QUALQUER. RUN Threat Intelligence (versão prévia)
O conector permite que as equipes de TI e segurança agilizem suas operações incorporando ANY. Recursos deinteligência contra ameaças do RUN em fluxos de trabalho manuais e automatizados com aplicativos como o Defender para Ponto de Extremidade e o Sentinel.
Esse conector está disponível nos seguintes produtos e regiões:
| Service | Class | Regions |
|---|---|---|
| Copilot Studio | Premium | Todas as regiões do Power Automate , exceto as seguintes: – Governo dos EUA (GCC) – Governo dos EUA (GCC High) - China Cloud operado pela 21Vianet - Departamento de Defesa dos EUA (DoD) |
| Aplicativos Lógicos | Standard | Todas as regiões dos Aplicativos Lógicos , exceto as seguintes: – Regiões do Azure Governamental - Regiões do Azure China - Departamento de Defesa dos EUA (DoD) |
| Power Apps | Premium | Todas as regiões do Power Apps , exceto as seguintes: – Governo dos EUA (GCC) – Governo dos EUA (GCC High) - China Cloud operado pela 21Vianet - Departamento de Defesa dos EUA (DoD) |
| Power Automate | Premium | Todas as regiões do Power Automate , exceto as seguintes: – Governo dos EUA (GCC) – Governo dos EUA (GCC High) - China Cloud operado pela 21Vianet - Departamento de Defesa dos EUA (DoD) |
| Contato | |
|---|---|
| Nome | QUALQUER. CORRER |
| URL | https://app.any.run/contact-us |
| support@any.run |
| Metadados do conector | |
|---|---|
| Publicador | ANYRUN FZCO |
| QUALQUER. Documentação da API RUN | https://docs.microsoft.com/connectors/anyrunthreatintellig |
| Site | https://any.run |
| Política de privacidade | https://any.run/privacy.pdf |
| Categorias | Segurança;Operações de TI |
QUALQUER. Executar Conector de Inteligência contra Ameaças
O conector permite que as equipes de TI e segurança agilizem suas operações incorporando ANY. Recursos deinteligência contra ameaças do RUN em fluxos de trabalho manuais e automatizados com aplicativos como o Defender para Ponto de Extremidade e o Sentinel.
Pré-requisitos
Para usar esse conector, você precisa ter um ANY. Conta RUN, uma chave de API e uma assinatura de Pesquisa de TI.
Documentação da API
https://any.run/api-documentation/
Instruções de implementação
Use estas instruções para implantar esse conector como conector personalizado no Microsoft Power Automate e no Power Apps.
Operações com suporte
O conector dá suporte às seguintes operações:
-
Get threat intelligence data from ANY.RUN Threat Intelligence service: executa ações investigativas em ANY. Executar serviço de Inteligência contra Ameaças
Criando uma conexão
O conector dá suporte aos seguintes tipos de autenticação:
| Default | Parâmetros para criar conexão. | Todas as regiões | Não compartilhável |
Padrão
Aplicável: todas as regiões
Parâmetros para criar conexão.
Essa não é uma conexão compartilhável. Se o aplicativo de energia for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.
| Nome | Tipo | Description | Obrigatório |
|---|---|---|---|
| API-Key | secureString | A chave de API para esta API (formato: API-Key <chave>) | Verdade |
Limitações
| Nome | Chamadas | Período de renovação |
|---|---|---|
| Chamadas à API por conexão | 100 | 60 segundos |
Ações
| Obtenha dados de inteligência contra ameaças de ANY. Executar serviço de Inteligência contra Ameaças |
Executa ações de investigação em ANY. Executar o serviço de Inteligência contra Ameaças. |
Obtenha dados de inteligência contra ameaças de ANY. Executar serviço de Inteligência contra Ameaças
Executa ações de investigação em ANY. Executar o serviço de Inteligência contra Ameaças.
Parâmetros
| Nome | Chave | Obrigatório | Tipo | Description |
|---|---|---|---|---|
|
consulta
|
query | True | string |
Especifique sua consulta de pesquisa. Várias consultas podem ser combinadas com o operador AND para obter resultados mais específicos. |
|
startDate
|
startDate | string |
Especifique a data de início do período de pesquisa desejado. Deve estar no formato YYYY-MM-DD. |
|
|
data de término
|
endDate | string |
Especifique a data de término do período de pesquisa desejado. Deve estar no formato YYYY-MM-DD. |
Retornos
- Corpo
- ResponseApiDto
Definições
ResponseApiDto
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
porto de destino
|
destinationPort | array of integer |
Números de portas de destino. |
|
destinationIPgeo
|
destinationIPgeo | array of string |
Geo de IP de destino (países). |
|
destinationIpAsn
|
destinationIpAsn | array of object |
ASN de IP de destino (número do sistema autônomo). |
|
ASN
|
destinationIpAsn.asn | string |
ASN de IP de destino. |
|
date
|
destinationIpAsn.date | date-time |
Data do ASN do IP de destino. |
|
relatedTasks
|
relatedTasks | array of string |
Links para tarefas relacionadas em ANY. EXECUTAR área restrita. |
|
threatName
|
threatName | array of string |
Nomes de ameaças. |
|
threatLevel
|
summary.threatLevel | integer | |
|
lastSeen
|
summary.lastSeen | date-time | |
|
detectedType
|
summary.detectedType | string | |
|
isTrial
|
summary.isTrial | boolean | |
|
relatedIncidents
|
relatedIncidents | array of RelatedIncidentApiDto |
Incidentes relacionados. |
|
destinationIP
|
destinationIP | array of DestinationIpApiDto |
Endereços IP de destino. |
|
relatedFiles
|
relatedFiles | array of RelatedFileApiDto |
Dados de arquivos relacionados. |
|
relatedDNS
|
relatedDNS | array of RelatedDnsApiDto |
DNS relacionado. |
|
relatedURLs
|
relatedURLs | array of RelatedUrlApiDto |
URLs relacionadas. |
|
sourceTasks
|
sourceTasks | array of SourceTaskApiDto |
Informações de tarefas de origem. |
|
relatedSynchronizationObjects
|
relatedSynchronizationObjects | array of RelatedSynchronizationObjectsApiDto |
Dados de objetos de sincronização relacionados. |
|
relatedNetworkThreats
|
relatedNetworkThreats | array of RelatedNetworkThreatApiDto |
Dados de ameaças de rede relacionados. |
RelatedIncidentApiDto
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
tarefa
|
task | string |
Link para a tarefa em ANY. EXECUTAR área restrita. |
|
time
|
time | date-time |
Hora de criação. |
|
MITRA
|
MITRE | array of string |
Matriz de IDs de técnicas de matriz MITRE ids ids de sub-técnicas. |
|
threatName
|
threatName | array of string |
Nomes de ameaças. |
|
evento
|
event | EventApiDto | |
|
processo
|
process | ProcessApiDto |
EventApiDto
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
nome da regra
|
ruleName | string |
Nome da regra. |
|
linha de comando
|
commandLine | string |
Cadeia de caracteres de linha de comando. |
|
caminho da imagem
|
imagePath | string |
Cadeia de caracteres de caminho de imagem. |
|
Pid
|
pid | integer |
ID do processo. |
|
title
|
title | array of string |
Título do tipo de evento. |
|
porto de destino
|
destinationPort | array of string |
Números de portas de destino. |
|
destinationIP
|
destinationIP | string |
Endereço IP de destino. |
|
destinationIPgeo
|
destinationIPgeo | array of string |
Geo de IP de destino (países). |
|
destinationIpAsn
|
destinationIpAsn | array of string |
ASN de IP de destino (número do sistema autônomo). |
|
url
|
url | string |
URL. |
|
fileName
|
fileName | string |
Nome do arquivo. |
|
RegistryKey
|
registryKey | string |
Chave do Registro. |
|
registryName
|
registryName | array of string |
Nome do Registro. |
|
RegistryValue
|
registryValue | array of string |
Valor do Registro. |
|
moduleImagePath
|
moduleImagePath | string |
Caminho da imagem do módulo. |
|
injectedFlag
|
injectedFlag | boolean |
Sinalizador injetado. |
|
nome_do_domínio
|
domainName | array of string |
Nome de domínio. |
|
httpRequestContentType
|
httpRequestContentType | string |
Tipo de conteúdo de solicitação. |
|
httpRequestContentFile
|
httpRequestContentFile | string |
Solicitar arquivo de conteúdo. |
|
httpResponseContentType
|
httpResponseContentType | string |
Tipo de conteúdo de resposta. |
|
httpResponseContentFile
|
httpResponseContentFile | string |
Arquivo de conteúdo de resposta. |
|
ruleThreatLevel
|
ruleThreatLevel | string |
Nível de ameaça de regra. |
|
sha256
|
sha256 | string |
Hash SHA256. |
ProcessApiDto
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
linha de comando
|
commandLine | string |
Cadeia de caracteres de linha de comando. |
|
caminho da imagem
|
imagePath | string |
Cadeia de caracteres de caminho de imagem. |
|
threatName
|
threatName | string |
Nomes de ameaças. |
|
MITRA
|
MITRE | array of string |
Matriz de IDs de técnicas de matriz MITRE ids ids de sub-técnicas. |
|
Pid
|
pid | integer |
ID do processo. |
|
Pontuações
|
scores | ProcessScoresDto |
Pontuações do processo. |
|
eventsCounters
|
eventsCounters | EventsCountersDto |
Contadores de eventos. |
|
threatLevel
|
threatLevel | integer |
Nível de ameaça. |
ProcessScoresDto
Pontuações do processo.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
Especificações
|
specs | ProcessScoresSpecsDto |
Especificações de pontuação do processo. |
ProcessScoresSpecsDto
Especificações de pontuação do processo.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
known_threat
|
known_threat | boolean |
Indica se é uma ameaça conhecida. |
|
network_loader
|
network_loader | boolean |
Indica se o download de rede foi detectado. |
|
rede
|
network | boolean |
Indica se a atividade de rede foi habilitada. |
|
uac_request
|
uac_request | boolean |
Indica se a solicitação do UAC (Controle de Acesso do Usuário) foi detectada. |
|
Injeta
|
injects | boolean |
Indica se a ameaça usa injeções. |
|
service_luncher
|
service_luncher | boolean |
Indica se o novo registro de serviço foi detectado. |
|
executable_dropped
|
executable_dropped | boolean |
Indica se a ameaça usa executáveis descartados. |
|
multiprocessamento
|
multiprocessing | boolean |
Indica se a ameaça usa multiprocessamento. |
|
crashed_apps
|
crashed_apps | boolean |
Indica se o aplicativo falhou. |
|
debug_output
|
debug_output | boolean |
Indica se o aplicativo tem uma mensagem de saída de depuração. |
|
roubar
|
stealing | boolean |
Indica se o processo rouba informações do computador infectado. |
|
explorável
|
exploitable | boolean |
Indica se alguma exploração conhecida foi detectada. |
|
static_detections
|
static_detections | boolean |
Indica se algum padrão mal-intencionado foi detectado pelo mecanismo de análise estática. |
|
susp_struct
|
susp_struct | boolean |
É struct susp. |
|
início automático
|
autostart | boolean |
Indica se o aplicativo foi adicionado ao início automático. |
|
low_access
|
low_access | boolean |
Indica se a ameaça usa acesso de baixo nível. |
|
Tor
|
tor | boolean |
Indica se o TOR foi usado. |
|
spam
|
spam | boolean |
Indica se o spam foi detectado. |
|
malware_config
|
malware_config | boolean |
Indica se a configuração de malware foi extraída do arquivo enviado. |
|
process_dump
|
process_dump | boolean |
Indica se o despejo de memória do processo pode ser extraído. |
EventsCountersDto
Contadores de eventos.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
cru
|
raw | EventsCountersRawDto |
Os contadores de eventos são brutos. |
EventsCountersRawDto
Os contadores de eventos são brutos.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
registro
|
registry | integer |
Número ou eventos do Registro. |
|
arquivos
|
files | integer |
Número ou arquivos. |
|
modules
|
modules | integer |
Número ou módulos. |
|
Objetos
|
objects | integer |
Número ou objetos. |
|
Rpc
|
rpc | integer |
Número ou RPCs. |
DestinationIpApiDto
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
destinationIP
|
destinationIP | string |
Endereço IP de destino. |
|
date
|
date | date-time |
Data de criação. |
|
threatLevel
|
threatLevel | integer |
Nível de ameaça. |
|
threatName
|
threatName | array of string |
Nomes de ameaças. |
|
isMalconf
|
isMalconf | boolean |
Indica se o COI foi extraído da configuração de malware. |
RelatedFileApiDto
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
tarefa
|
task | string |
Link para a tarefa em ANY. EXECUTAR área restrita. |
|
title
|
title | string |
Título do tipo de evento. |
|
fileLink
|
fileLink | string |
Link para os arquivos de resposta HTTP. |
|
time
|
time | date-time |
Data de criação. |
|
fileName
|
fileName | string |
Nome do arquivo. |
|
fileExt
|
fileExt | string |
Extensão. |
|
processo
|
process | ProcessApiDto | |
|
Hashes
|
hashes | HashesApiDto |
RelatedDnsApiDto
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
nome_do_domínio
|
domainName | string |
Nome de domínio. |
|
threatName
|
threatName | array of string |
Nome da ameaça. |
|
threatLevel
|
threatLevel | integer |
Nível de ameaça. |
|
date
|
date | date-time |
Data de criação. |
|
isMalconf
|
isMalconf | boolean |
Indica se o COI foi extraído da configuração de malware. |
RelatedUrlApiDto
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
url
|
url | string |
URL. |
|
date
|
date | date-time |
Data de criação. |
|
threatLevel
|
threatLevel | integer |
Nível de ameaça. |
|
threatName
|
threatName | array of string |
Nomes de ameaças. |
|
isMalconf
|
isMalconf | boolean |
Indica se o COI foi extraído da configuração de malware. |
SourceTaskApiDto
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
identificador único universal (UUID)
|
uuid | string |
UUID da tarefa. |
|
relacionado
|
related | string |
Link para a tarefa em ANY. EXECUTAR área restrita. |
|
date
|
date | date-time |
Hora de criação da tarefa. |
|
threatLevel
|
threatLevel | integer |
Nível de ameaça. |
|
tags
|
tags | array of string |
Tags. |
|
mainObject
|
mainObject | MainObjectApiDto |
Informações do objeto principal. |
MainObjectApiDto
Informações do objeto principal.
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
tipo
|
type | string |
Tipo. |
|
nome
|
name | string |
Nome.. |
|
Hashes
|
hashes | HashesApiDto |
RelatedSynchronizationObjectsApiDto
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
syncObjectTime
|
syncObjectTime | date-time |
Hora. |
|
syncObjectType
|
syncObjectType | string |
Tipo. |
|
syncObjectOperation
|
syncObjectOperation | string |
Operação. |
|
syncObjectName
|
syncObjectName | string |
Nome.. |
|
tarefa
|
task | string |
Link da tarefa. |
|
processo
|
process | ProcessApiDto |
RelatedNetworkThreatApiDto
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
suricataClass
|
suricataClass | string |
Classe Suricata. |
|
caminho da imagem
|
imagePath | string |
Caminho da imagem. |
|
suricataID
|
suricataID | string |
SID. |
|
suricataMessage
|
suricataMessage | string |
Mensagem suricata. |
|
tags
|
tags | array of string |
Tags. |
|
MITRA
|
MITRE | array of string |
Matriz de IDs de técnicas de matriz MITRE ids ids de sub-técnicas. |
|
suricataThreatLevel
|
suricataThreatLevel | string |
Nível de ameaça suricata. |
|
tarefa
|
task | string |
Link da tarefa. |
HashesApiDto
| Nome | Caminho | Tipo | Description |
|---|---|---|---|
|
md5
|
md5 | string |
Cadeia de caracteres de hash MD5. |
|
sha1
|
sha1 | string |
Cadeia de caracteres de hash SHA1. |
|
sha256
|
sha256 | string |
Cadeia de caracteres de hash SHA256. |
|
ssdeep
|
ssdeep | string |
Cadeia de caracteres de hash Ssdeep. |