序。 |
WatchList | 这是无法确定威胁或需要手动解释的指标的通用存储桶。 向系统提交数据的合作伙伴不应使用此属性。 |
tlpLevel 值
每个指示器在提交时还必须具有“交通灯协议”值。 此值表示给定指示器的敏感度和共享范围。
成员 | 说明 |
---|---|
白色 | 共享范围:无限制。 可以不受限制地自由共享指标。 |
绿色 | 共享范围:社区。 可以与安全社区共享指标。 |
琥珀色 | 共享范围:受限。 这是指标的默认设置,并将共享限制为只有 1) 个“需要知道”的服务和服务操作员来实现威胁情报 2) 其系统 () 表现出与指标一致的行为的客户。 |
红色 | 共享范围:个人。 这些指标只能直接共享,最好是亲自共享。 通常,TLP Red 指示器由于预定义的限制而不会被引入。 如果提交了 TLP 红色指示器,“PassiveOnly”属性也应设置为 True 。 |
关系
无。
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"action": "string",
"activityGroupNames": ["String"],
"additionalInformation": "String",
"azureTenantId": "String",
"confidence": 1024,
"description": "String",
"diamondModel": "string",
"domainName": "String",
"emailEncoding": "String",
"emailLanguage": "String",
"emailRecipient": "String",
"emailSenderAddress": "String",
"emailSenderName": "String",
"emailSourceDomain": "String",
"emailSourceIpAddress": "String",
"emailSubject": "String",
"emailXMailer": "String",
"expirationDateTime": "String (timestamp)",
"externalId": "String",
"fileCompileDateTime": "String (timestamp)",
"fileCreatedDateTime": "String (timestamp)",
"fileHashType": "string",
"fileHashValue": "String",
"fileMutexName": "String",
"fileName": "String",
"filePacker": "String",
"filePath": "String",
"fileSize": 1024,
"fileType": "String",
"id": "String (identifier)",
"ingestedDateTime": "String (timestamp)",
"isActive": true,
"killChain": ["String"],
"knownFalsePositives": "String",
"lastReportedDateTime": "String (timestamp)",
"malwareFamilyNames": ["String"],
"networkCidrBlock": "String",
"networkDestinationAsn": 1024,
"networkDestinationCidrBlock": "String",
"networkDestinationIPv4": "String",
"networkDestinationIPv6": "String",
"networkDestinationPort": 1024,
"networkIPv4": "String",
"networkIPv6": "String",
"networkPort": 1024,
"networkProtocol": 1024,
"networkSourceAsn": 1024,
"networkSourceCidrBlock": "String",
"networkSourceIPv4": "String",
"networkSourceIPv6": "String",
"networkSourcePort": 1024,
"passiveOnly": true,
"severity": 1024,
"tags": ["String"],
"targetProduct": "String",
"threatType": "String",
"tlpLevel": "string",
"url": "String",
"userAgent": "String"
}