更新 tiIndicator

命名空间:microsoft.graph

重要

Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。

更新 tiIndicator 对象的属性。

此 API 可用于以下国家级云部署

全局服务 美国政府 L4 美国政府 L5 (DOD) 由世纪互联运营的中国

权限

为此 API 选择标记为最低特权的权限。 只有在应用需要它时,才使用更高的特权权限。 有关委派权限和应用程序权限的详细信息,请参阅权限类型。 要了解有关这些权限的详细信息,请参阅 权限参考

权限类型 最低特权权限 更高特权权限
委派(工作或学校帐户) ThreatIndicators.ReadWrite.OwnedBy 不可用。
委派(个人 Microsoft 帐户) 不支持。 不支持。
应用程序 ThreatIndicators.ReadWrite.OwnedBy 不可用。

HTTP 请求

PATCH /security/tiIndicators/{id}

请求标头

名称 说明
Authorization 持有者 {code} 必需
Prefer return=representation

请求正文

在请求正文中,提供应更新的相关字段的值。 请求正文中未包含的现有属性会保留其以前的值,或者根据对其他属性值的更改重新计算。 为了获得最佳性能,请勿加入尚未更改的现有值。 必填字段为: idexpirationDateTimetargetProduct

属性 类型 说明
action string 从 targetProduct 安全工具中匹配指示器时要应用的操作。 可能的值是:unknownallowblockalert
activityGroupNames 字符串集合 网络威胁情报名称 (威胁指标所涵盖恶意活动的责任方) 。
additionalInformation String 一个捕获区域,其他 tiIndicator 属性未涵盖的指标中的额外数据可以放置到其中。 放置在 additionalInformation 中的数据通常不会由 targetProduct 安全工具使用。
confidence Int32 一个整数,表示指示器内数据准确识别恶意行为的置信度。 可接受的值为 0 – 100,最高值为 100。
说明 String 简要说明 (指示器表示的威胁) 100 个字符或更少。
diamondModel diamondModel 此指标所在的钻石模型区域。 可取值为:unknownadversarycapabilityinfrastructurevictim
expirationDateTime DateTimeOffset 指示指示器过期时间的 DateTime 字符串。 所有指标都必须具有到期日期,以避免系统中保留过时的指标。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z
externalId String 一个标识号,将指示器关联回指示器提供程序的系统 (例如外键) 。
isActive 布尔值 用于停用系统内的指示器。 默认情况下,提交的任何指示器都设置为活动状态。 但是,提供商可能会提交设置为“False”的现有指标,以停用系统中的指示器。
killChain killChain 集合 一个 JSON 字符串数组,用于描述此指标针对终止链上的哪个点。 有关确切值,请参阅下面的“killChain 值”。
knownFalsePositives String 指示器可能导致误报的情况。 这应该是人类可读的文本。
lastReportedDateTime DateTimeOffset 上次看到指示器的时间。 时间戳类型表示采用 ISO 8601 格式的日期和时间信息,始终采用 UTC 时区。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z
malwareFamilyNames 字符串集合 与指示器关联的恶意软件系列名称(如果存在)。 如果可以通过Windows Defender安全情报威胁百科全书找到,Microsoft 更倾向于使用 Microsoft 恶意软件系列名称。
passiveOnly 布尔值 确定指示器是否应触发对最终用户可见的事件。 设置为“true”时,安全工具不会通知最终用户发生了“命中”。 这通常被安全产品视为审核模式或静默模式,它们会在其中记录发生了匹配,但不会执行该操作。 默认值为 false。
severity Int32 一个整数,表示由指示器中的数据标识的恶意行为的严重性。 可接受的值为 0 – 5,其中 5 表示最严重,零根本不严重。 默认值为 3。
tags 字符串集合 存储任意标记/关键字的字符串的 JSON 数组。
tlpLevel tlpLevel 指示器的“交通灯协议”值。 可取值为:unknownwhitegreenamberred

响应

如果成功,此方法返回 204 No Content 响应代码。

如果使用可选的请求标头,该方法将在响应正文中返回 200 OK 响应代码和更新的 tiIndicator 对象。

示例

示例 1:没有 Prefer 标头的请求

请求

以下示例显示了一个没有 Prefer 标头的请求。

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json

{
  "description": "description-updated",
}

响应

以下示例显示了相应的响应。

HTTP/1.1 204 No Content

示例 2:具有 Prefer 标头的请求

请求

以下示例演示包含 Prefer 标头的请求。

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
Prefer: return=representation

{
  "additionalInformation": "additionalInformation-after-update",
  "confidence": 42,
  "description": "description-after-update",
}

响应

以下示例显示了相应的响应。

注意

为了提高可读性,可能缩短了此处显示的响应对象。

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Security/tiIndicators/$entity",
    "id": "e58c072b-c9bb-a5c4-34ce-eb69af44fb1e",
    "azureTenantId": "XXXXXXXXXXXXXXXXXXXXXXXXX",
    "action": null,
    "additionalInformation": "additionalInformation-after-update",
    "activityGroupNames": [],
    "confidence": 42,
    "description": "description-after-update",
}