Udostępnij przez

Zbiorcze dodawanie analizy zagrożeń do usługi Microsoft Sentinel z pliku CSV lub JSON

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

W tym artykule pokazano, jak dodawać wskaźniki z obiektów CSV lub STIX z pliku JSON do analizy zagrożeń usługi Microsoft Sentinel. Ponieważ udostępnianie analizy zagrożeń nadal odbywa się w wiadomościach e-mail i innych kanałach nieformalnych podczas trwającego badania, możliwość szybkiego importowania tych informacji do usługi Microsoft Sentinel jest ważna w celu przekazywania pojawiających się zagrożeń zespołowi. Zidentyfikowane zagrożenia są następnie dostępne dla innych analiz, takich jak tworzenie alertów zabezpieczeń, zdarzeń i automatycznych odpowiedzi.

Ważne

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych użytkowników jest również automatycznie dołączanych i przekierowywanych z witryny Azure Portal do portalu Defender. Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Wymagania wstępne

Aby przechowywać analizę zagrożeń, musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.

Wybieranie szablonu importu dla analizy zagrożeń

Dodaj wiele obiektów analizy zagrożeń za pomocą specjalnie spreparowanego pliku CSV lub pliku JSON. Pobierz szablony plików, aby zapoznać się z polami i sposobem mapowania ich na posiadane dane. Przejrzyj wymagane pola dla każdego typu szablonu, aby zweryfikować dane przed ich zaimportowaniem.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Analiza zagrożeń.

    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Threat Management>Threat Intelligence.

  2. Wybierz pozycję Importuj>Importuj przy użyciu pliku.

  3. W menu rozwijanym Format pliku wybierz pozycję CSV lub JSON.

    Zrzut ekranu przedstawiający menu rozwijane umożliwiające przekazanie pliku CSV lub pliku JSON, wybranie szablonu do pobrania i określenie źródła.

    Uwaga

    Szablon CSV obsługuje tylko wskaźniki. Szablon JSON obsługuje wskaźniki i inne obiekty STIX, takie jak aktorzy zagrożeń, wzorce ataków, tożsamości i relacje. Aby uzyskać więcej informacji na temat tworzenia obsługiwanych obiektów STIX w formacie JSON, zobacz Przekazywanie dokumentacji interfejsu API.

  4. Po wybraniu szablonu przekazywania zbiorczego wybierz link Pobierz szablon .

  5. Rozważ grupowanie analizy zagrożeń według źródła, ponieważ każde przekazanie plików tego wymaga.

Szablony zawierają wszystkie pola potrzebne do utworzenia jednego prawidłowego wskaźnika, w tym wymagane pola i parametry walidacji. Zreplikuj strukturę, aby wypełnić więcej wskaźników w jednym pliku lub dodać obiekty STIX do pliku JSON. Aby uzyskać więcej informacji na temat szablonów, zobacz Omówienie szablonów importu.

Przekazywanie pliku analizy zagrożeń

  1. Zmień domyślną nazwę pliku z szablonu, ale zachowaj rozszerzenie pliku jako .csv lub .json. Podczas tworzenia unikatowej nazwy pliku łatwiej jest monitorować importy z okienka Zarządzanie importowaniem plików .

  2. Przeciągnij plik analizy zagrożeń zbiorczych do sekcji Przekaż plik lub wyszukaj plik przy użyciu linku.

  3. Wprowadź źródło analizy zagrożeń w polu tekstowym Źródło . Ta wartość jest oznaczana wszystkimi wskaźnikami zawartymi w tym pliku. Wyświetl tę właściwość jako SourceSystem pole. Źródło jest również wyświetlane w okienku Zarządzanie importowaniem plików . Aby uzyskać więcej informacji, zobacz Praca ze wskaźnikami zagrożeń.

  4. Wybierz sposób obsługi nieprawidłowych wpisów przez usługę Microsoft Sentinel, wybierając jeden z przycisków w dolnej części okienka Importuj przy użyciu pliku :

    • Zaimportuj tylko prawidłowe wpisy i pozostaw wszystkie nieprawidłowe wpisy z pliku.
    • Nie importuj żadnych wpisów, jeśli pojedynczy obiekt w pliku jest nieprawidłowy.

    Zrzut ekranu przedstawiający menu rozwijane umożliwiające przekazanie pliku CSV lub pliku JSON, wybranie szablonu i określenie źródła z wyróżnionym przyciskiem Importuj.

  5. Wybierz pozycję Importuj.

Zarządzanie importami plików

Monitoruj importy i wyświetlaj raporty o błędach dotyczące częściowo zaimportowanych lub nieudanych importów.

  1. Wybierz Importuj>Zarządzaj importami plików.

    Zrzut ekranu przedstawiający opcję menu do zarządzania importami plików.

  2. Przejrzyj stan zaimportowanych plików i liczbę nieprawidłowych wpisów. Prawidłowa liczba wpisów jest aktualizowana po przetworzeniu pliku. Poczekaj na zakończenie importowania, aby uzyskać zaktualizowaną liczbę prawidłowych wpisów.

    Zrzut ekranu przedstawiający okienko Zarządzanie importowaniem plików z przykładowymi danymi dotyczącymi importu. Kolumny pokazują dane posortowane według liczby zaimportowanych danych z różnych źródeł.

  3. Wyświetl i sortuj importy, wybierając pozycję Źródło, nazwę pliku analizy zagrożeń, liczbę zaimportowaną, łączną liczbę wpisów w każdym pliku lub datę utworzenia .

  4. Wybierz podgląd pliku błędu lub pobierz plik błędu zawierający błędy dotyczące nieprawidłowych wpisów.

Usługa Microsoft Sentinel utrzymuje stan importowania plików przez 30 dni. Rzeczywisty plik i skojarzony plik błędu są przechowywane w systemie przez 24 godziny. Po upływie 24 godzin plik i plik błędu zostaną usunięte, ale wszystkie pozyskane wskaźniki będą nadal pokazywane w analizie zagrożeń.

Omówienie szablonów importu

Przejrzyj każdy szablon, aby upewnić się, że analiza zagrożeń została pomyślnie zaimportowana. Pamiętaj, aby zapoznać się z instrukcjami w pliku szablonu i poniższymi dodatkowymi wskazówkami.

Struktura szablonu CSV

  1. Z menu rozwijanego Typ wskaźnika wybierz pozycję CSV. Następnie wybierz spośród opcji Wskaźniki pliku lub Wszystkie inne typy wskaźników .

    Szablon CSV wymaga wielu kolumn, aby uwzględnić typ wskaźnika pliku, ponieważ wskaźniki plików mogą mieć wiele typów skrótów, takich jak MD5 i SHA256. Wszystkie inne typy wskaźników, takie jak adresy IP, wymagają tylko obserwowanego typu i zauważalnej wartości.

  2. Nagłówki kolumn dla szablonu CSV Wszystkie inne typy wskaźników zawierają pola, takie jak threatTypes, pojedynczy lub wielokrotny tags, confidencei tlpLevel. Traffic Light Protocol (TLP) to oznaczenie poufności ułatwiające podejmowanie decyzji dotyczących udostępniania analizy zagrożeń.

  3. validFromWymagane są tylko pola , observableTypei observableValue .

  4. Usuń cały pierwszy wiersz z szablonu, aby usunąć komentarze przed przesłaniem.

    Maksymalny rozmiar pliku do importowania pliku CSV wynosi 50 MB.

Oto przykładowy wskaźnik nazwy domeny, który używa szablonu CSV:

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

Struktura szablonu JSON

  1. Istnieje tylko jeden szablon JSON dla wszystkich typów obiektów STIX. Szablon JSON jest oparty na formacie STIX 2.1.

  2. Element type obsługuje indicator, attack-pattern, identity, threat-actor i relationship.

  3. W przypadku wskaźników element pattern obsługuje typy wskaźników file, ipv4-addr, ipv6-addr, domain-name, url, user-account, email-addr i windows-registry-key.

  4. Usuń komentarze szablonu przed przesłaniem.

  5. Zamknij ostatni obiekt w tablicy, używając } bez dodawania przecinka.

    Maksymalny rozmiar pliku do importowania pliku JSON wynosi 250 MB.

Oto przykładowy ipv4-addr wskaźnik i attack-pattern w użyciu formatu pliku JSON:

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
        "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    },
    {
        "type": "attack-pattern",
        "spec_version": "2.1",
        "id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
        "created": "2015-05-15T09:12:16.432Z",
        "modified": "2015-05-20T09:12:16.432Z",
        "created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
        "revoked": false,
        "labels": [
            "heartbleed",
            "has-logo"
        ],
        "confidence": 55,
        "lang": "en",
        "object_marking_refs": [
            "marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
        ],
        "granular_markings": [
            {
                "marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
                "selectors": [
                    "description",
                    "labels"
                ],
                "lang": "en"
            }
        ],
        "extensions": {
            "extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
                "extension_type": "property-extension",
                "rank": 5,
                "toxicity": 8
            }
        },
        "external_references": [
            {
                "source_name": "capec",
                "description": "spear phishing",
                "external_id": "CAPEC-163"
            }
        ],
        "name": "Attack Pattern 2.1",
        "description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
        "kill_chain_phases": [
            {
                "kill_chain_name": "mandiant-attack-lifecycle-model",
                "phase_name": "initial-compromise"
            }
        ],
        "aliases": [
            "alias_1",
            "alias_2"
        ]
    }
]

Powiązana zawartość

W tym artykule przedstawiono sposób ręcznego wzmocnienia analizy zagrożeń przez zaimportowanie wskaźników i innych obiektów STIX zebranych w prostych plikach. Aby dowiedzieć się więcej o tym, jak analiza zagrożeń obsługuje inne analizy w usłudze Microsoft Sentinel, zobacz następujące artykuły:

  • Last updated on