Segurança do Microsoft Graph (preterido) [PRETERIDO]

Os TiIndicators atualizados

Os TiIndicators enviados

O código de resultado

A mensagem

O sub-código de resultado

O código de resultado

A mensagem

O sub-código de resultado

O número de alertas retornados

Os alertas retornados

Um link para obter os próximos resultados caso haja mais resultados do que o solicitado

O número de subcrições retornadas

As entidades de assinatura retornadas

Um link para obter os próximos resultados caso haja mais resultados do que o solicitado

O número de TiIndicator retornado

O TiIndicator retornado

Um link para obter os próximos resultados caso haja mais resultados do que o solicitado

O número de alertas retornados

Os alertas retornados

Um link para obter os próximos resultados caso haja mais resultados do que o solicitado

O número de alertas retornados

Os alertas retornados

Um link para obter os próximos resultados caso haja mais resultados do que o solicitado

A ID da assinatura do Azure apresentará se esse alerta está relacionado a um recurso do Azure.

Rótulos definíveis pelo usuário que podem ser aplicados a um alerta e podem servir como condições de filtro (por exemplo, "HVA", "SAW", etc.).

Identificador GUID/exclusivo gerado pelo provedor.

ID do locatário da ID do Microsoft Entra.

Nome ou alias do grupo de atividades (invasor) ao qual esse alerta é atribuído.

Nome do analista ao qual o alerta é atribuído para triagem, investigação ou correção.

Categoria do alerta (por exemplo, credentialTheft, ransomware etc.).

Hora em que o alerta foi fechado (UTC).

Comentários fornecidos pelo cliente sobre alerta (para gerenciamento de alertas do cliente).

Confiança da lógica de detecção (percentual entre 1 e 100).

Hora em que o alerta foi criado (UTC).

Descrição de alerta.

Conjunto de alertas relacionados a essa entidade de alerta.

Hora em que os eventos que serviram como gatilhos para gerar o alerta ocorreram (UTC).

Comentários de analistas sobre o alerta. Os valores possíveis são: desconhecido, truePositive, falsePositive, benignPositive.

Hora em que a entidade de alerta foi modificada pela última vez (UTC).

As ações recomendadas por fornecedor/provedor para executar como resultado do alerta (por exemplo, isolar computador, enforce2FA, host de imagem nova etc.).

Severidade do alerta – definida pelo fornecedor/provedor. Valores: (alto, médio, baixo, informativo) em que "informativo" infere que o alerta não é acionável.

Hiperlinks (URIs) para o material de origem relacionado ao alerta, por exemplo, interface do usuário de investigação do provedor, etc.

Status do ciclo de vida do alerta (estágio). Valores: (desconhecido, newAlert, inProgress, resolvido).

Título do alerta.

Provedor específico (produto/serviço – não empresa fornecedora); por exemplo, WindowsDefenderATP.

Versão do provedor ou subprovidor.

Subprovidador específico (em provedor de agregação); por exemplo, WindowsDefenderATP.SmartScreen.

Nome do fornecedor de alertas (por exemplo, Microsoft, Dell, FireEye).

Informações com estado relacionadas à segurança geradas pelo provedor sobre os aplicativos de nuvem relacionados a esse alerta.

Endereço IP de destino da conexão com o aplicativo/serviço de nuvem.

Nome do serviço/aplicativo de nuvem de destino.

Pontuação de risco gerado pelo provedor/calculado do Aplicativo/Serviço de Nuvem.

Informações com estado relacionadas à segurança geradas pelo provedor sobre os arquivos relacionados a esse alerta.

Nome do Arquivo (sem caminho).

Caminho de arquivo completo do arquivo/imageFile.

Pontuação de risco gerado/calculado do provedor do arquivo de alerta.

Tipo de hash de arquivo. Os valores possíveis são: desconhecido, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256.

Valor do hash do arquivo.

Informações com estado relacionadas à segurança geradas pelo provedor sobre os hostes relacionados a esse alerta.

FQDN do host (nome de domínio totalmente qualificado).

True se o host for ingressado no domínio do Microsoft Entra ID Domain Services.

True se o host registrado com o Registro de Dispositivo da ID do Microsoft Entra (por exemplo, BYOD) – não totalmente gerenciado pela empresa.

True se o host for ingressado no domínio de um domínio local do Microsoft Entra ID.

Nome do host local sem o nome de domínio DNS.

Sistema operacional de host.

Endereço IPv4 ou IPv6 privado (não roteável) no momento do alerta.

Endereço IPv4 ou IPv6 roteável publicamente no momento do alerta.

Pontuação de risco gerada pelo provedor/calculada do host.

Informações com estado relacionadas à segurança geradas pelo provedor sobre o malware relacionado a esse alerta.

Categoria de malware gerada pelo provedor (por exemplo, trojan, ransomware etc.).

Família de malware gerada pelo provedor (por exemplo, "wannacry", "notpetya", etc.).

Nome de variante de malware gerado pelo provedor (por exemplo, Trojan:Win32/Powessere.H).

Gravidade determinada pelo provedor desse malware.

Indica se o arquivo detectado (malware/vulnerabilidade) estava em execução no momento da detecção ou se foi detectado em repouso no disco.

Informações com estado relacionadas à segurança geradas pelo provedor sobre os arquivos relacionados a esse alerta.

Nome do aplicativo que gerencia a conexão de rede (por exemplo, Facebook, SMTP etc.).

Endereço IP de destino da conexão de rede.

Parte do domínio de destino da URL de destino. (por exemplo, "www.contoso.com").

Porta de destino da conexão de rede.

Cadeia de caracteres de URL/URI de conexão de rede – excluindo parâmetros.

Direção da conexão de rede. Os valores possíveis são: desconhecido, de entrada, de saída.

Data em que o domínio de destino foi registrado (UTC).

A resolução de nome DNS local como aparece no cache DNS local do host (por exemplo, caso o arquivo "hosts" tenha sido adulterado).

Endereço IP de destino da Conversão de Endereços de Rede.

Porta de destino de Conversão de Endereço de Rede.

Endereço IP de origem da Conversão de Endereços de Rede.

Porta de origem da Conversão de Endereço de Rede.

Protocolo de rede. Os valores possíveis são: desconhecido, ip, icmp, igmp, ggp, ipv4, tcp, pup, udp, idp, ipv6, ipv6RoutingHeader, ipv6FragmentHeader, ipSecEncapsulatingSecurityPayload, ipSecAuthenticationHeader, icmpV6, ipv6NoNextHeader, ipv6DestinationOptionOptions, nd, raw, ipx, spx, spxII.

Pontuação de risco gerado/calculado do provedor da conexão de rede.

Endereço IP de origem (ou seja, origem) da conexão de rede.

Porta IP de origem (ou seja, origem) da conexão de rede.

Status da conexão de rede. Os valores possíveis são: desconhecido, tentativa, êxito, bloqueado, com falha.

Parâmetros (sufixo) da URL de destino como uma cadeia de caracteres.

Informações com estado relacionadas à segurança geradas pelo provedor sobre o processo ou os processos relacionados a esse alerta.

Identificador de conta de usuário (contexto de conta de usuário em que o processo foi executado), por exemplo, AccountName, SID etc.

A linha de comando de invocação de processo completo, incluindo todos os parâmetros.

DateTime no qual o processo pai foi iniciado (UTC).

O nível de integridade do processo. Os valores possíveis são: desconhecido, não confiável, baixo, médio, alto, sistema.

True se o processo for elevado.

O nome do arquivo de imagem do processo.

Hora em que o processo foi iniciado (UTC).

A ID do processo (PID) do processo pai.

O nome do arquivo de imagem do processo pai.

Caminho completo, incluindo nome de arquivo.

A ID do processo (PID) do processo.

Tipo de hash de arquivo. Os valores possíveis são: desconhecido, sha1, sha256, md5, authenticodeHash256, lsHash, ctph, peSha1, peSha256.

Valor do hash do arquivo.

Informações com estado relacionadas à segurança geradas pelo provedor sobre as chaves do Registro relacionadas a esse alerta.

ID do processo (PID) do processo que modificou a chave do Registro (os detalhes do processo serão exibidos na coleção "processos" de alerta).

Operação que alterou o nome da chave do Registro e/ou o valor (adicionar, modificar, excluir).

Tipo de valor de chave do Registro. Os valores possíveis são: desconhecido, binário, dword, dwordLittleEndian, dwordBigEndian, expandSz, link, multiSz, none, qword, qwordlittleEndian, sz.

Hive do Registro do Windows. Os valores possíveis são: unknown, currentConfig, currentUser, localMachineSam, localMachineSamSoftware, localMachineSystem, usersDefault.

Chave do Registro atual (ou seja, alterada) (exclui HIVE).

Nome do valor da chave do Registro atual (ou seja, alterado).

Dados atuais (ou seja, alterados) do valor da chave do Registro (conteúdo).

Chave do Registro anterior (ou seja, antes de alterada) do Registro (exclui HIVE).

Anterior (ou seja, antes de alterado) nome do valor da chave do Registro.

Dados anteriores (ou seja, antes de alterados) do valor da chave do Registro (conteúdo).

Informações relacionadas à segurança sobre as propriedades específicas que dispararam o alerta (propriedades que aparecem no alerta). Os alertas podem conter informações sobre vários usuários, hosts, arquivos, endereços IP. Esse campo indica quais propriedades dispararam a geração de alertas.

Nome da propriedade que serve como um gatilho de detecção.

Tipo do atributo no par key:value para interpretação, por exemplo, Cadeia de caracteres, booliano etc.

Valor do atributo que serve como um gatilho de detecção.

Informações com estado relacionadas à segurança geradas pelo provedor sobre o usuário conectado ou usuários relacionados a esse alerta.

GUID (Identificador de objeto de usuário) do Microsoft Entra ID – representa a entidade de usuário física/de várias contas.

Nome da conta de usuário (sem Domínio de ID do Microsoft Entra ou Domínio DNS) – (também chamado de "mailNickName").

NetBIOS/Microsoft Entra ID Domínio da conta de usuário (ou seja, domínio\formato de conta).

Para alertas relacionados a email – função de email da conta de usuário.

Indica se o usuário fez logon por meio de uma VPN.

Hora em que o logon ocorreu (UTC).

ID de entrada do usuário.

Endereço IP do qual a solicitação de logon foi orginada.

Local (por mapeamento de endereço IP) associado a um evento de entrada do usuário por esse usuário.

Método de entrada do usuário. Os valores possíveis são: desconhecido, interativo, remoteInteractive, rede, lote, serviço.

Identificador de segurança (SID) do usuário (Identificador de Segurança) do Microsoft Entra ID (local).

Pontuação de risco gerada pelo provedor/calculada da conta de usuário.

Tipo de conta de usuário (associação de grupo), de acordo com a definição do Windows. Os valores possíveis são: desconhecido, padrão, potência, administrador.

Nome de entrada do usuário – formato da Internet: <nome> da conta de usuário@<nome> de domínio DNS da conta de usuário.

Inteligência contra ameaças relativa a uma ou mais vulnerabilidades relacionadas a esse alerta.

CVE (Vulnerabilidades e Exposições Comuns) para a vulnerabilidade.

Indica se a vulnerabilidade detectada (arquivo) estava em execução no momento da detecção ou se o arquivo foi detectado em repouso no disco.

Pontuação de severidade do CVSS (Sistema comum de pontuação de vulnerabilidades) base para essa vulnerabilidade.

Identificador exclusivo para a assinatura.

Especifica o recurso que será monitorado para alterações.

Identificador do aplicativo usado para criar a assinatura.

Indica o tipo de alteração no recurso assinado que gerará uma notificação.

Especifica o valor da propriedade clientState enviada pelo serviço em cada notificação. O comprimento máximo é de 128 caracteres. O cliente pode verificar se a notificação veio do serviço comparando o valor da propriedade clientState enviada com a assinatura com o valor da propriedade clientState recebida com cada notificação.

A URL do ponto de extremidade que receberá as notificações. Essa URL deve usar o protocolo HTTPS.

Especifica a data e a hora em que a assinatura do webhook expira (UTC).

Identificador do usuário ou entidade de serviço que criou a assinatura. Se o aplicativo usou permissões delegadas para criar a assinatura, esse campo conterá a ID do usuário conectado do qual o aplicativo chamou em nome. Se o aplicativo tiver usado permissões de aplicativo, esse campo conterá a ID da entidade de serviço correspondente ao aplicativo.

A ação a ser aplicada se o indicador for correspondido de dentro da ferramenta de segurança targetProduct. Valores: (desconhecido, permitir, bloquear, alerta).

Os nomes de inteligência contra ameaças cibernéticas para as partes responsáveis pela atividade mal-intencionada coberta pelo indicador de ameaça.

Dados extras do indicador não coberto pelas outras propriedades tiIndicator podem ser colocados

A ID do locatário do Microsoft Entra ID do cliente de envio.

Confiança da lógica de detecção (percentual entre 0 e 100).

Descrição do TiIndicator (100 charactes ou menos).

A área do Modelo de Diamante na qual esse indicador existe. Valores: (desconhecido, adversário, capacidade, infraestrutura, vítima).

Hora em que o Indicador expira (UTC).

Um número de identificação que vincula o indicador de volta ao sistema do provedor de indicadores (por exemplo, uma chave estrangeira).

Criado pelo sistema quando o indicador é ingerido. Identificador guid/exclusivo gerado.

Hora em que o Indicador é ingerido (UTC).

Por padrão, qualquer indicador enviado é definido como ativo. No entanto, os provedores podem enviar indicadores existentes com esse conjunto como 'False' para desativar indicadores no sistema.

cadeias de caracteres que descrevem qual ponto ou pontos no Kill Chain este indicador é direcionado. Valores: (Ações, C2, Entrega, Exploração, Instalação, Reconhecimento, Armação).

Cenários em que o indicador pode causar falsos positivos.

A última vez que o indicador foi visto (UTC).

O nome da família de malware associado a um indicador se ele existir.

Determina se o indicador deve disparar um evento visível para um usuário final.

Gravidade do comportamento mal-intencionado identificado pelos dados dentro do indicador. Os valores são de 0 a 5, sendo 5 mais graves. O valor padrão é 3.

Produto de segurança única ao qual o indicador deve ser aplicado. Os valores aceitáveis são: Azure Sentinel, Microsoft Defender ATP.

Cada indicador deve ter um tipo de ameaça de indicador válido. Os valores possíveis são: Botnet, C2, CryptoMining, Darknet, DDoS, MaliciousUrl, Malware, Phishing, Proxy, PUA, WatchList.

Valor do Protocolo de Semáforo para o indicador. Os valores possíveis são: desconhecido, branco, verde, âmbar, vermelho.

O tipo de codificação de texto usado no email.

O idioma do email.

Endereço de e-mail do destinatário.

Endereço de email do invasor|vítima.

Nome exibido do invasor|vítima.

Domínio usado no email.

Endereço IP de origem do email.

Linha de assunto de email.

Valor do X-Mailer usado no email.

DateTime quando o arquivo foi compilado.

DateTime quando o arquivo foi criado.

O tipo de hash armazenado no fileHashValue. Os valores possíveis são: desconhecido, sha1, sha256, md5, authenticodeHash256, lsHash, ctph.

O valor de hash do arquivo.

Nome mutex usado em detecções baseadas em arquivo.

Nome do arquivo se o indicador for baseado em arquivo.

O empacotador usado para criar o arquivo em questão.

Caminho do arquivo que indica o comprometimento. Pode ser um caminho de estilo do Windows ou *nix.

Tamanho do arquivo em bytes.

Descrição do texto do tipo de arquivo. Por exemplo, "Documento do Word" ou "Binário".

Nome de domínio associado a esse indicador.

Representação de notação de bloco CIDR da rede referenciada neste indicador.

O identificador do sistema autônomo de destino da rede referenciada no indicador.

Representação de notação de bloco CIDR da rede de destino neste indicador.

Destino do endereço IP IPv4.

Destino do endereço IP IPv6.

Destino da porta TCP.

Endereço IP IPv4.

Endereço IP IPv6.

Porta TCP.

Representação decimal do campo de protocolo no cabeçalho IPv4.

O identificador do sistema autônomo de origem da rede referenciada no indicador.

Representação de notação de bloco CIDR da rede de origem neste indicador.

Origem do endereço IP IPv4.

Origem do endereço IP IPv6.

Origem da porta TCP.

Localizador de Recursos Uniformes.

User-Agent cadeia de caracteres de uma solicitação da Web que pode indicar comprometimento.