Compartilhar via


tiIndicator resource type (preterido)

Namespace: microsoft.graph

Importante

As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.

Observação

A entidade tiIndicator foi preterida e será removida até abril de 2026.

Representa os dados utilizados para identificar atividades maliciosas.

Se a sua organização trabalhar com indicadores de ameaças ao gerar os seus próprios indicadores, ao obtê-los a partir de feeds código aberto, partilhar com organizações ou comunidades parceiras ou ao comprar feeds de dados, poderá querer utilizar estes indicadores em várias ferramentas de segurança para fazer a correspondência com os dados de registo. A entidade tiIndicators permite-lhe carregar os indicadores de ameaça para as ferramentas de segurança da Microsoft para as ações de permitir, bloquear ou alertar.

Os indicadores de ameaças carregados através do tiIndicator são utilizados com informações sobre ameaças da Microsoft para fornecer uma solução de segurança personalizada para a sua organização. Ao utilizar a entidade tiIndicator , especifique a solução de segurança da Microsoft que pretende utilizar os indicadores através da propriedade targetProduct e especifique a ação (permitir, bloquear ou alertar) à qual a solução de segurança deve aplicar os indicadores através da propriedade de ação .

Atualmente, o TargetProduct suporta os seguintes produtos:

  • Microsoft Defender para Ponto de Extremidade – suporta os seguintes métodos tiIndicators:

    Observação

    Os seguintes tipos de indicador são suportados pelo Microsoft Defender para Ponto de Extremidade targetProduct:

    • Arquivos
    • Endereços IP: Microsoft Defender para Ponto de Extremidade suporta apenas propriedades IPv4/IPv6 de destino – defina a propriedade em networkDestinationIPv4 ou networkDestinationIPv6 no Microsoft Graph API de Segurança tiIndicator.
    • URLs/domínios

    Existe um limite de 15.000 indicadores por inquilino para Microsoft Defender para Ponto de Extremidade.

  • Microsoft Sentinel – apenas os clientes existentes podem utilizar a API tiIndicator para enviar indicadores de informações sobre ameaças para o Microsoft Sentinel. Para obter as instruções detalhadas mais atualizadas sobre como enviar indicadores inteligentes de ameaças para o Microsoft Sentinel, consulte Ligar a plataforma de informações sobre ameaças ao Microsoft Sentinel.

Para mais detalhes sobre os tipos de indicadores com suporte e limites de contagens de indicadores por locatário, confira Gerenciar indicadores.

Métodos

Método Tipo de retorno Descrição
Get tiIndicator Ler propriedades e relações do objeto tiIndicator.
Create tiIndicator Create um novo tiIndicator ao publicar na coleção tiIndicators.
List coleção tiIndicator Obter uma coleção de objetos tiIndicator.
Atualizar tiIndicator Atualizar o objeto tiIndicator.
Delete Nenhum Elimine o objeto tiIndicator.
Excluir várias tarefas Nenhum Elimine vários objetos tiIndicator.
Excluir várias pelo ID externo Nenhum Elimine vários objetos tiIndicator pela externalId propriedade .
Enviar várias coleção tiIndicator Create novos tiIndicators ao publicar uma coleção tiIndicators.
Atualizar várias coleção tiIndicator Atualize vários objetos tiIndicator.

Métodos suportados por cada produto de destino

Método Azure Sentinel Microsoft Defender para Ponto de Extremidade
Criar tiIndicator Os campos obrigatórios são: action, , azureTenantIddescription, expirationDateTime, , targetProduct, threatType, tlpLevele, pelo menos, um e-mail, rede ou ficheiro observáveis. Os campos obrigatórios são: actione um dos seguintes valores: domainName, url, networkDestinationIPv4, , networkDestinationIPv6( fileHashValue tem de fornecer fileHashType em caso de fileHashValue).
Enviar tiIndicators Veja o método Create tiIndicator para obter os campos necessários para cada tiIndicator. Existe um limite de 100 tiIndicators por pedido. Veja o método Create tiIndicator para obter os campos necessários para cada tiIndicator. Existe um limite de 100 tiIndicators por pedido.
Atualizar tiIndicator Os campos obrigatórios são: id, , expirationDateTimetargetProduct.
Os campos editáveis são: action, , activityGroupNamesadditionalInformation, confidence, description, diamondModel, expirationDateTime, externalId, isActive, killChain, , knownFalsePositives, lastReportedDateTime, malwareFamilyNames, , passiveOnly, , severity, , tagstlpLevel.
Os campos obrigatórios são: id, , expirationDateTimetargetProduct.
Os campos editáveis são: expirationDateTime, severity, description.
Atualizar tiIndicators Veja o método Update tiIndicator para obter os campos necessários e editáveis para cada tiIndicator.

Problema de arquivo

Excluir tiIndicator O campo obrigatório é: id. O campo obrigatório é: id.
Eliminar tiIndicators Veja o método Delete tiIndicator acima para obter o campo necessário para cada tiIndicator.

Problema de arquivo

Propriedades

Propriedade Tipo Descrição
ação string A ação a aplicar se o indicador for correspondido a partir da ferramenta de segurança TargetProduct. Os valores possíveis são: unknown, allow, block, alert. Obrigatório.
activityGroupNames Coleção de cadeias de caracteres Os nomes das informações sobre ameaças cibernéticas para as partes responsáveis pela atividade maliciosa abrangida pelo indicador de ameaça.
additionalInformation Cadeia de caracteres Uma área catchall para dados adicionais do indicador que não é especificamente abrangida por outras propriedades tiIndicator. Normalmente, a ferramenta de segurança especificada pelo TargetProduct não utiliza estes dados.
azureTenantId String Carimbado pelo sistema quando o indicador é ingerido. O ID de inquilino Microsoft Entra do cliente de submissão. Obrigatório.
confidence Int32 Um número inteiro que representa a confiança dos dados no indicador identifica com precisão comportamentos maliciosos. Os valores aceitáveis são 0 – 100, sendo 100 o valor mais alto.
description Cadeia de caracteres Breve descrição (100 carateres ou menos) da ameaça representada pelo indicador. Obrigatório.
diamondModel diamondModel A área do Modelo Losango no qual este indicador existe. Os valores possíveis são: unknown, adversary, capability, infrastructure, victim.
expirationDateTime DateTimeOffset Cadeia DateTime que indica quando o Indicador expira. Todos os indicadores têm de ter uma data de expiração para evitar que os indicadores obsoletos persistam no sistema. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z. Obrigatório.
externalId Cadeia de caracteres Um número de identificação que liga o indicador ao sistema do fornecedor de indicadores (por exemplo, uma chave externa).
id Cadeia de caracteres Criado pelo sistema quando o indicador é ingerido. GUID gerado/identificador exclusivo. Somente leitura.
ingestedDateTime DateTimeOffset Carimbado pelo sistema quando o indicador é ingerido. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z
isActive Booliano Utilizado para desativar indicadores no sistema. Por predefinição, qualquer indicador submetido é definido como ativo. No entanto, os fornecedores podem submeter indicadores existentes com este conjunto como "Falso" para desativar indicadores no sistema.
killChain coleção killChain Uma matriz JSON de cadeias que descreve qual o ponto ou pontos na Cadeia de Eliminação que este indicador procura. Veja "valores killChain" abaixo para obter os valores exatos.
knownFalsePositives Cadeia de caracteres Cenários em que o indicador pode causar falsos positivos. Deve ser texto legível por humanos.
lastReportedDateTime DateTimeOffset A última vez que o indicador foi visto. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z
malwareFamilyNames Coleção String O nome da família de software maligno associado a um indicador, se existir. A Microsoft prefere o nome da família de software maligno da Microsoft, se possível, que possa ser encontrado através da enciclopédia de ameaças das Informações de Segurança do Windows Defender.
passiveOnly Booliano Determina se o indicador deve acionar um evento que está visível para um utilizador final. Quando definidas como 'true', as ferramentas de segurança não notificam o utilizador final de que ocorreu um 'hit'. Esta situação é geralmente tratada como auditoria ou modo silencioso por produtos de segurança onde irão simplesmente registar que ocorreu uma correspondência, mas não efetuam a ação. O valor padrão é falso.
severity Int32 Um número inteiro que representa a gravidade do comportamento malicioso identificado pelos dados no indicador. Os valores aceitáveis são 0 – 5, em que 5 é o mais grave e zero não é grave. O valor predefinido é 3.
tags Coleção String Uma matriz JSON de cadeias que armazena etiquetas/palavras-chave arbitrárias.
targetProduct Cadeia de caracteres Um valor de cadeia que representa um único produto de segurança ao qual o indicador deve ser aplicado. Os valores aceitáveis são: Azure Sentinel, Microsoft Defender ATP. Required
threatType threatType Cada indicador tem de ter um Tipo de Ameaça de Indicador válido. Os valores possíveis são: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList. Obrigatório.
tlpLevel tlpLevel Valor do Protocolo de Semáforo para o indicador. Os valores possíveis são: unknown, white, green, amber, red. Obrigatório.

Indicador observáveis - e-mail

Propriedade Tipo Descrição
emailEncoding Cadeia de caracteres O tipo de codificação de texto utilizado no e-mail.
emailLanguage Cadeia de caracteres O idioma do e-mail.
emailRecipient Cadeia de caracteres Endereço de e-mail do destinatário.
emailSenderAddress Cadeia de caracteres Email endereço do atacante|vítima.
emailSenderName Cadeia de caracteres Nome apresentado do atacante|vítima.
emailSourceDomain Cadeia de caracteres Domínio utilizado no e-mail.
emailSourceIpAddress Cadeia de caracteres Endereço IP de origem do e-mail.
emailSubject Cadeia de caracteres Assunto do e-mail.
emailXMailer Cadeia de caracteres Valor X-Mailer utilizado no e-mail.

Indicador observáveis - ficheiro

Propriedade Tipo Descrição
fileCompileDateTime DateTimeOffset DateTime quando o ficheiro foi compilado. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z
fileCreatedDateTime DateTimeOffset DateTime quando o ficheiro foi criado. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z
fileHashType cadeia de caracteres O tipo de hash armazenado em fileHashValue. Os valores possíveis são: unknown, sha1, sha256, md5, authenticodeHash256, lsHash, ctph.
fileHashValue Cadeia de caracteres O valor hash do ficheiro.
fileMutexName Cadeia de caracteres Nome mutex utilizado em deteções baseadas em ficheiros.
fileName Cadeia de caracteres Nome do ficheiro se o indicador for baseado em ficheiros. Vários nomes de ficheiro podem ser delimitados por vírgulas.
filePacker Cadeia de caracteres O packer costumava criar o ficheiro em questão.
filePath Cadeia de caracteres Caminho do ficheiro que indica o comprometimento. Pode ser um caminho de estilo Windows ou *nix.
fileSize Int64 Tamanho do ficheiro em bytes.
fileType Cadeia de caracteres Descrição do texto do tipo de ficheiro. Por exemplo, "Word Documento" ou "Binário".

Indicador observáveis - rede

Propriedade Tipo Descrição
domainName Cadeia de caracteres Nome de domínio associado a este indicador. Deve ser do formato subdomínio.domain.topleveldomain (por exemplo, baddomain.domain.net)
networkCidrBlock Cadeia de caracteres Representação da notação do Bloco CIDR da rede referenciada neste indicador. Utilize apenas se a Origem e o Destino não puderem ser identificados.
networkDestinationAsn Int32 O identificador de sistema autónomo de destino da rede referenciada no indicador.
networkDestinationCidrBlock Cadeia de caracteres Representação da notação do Bloco CIDR da rede de destino neste indicador.
networkDestinationIPv4 Cadeia de caracteres Destino do endereço IP IPv4.
networkDestinationIPv6 Cadeia de caracteres Destino do endereço IP IPv6.
networkDestinationPort Int32 Destino da porta TCP.
networkIPv4 Cadeia de caracteres Endereço IP IPv4. Utilize apenas se a Origem e o Destino não puderem ser identificados.
networkIPv6 Cadeia de caracteres Endereço IP IPv6. Utilize apenas se a Origem e o Destino não puderem ser identificados.
networkPort Int32 Porta TCP. Utilize apenas se a Origem e o Destino não puderem ser identificados.
networkProtocol Int32 Representação decimal do campo de protocolo no cabeçalho IPv4.
networkSourceAsn Int32 O identificador de sistema autónomo de origem da rede referenciada no indicador.
networkSourceCidrBlock Cadeia de caracteres Representação da notação do Bloco CIDR da rede de origem neste indicador
networkSourceIPv4 Cadeia de caracteres Origem do Endereço IP IPv4.
networkSourceIPv6 Cadeia de caracteres Origem do Endereço IP IPv6.
networkSourcePort Int32 Origem da porta TCP.
url Cadeia de caracteres Localizador de Recursos Uniforme. Este URL tem de estar em conformidade com o RFC 1738.
userAgent Cadeia de caracteres User-Agent cadeia de carateres de um pedido Web que pode indicar um compromisso.

valores diamondModel

Para obter informações sobre este modelo, veja O Modelo Losango.

Membro Valor Descrição
desconhecido 0
adversário 1 O indicador descreve o adversário.
capacidade 2 O indicador é uma capacidade do adversário.
infraestrutura 3 O indicador descreve a infraestrutura do adversário.
vítima 4 O indicador descreve a vítima do adversário.
unknownFutureValue 127

valores killChain

Member Descrição
Ações Indica que o atacante está a utilizar o sistema comprometido para efetuar ações como um ataque denial of service distribuído.
C2 Representa o canal de controlo através do qual um sistema comprometido é manipulado.
Entrega O processo de distribuição do código de exploração às vítimas (por exemplo, USB, e-mail, sites).
Exploração O código de exploração a tirar partido de vulnerabilidades (por exemplo, execução de código).
Instalação Instalar software maligno depois de uma vulnerabilidade ter sido explorada.
Reconhecimento Indicador é a prova de que um grupo de atividades recolhe informações a serem utilizadas num ataque futuro.
Armamento Transformar uma vulnerabilidade em código de exploração (por exemplo, software maligno).

valores threatType

Member Descrição
Botnet O indicador está a detalhar um nó/membro do botnet.
C2 O indicador está a detalhar um nó Comando & Controlo de uma botnet.
CryptoMining O tráfego que envolve este endereço/URL de rede é uma indicação de CyrptoMining/Abuso de recursos.
Darknet Indicador é o de um nó/rede Darknet.
DDoS Indicadores relacionados com uma campanha DDoS ativa ou futura.
MaliciousUrl URL que está a servir software maligno.
Malware Indicador que descreve ficheiros ou ficheiros maliciosos.
Phishing Indicadores relacionados com uma campanha de phishing.
Proxy Indicador é o de um serviço proxy.
PUA Aplicação Potencialmente Indesejada.
Lista de Observação Este é o registo genérico para indicadores para os quais a ameaça não pode ser determinada ou que requerem interpretação manual. Os parceiros que submetem dados para o sistema não devem utilizar esta propriedade.

valores tlpLevel

Cada indicador também tem de ter um valor de Protocolo de Semáforo quando é submetido. Este valor representa o âmbito de confidencialidade e partilha de um determinado indicador.

Member Descrição
Branco Âmbito de partilha: ilimitado. Os indicadores podem ser partilhados livremente, sem restrições.
Verde Âmbito de partilha: Comunidade. Os indicadores podem ser partilhados com a comunidade de segurança.
Âmbar Âmbito de partilha: limitado. Esta é a predefinição para indicadores e restringe a partilha apenas para aqueles com uma "necessidade de saber" ser 1) Serviços e operadores de serviço que implementam informações sobre ameaças 2) Clientes cujos sistemas apresentam um comportamento consistente com o indicador.
Vermelho Âmbito de partilha: Pessoal. Estes indicadores devem ser partilhados diretamente e, preferencialmente, pessoalmente. Normalmente, os indicadores TLP Vermelho não são ingeridos devido às restrições predefinidas. Se os indicadores TLP Red forem submetidos, a propriedade "PassiveOnly" também deve ser definida como True .

Relações

Nenhum

Representação JSON

A representação JSON seguinte mostra o tipo de recurso.

{
  "action": "string",
  "activityGroupNames": ["String"],
  "additionalInformation": "String",
  "azureTenantId": "String",
  "confidence": 1024,
  "description": "String",
  "diamondModel": "string",
  "domainName": "String",
  "emailEncoding": "String",
  "emailLanguage": "String",
  "emailRecipient": "String",
  "emailSenderAddress": "String",
  "emailSenderName": "String",
  "emailSourceDomain": "String",
  "emailSourceIpAddress": "String",
  "emailSubject": "String",
  "emailXMailer": "String",
  "expirationDateTime": "String (timestamp)",
  "externalId": "String",
  "fileCompileDateTime": "String (timestamp)",
  "fileCreatedDateTime": "String (timestamp)",
  "fileHashType": "string",
  "fileHashValue": "String",
  "fileMutexName": "String",
  "fileName": "String",
  "filePacker": "String",
  "filePath": "String",
  "fileSize": 1024,
  "fileType": "String",
  "id": "String (identifier)",
  "ingestedDateTime": "String (timestamp)",
  "isActive": true,
  "killChain": ["String"],
  "knownFalsePositives": "String",
  "lastReportedDateTime": "String (timestamp)",
  "malwareFamilyNames": ["String"],
  "networkCidrBlock": "String",
  "networkDestinationAsn": 1024,
  "networkDestinationCidrBlock": "String",
  "networkDestinationIPv4": "String",
  "networkDestinationIPv6": "String",
  "networkDestinationPort": 1024,
  "networkIPv4": "String",
  "networkIPv6": "String",
  "networkPort": 1024,
  "networkProtocol": 1024,
  "networkSourceAsn": 1024,
  "networkSourceCidrBlock": "String",
  "networkSourceIPv4": "String",
  "networkSourceIPv6": "String",
  "networkSourcePort": 1024,
  "passiveOnly": true,
  "severity": 1024,
  "tags": ["String"],
  "targetProduct": "String",
  "threatType": "String",
  "tlpLevel": "string",
  "url": "String",
  "userAgent": "String"
}