Atualizar tiIndicator

Namespace: microsoft.graph

Importante

As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.

Atualize as propriedades de um objeto tiIndicator .

Essa API está disponível nas seguintes implantações nacionais de nuvem.

Serviço global Governo dos EUA L4 GOVERNO DOS EUA L5 (DOD) China operada pela 21Vianet

Permissões

Escolha a permissão ou as permissões marcadas como menos privilegiadas para essa API. Use uma permissão ou permissões privilegiadas mais altas somente se o aplicativo exigir. Para obter detalhes sobre permissões delegadas e de aplicativo, consulte Tipos de permissão. Para saber mais sobre essas permissões, consulte a referência de permissões.

Tipo de permissão Permissões menos privilegiadas Permissões privilegiadas mais altas
Delegado (conta corporativa ou de estudante) ThreatIndicators.ReadWrite.OwnedBy Indisponível.
Delegado (conta pessoal da Microsoft) Sem suporte. Sem suporte.
Aplicativo ThreatIndicators.ReadWrite.OwnedBy Indisponível.

Solicitação HTTP

PATCH /security/tiIndicators/{id}

Cabeçalhos de solicitação

Nome Descrição
Authorization Portador {code} Necessário
Preferir return=representation

Corpo da solicitação

No corpo da solicitação, forneça os valores para os campos relevantes que devem ser atualizados. As propriedades existentes que não estão incluídas no corpo da solicitação mantêm seus valores anteriores ou são recalculadas com base em alterações em outros valores de propriedade. Para alcançar o melhor desempenho, não inclua valores existentes que não foram alterados. Os campos necessários são: id, expirationDateTime, targetProduct.

Propriedade Tipo Descrição
ação cadeia de caracteres A ação a ser aplicada se o indicador for correspondido de dentro da ferramenta de segurança targetProduct. Os valores possíveis são: unknown, allow, block, alert.
activityGroupNames Coleção de cadeias de caracteres Os nomes de inteligência contra ameaças cibernéticas para as partes responsáveis pela atividade mal-intencionada abordada pelo indicador de ameaça.
informações adicionais Cadeia de caracteres Uma área de captura em que dados extras do indicador não cobertos pelas outras propriedades tiIndicator podem ser colocados. Os dados colocados em informações adicionais normalmente não serão utilizados pela ferramenta de segurança targetProduct.
confidence Int32 Um inteiro que representa a confiança dos dados no indicador identifica com precisão o comportamento mal-intencionado. Os valores aceitáveis são 0 a 100, sendo 100 os mais altos.
description Cadeia de caracteres Descrição breve (100 caracteres ou menos) da ameaça representada pelo indicador.
diamondModel diamondModel A área do Modelo de Diamante na qual esse indicador existe. Os valores possíveis são: unknown, adversary, capability, infrastructure, victim.
expirationDateTime DateTimeOffset Cadeia de caracteres DateTime indicando quando o Indicador expira. Todos os indicadores devem ter uma data de validade para evitar que indicadores obsoletos persistam no sistema. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z.
externalId Cadeia de caracteres Um número de identificação que vincula o indicador de volta ao sistema do provedor de indicadores (por exemplo, uma chave estrangeira).
isActive Booliano Usado para desativar indicadores no sistema. Por padrão, qualquer indicador enviado é definido como ativo. No entanto, os provedores podem enviar indicadores existentes com esse conjunto como 'False' para desativar indicadores no sistema.
killChain coleção killChain Uma matriz JSON de cadeias de caracteres que descreve qual ponto ou pontos na Cadeia de Morte esse indicador é direcionado. Confira "valores killChain" abaixo para obter valores exatos.
knownFalsePositives Cadeia de caracteres Cenários em que o indicador pode causar falsos positivos. Este deve ser um texto legível pelo homem.
lastReportedDateTime DateTimeOffset A última vez que o indicador foi visto. O tipo Timestamp representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z.
malwareFamilyNames Coleção String O nome da família de malware associado a um indicador se ele existir. A Microsoft prefere o nome da família de malware da Microsoft, se possível, que pode ser encontrado por meio da enciclopédia de ameaças da Inteligência de Segurança Windows Defender.
passiveOnly Booliano Determina se o indicador deve disparar um evento visível para um usuário final. Quando definido como 'true', as ferramentas de segurança não notificarão o usuário final de que ocorreu um 'hit'. Isso geralmente é tratado como auditoria ou modo silencioso por produtos de segurança em que eles registrarão que uma correspondência ocorreu, mas não executarão a ação. O valor padrão é falso.
severity Int32 Um inteiro que representa a gravidade do comportamento mal-intencionado identificado pelos dados no indicador. Os valores aceitáveis são 0 a 5, em que 5 é o mais grave e zero não é grave. O valor padrão é 3.
tags String collection Uma matriz JSON de cadeias de caracteres que armazena marcas/palavras-chave arbitrárias.
tlpLevel tlpLevel Valor do Protocolo de Semáforo para o indicador. Os valores possíveis são: unknown, white, green, amber, red.

Resposta

Se tiver êxito, este método retornará um código de resposta 204 No Content.

Se o cabeçalho de solicitação opcional for usado, o método retornará um código de 200 OK resposta e o objeto tiIndicator atualizado no corpo da resposta.

Exemplos

Exemplo 1: Solicitar sem Preferir cabeçalho

Solicitação

O exemplo a seguir mostra uma solicitação sem o Prefer cabeçalho.

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json

{
  "description": "description-updated",
}

Resposta

O exemplo a seguir mostra a resposta.

HTTP/1.1 204 No Content

Exemplo 2: Solicitar com o cabeçalho Prefer

Solicitação

O exemplo a seguir mostra uma solicitação que inclui o Prefer cabeçalho.

PATCH https://graph.microsoft.com/beta/security/tiIndicators/{id}
Content-type: application/json
Prefer: return=representation

{
  "additionalInformation": "additionalInformation-after-update",
  "confidence": 42,
  "description": "description-after-update",
}

Resposta

O exemplo a seguir mostra a resposta.

Observação

O objeto de resposta mostrado aqui pode ser reduzido para facilitar a leitura.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#Security/tiIndicators/$entity",
    "id": "e58c072b-c9bb-a5c4-34ce-eb69af44fb1e",
    "azureTenantId": "XXXXXXXXXXXXXXXXXXXXXXXXX",
    "action": null,
    "additionalInformation": "additionalInformation-after-update",
    "activityGroupNames": [],
    "confidence": 42,
    "description": "description-after-update",
}