Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Importe informações sobre ameaças para usar no Microsoft Sentinel com a API de carregamento. Quer esteja a utilizar uma plataforma de informações sobre ameaças ou uma aplicação personalizada, utilize este documento como uma referência suplementar às instruções em Ligar a sua DICA à API de carregamento. A instalação do conector de dados não é necessária para se conectar à API. A inteligência de ameaças que você pode importar inclui indicadores de comprometimento e outros objetos de domínio STIX.
Importante
Esta API está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Structured Threat Information Expression (STIX) é uma linguagem para expressar ameaças cibernéticas e informações observáveis. O suporte aprimorado para os seguintes objetos de domínio está incluído na API de carregamento:
- indicador
- padrão de ataque
- Agente de ameaça
- identidade
- relação
Para obter mais informações, consulte Introdução ao STIX.
Nota
A API de indicadores de upload anterior agora é legada. Se você precisar fazer referência a essa API durante a transição para essa nova API de upload, consulte API de indicadores de carregamento herdados.
Chamar a API
Uma chamada para a API de carregamento tem cinco componentes:
- O URI da solicitação
- Cabeçalho da mensagem de solicitação HTTP
- Corpo da mensagem de solicitação HTTP
- Opcionalmente, processar o cabeçalho da mensagem de resposta HTTP
- Opcionalmente, processar o corpo da mensagem de resposta HTTP
Registe a sua aplicação cliente com o Microsoft Entra ID
Para se autenticar no Microsoft Sentinel, a solicitação para a API de carregamento requer um token de acesso válido do Microsoft Entra. Para obter mais informações sobre o registro de aplicativos, consulte Registrar um aplicativo com a plataforma de identidade da Microsoft ou consulte as etapas básicas como parte da configuração Connect threat intelligence with upload API .
Essa API requer que o aplicativo Microsoft Entra chamador receba a função de colaborador do Microsoft Sentinel no nível do espaço de trabalho.
Criar o pedido
Esta seção abrange os três primeiros dos cinco componentes discutidos anteriormente. Primeiro, você precisa adquirir o token de acesso do Microsoft Entra ID, que você usa para montar o cabeçalho da mensagem de solicitação.
Adquirir um token de acesso
Adquira um token de acesso do Microsoft Entra com autenticação OAuth 2.0. V1.0 e V2.0 são tokens válidos aceitos pela API.
A versão do token (v1.0 ou v2.0) recebida é determinada pela accessTokenAcceptedVersion propriedade no manifesto do aplicativo da API que seu aplicativo está chamando. Se accessTokenAcceptedVersion estiver definido como 1, seu aplicativo receberá um token v1.0.
Use a Biblioteca de Autenticação da Microsoft (MSAL) para adquirir um token de acesso v1.0 ou v2.0. Use o token de acesso para criar o cabeçalho de autorização que contém o token de portador.
Por exemplo, uma solicitação para a API de carregamento usa os seguintes elementos para recuperar um token de acesso e criar o cabeçalho de autorização, que é usado em cada solicitação:
- PUBLICAR
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token
Cabeçalhos para usar o aplicativo Microsoft Entra:
- grant_type: "client_credentials"
- client_id: {ID do Cliente do Aplicativo Microsoft Entra}
- client_secret ou client_certificate: {segredos do aplicativo Microsoft Entra}
- Âmbito de aplicação:
"https://management.azure.com/.default"
Se accessTokenAcceptedVersion no manifesto do aplicativo estiver definido como 1, seu aplicativo receberá um token de acesso v1.0 mesmo que esteja chamando o ponto de extremidade do token v2.
O valor do recurso/escopo é a audiência do token. Esta API só aceita os seguintes públicos:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
Montar a mensagem de solicitação
URI do pedido
Controle de versão da API: api-version=2024-02-01-preview
Ponto final: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
Método: POST
Cabeçalho do pedido
Authorization: Contém o token de portador OAuth2
Content-Type: application/json
Corpo do pedido
O objeto JSON para o corpo contém os seguintes campos:
| Nome do campo | Tipo de Dados | Description |
|---|---|---|
sourcesystem (obrigatório) |
cadeia (de caracteres) | Identifique o nome do sistema de origem. O valor Microsoft Sentinel é restrito. |
stixobjects (obrigatório) |
matriz | Uma matriz de objetos STIX no formato STIX 2.0 ou 2.1 |
Crie a matriz de objetos STIX usando a especificação de formato STIX. Algumas das especificações de propriedade STIX são expandidas aqui para sua conveniência com links para as seções relevantes do documento STIX. Observe também que algumas propriedades, embora válidas para STIX, não têm propriedades de esquema de objeto correspondentes no Microsoft Sentinel.
Advertência
Se você estiver usando um Microsoft Sentinel Logic App para se conectar à API de carregamento, observe que há três ações de inteligência de ameaças disponíveis. Use apenas o Threat Intelligence - Upload STIX Objects (Preview). Os outros dois falharão com este ponto de extremidade e campos de corpo JSON.
Exemplo de mensagem de solicitação
Aqui está uma função PowerShell de exemplo que usa um certificado autoassinado carregado em um registro de aplicativo Entra para gerar o token de acesso e o cabeçalho de autorização:
function Test-UploadApi {
<#
.SYNOPSIS
requires Powershell module MSAL.PS version 4.37 or higher
https://www.powershellgallery.com/packages/MSAL.PS/
.EXAMPLE
Test-Api -API UploadApi -WorkspaceName "workspacename" -ResourceGroupName "rgname" -AppId "00001111-aaaa-2222-bbbb-3333cccc4444" -TenantName "contoso.onmicrosoft.com" -FilePath "C:\Users\user\Documents\stixobjects.json"
#>
[CmdletBinding()]
param (
[Parameter(Mandatory = $true)]
[string]$TenantName,
[Parameter(Mandatory = $true)]
[string]$CertThumbprint,
[Parameter(Mandatory = $true)]
[string]$AppId,
[Parameter(Mandatory = $true)]
[string]$WorkspaceId,
[Parameter(Mandatory = $true)]
[string]$FilePath
)
$Scope = "https://management.azure.com/.default"
# Connection details for getting initial token with self-signed certificate from local store
$connectionDetails = @{
'TenantId' = $TenantName
'ClientId' = $AppId
'ClientCertificate' = Get-Item -Path "Cert:\CurrentUser\My\$CertThumbprint"
scope = $Scope
}
# Request the token
# Using Powershell module MSAL.PS https://www.powershellgallery.com/packages/MSAL.PS/
# Get-MsalToken is automatically using OAuth 2.0 token endpoint https://login.microsoftonline.com/$TenantName/oauth2/v2.0/token
# and sets auth flow to grant_type = 'client_credentials'
$token = Get-MsalToken @connectionDetails
# Create header
# Again relying on MSAL.PS which has method CreateAuthorizationHeader() getting us the bearer token
$Header = @{
'Authorization' = $token.CreateAuthorizationHeader()
}
$Uri = "https://api.ti.sentinel.azure.com/workspaces/$workspaceId/threat-intelligence-stix-objects:upload?api-version=$apiVersion"
$stixobjects = get-content -path $FilePath
if(-not $stixobjects) { Write-Host "No file found at $FilePath"; break }
$results = Invoke-RestMethod -Uri $Uri -Headers $Header -Body $stixobjects -Method POST -ContentType "application/json"
$results | ConvertTo-Json -Depth 4
}
Propriedades comuns
Todos os objetos importados com a API de carregamento compartilham essas propriedades comuns.
| Nome de Propriedade | Tipo | Description |
|---|---|---|
id (obrigatório) |
cadeia (de caracteres) | Um ID usado para identificar o objeto STIX. Consulte a secção 2.9 para obter especificações sobre como criar um idficheiro . O formato é algo como indicator--<UUID> |
spec_version (opcional) |
cadeia (de caracteres) | Versão do objeto STIX. Esse valor é necessário na especificação STIX, mas como essa API só suporta STIX 2.0 e 2.1, quando esse campo não está definido, o padrão da API é definido como 2.0 |
type (obrigatório) |
cadeia (de caracteres) | O valor dessa propriedade deve ser um objeto STIX suportado. |
created (obrigatório) |
carimbo de data/hora | Ver secção 3.2 para as especificações desta propriedade comum. |
created_by_ref (opcional) |
cadeia (de caracteres) | A propriedade created_by_ref especifica a propriedade ID da entidade que criou esse objeto. Se esse atributo for omitido, a fonte dessas informações será indefinida. Para criadores de objetos que desejam permanecer anônimos, mantenha esse valor indefinido. |
modified (obrigatório) |
carimbo de data/hora | Ver secção 3.2 para as especificações desta propriedade comum. |
revoked (opcional) |
boolean | Os objetos revogados não são mais considerados válidos pelo criador do objeto. A revogação de um objeto é permanente; Versões futuras do objeto com isso idnão devem ser criadas.O valor padrão dessa propriedade é false. |
labels (opcional) |
Lista de cadeias de caracteres | A labels propriedade especifica um conjunto de termos usados para descrever esse objeto. Os termos são definidos pelo usuário ou pelo grupo de confiança. Esses rótulos são exibidos como marcas no Microsoft Sentinel. |
confidence (opcional) |
número inteiro | A confidence propriedade identifica a confiança que o criador tem na exatidão dos seus dados. O valor de confiança deve ser um número no intervalo de 0-100.O Apêndice A contém uma tabela de mapeamentos normativos para outras escalas de confiança que devem ser usadas ao apresentar o valor de confiança em uma dessas escalas. Se a propriedade trust não estiver presente, a confiança do conteúdo não será especificada. |
lang (opcional) |
cadeia (de caracteres) | A lang propriedade identifica o idioma do conteúdo de texto neste objeto. Quando presente, deve ser um código de linguagem compatível com RFC5646. Se a propriedade não estiver presente, o idioma do conteúdo será en (inglês).Essa propriedade deve estar presente se o tipo de objeto contiver propriedades de texto traduzíveis (por exemplo, nome, descrição). O idioma de campos individuais neste objeto pode substituir a propriedade em marcações granulares (ver secção lang). |
object_marking_refs (opcional, incluindo TLP) |
Lista de cadeias de caracteres | A object_marking_refs propriedade especifica uma lista de propriedades de ID de objetos de definição de marcação que se aplicam a esse objeto. Por exemplo, use o ID de definição de marcação TLP (Traffic Light Protocol) para designar a sensibilidade da fonte do indicador. Para obter detalhes sobre quais IDs de definição de marcação usar para conteúdo TLP, consulte a seção 7.2.1.4Em alguns casos, embora incomuns, as próprias definições de marcação podem ser marcadas com orientações de compartilhamento ou manuseio. Nesse caso, essa propriedade não deve conter referências ao mesmo objeto Marking Definition (ou seja, não pode conter referências circulares). Ver secção 7.2.2 para mais definições de marcações de dados. |
external_references (opcional) |
Lista de objetos | A external_references propriedade especifica uma lista de referências externas que se refere a informações não-STIX. Essa propriedade é usada para fornecer uma ou mais URLs, descrições ou IDs para registros em outros sistemas. |
granular_markings (opcional) |
Lista de marcação granular | A granular_markings propriedade ajuda a definir partes do indicador de forma diferente. Por exemplo, o idioma do indicador é o inglês, en mas a descrição é o alemão, de.Em alguns casos, embora incomuns, as próprias definições de marcação podem ser marcadas com orientações de compartilhamento ou manuseio. Nesse caso, essa propriedade não deve conter referências ao mesmo objeto Marking Definition (ou seja, não pode conter referências circulares). Ver secção 7.2.3 para mais definições de marcações de dados. |
Para obter mais informações, consulte Propriedades comuns do STIX.
Indicador
| Nome de Propriedade | Tipo | Description |
|---|---|---|
name (opcional) |
cadeia (de caracteres) | Um nome usado para identificar o indicador. Os produtores devem fornecer essa propriedade para ajudar os produtos e analistas a entender o que esse indicador realmente faz. |
description (opcional) |
cadeia (de caracteres) | Uma descrição que fornece mais detalhes e contexto sobre o indicador, potencialmente incluindo sua finalidade e suas principais características. Os produtores devem fornecer essa propriedade para ajudar os produtos e analistas a entender o que esse indicador realmente faz. |
indicator_types (opcional) |
Lista de cadeias de caracteres | Um conjunto de categorizações para este indicador. Os valores para esta propriedade devem vir do indicador-type-ov |
pattern (obrigatório) |
cadeia (de caracteres) | O padrão de deteção para este indicador pode ser expresso como um padrão STIX ou outra linguagem apropriada, como SNORT, YARA, etc. |
pattern_type (obrigatório) |
cadeia (de caracteres) | A linguagem padrão usada neste indicador. O valor para essa propriedade deve vir de tipos de padrão. O valor dessa propriedade deve corresponder ao tipo de dados de padrão incluídos na propriedade pattern. |
pattern_version (opcional) |
cadeia (de caracteres) | A versão da linguagem de padrão usada para os dados na propriedade pattern, que deve corresponder ao tipo de dados de padrão incluídos na propriedade pattern. Para padrões que não têm uma especificação formal, a versão de compilação ou código com a qual o padrão é conhecido por trabalhar deve ser usada. Para a linguagem de padrão STIX, a versão de especificação do objeto determina o valor padrão. Para outros idiomas, o valor padrão deve ser a versão mais recente da linguagem de padrão no momento da criação deste objeto. |
valid_from (obrigatório) |
carimbo de data/hora | O momento a partir do qual este indicador é considerado um indicador válido dos comportamentos com que está relacionado ou representa. |
valid_until (opcional) |
carimbo de data/hora | O momento em que este indicador deve deixar de ser considerado um indicador válido dos comportamentos com que está relacionado ou representa. Se a propriedade valid_until for omitida, não haverá restrição sobre o último momento para o qual o indicador é válido. Esse carimbo de data/hora deve ser maior do que o carimbo de data/hora valid_from. |
kill_chain_phases (opcional) |
Lista de string | As fases da cadeia de abate a que este indicador corresponde. O valor dessa propriedade deve vir da fase Kill Chain. |
Para obter mais informações, consulte Indicador STIX.
Padrão de ataque
Siga as especificações STIX para criar um objeto STIX padrão de ataque. Use este exemplo como uma referência extra.
Para obter mais informações, consulte Padrão de ataque STIX.
Identidade
Siga as especificações STIX para criar um objeto STIX de identidade. Use este exemplo como uma referência extra.
Para obter mais informações, consulte Identidade STIX.
Agente de ameaça
Siga as especificações STIX para criar um objeto STIX do agente de ameaças. Use este exemplo como uma referência extra.
Para obter mais informações, consulte Agente de ameaças STIX.
Relação
Siga as especificações STIX para criar um objeto STIX de relacionamento. Use este exemplo como uma referência extra.
Para obter mais informações, consulte Relação STIX.
Processar a mensagem de resposta
O cabeçalho de resposta contém um código de status HTTP. Consulte esta tabela para obter mais informações sobre como interpretar o resultado da chamada de API.
| Código de estado | Description |
|---|---|
| 200 | Êxito. A API retorna 200 quando um ou mais objetos STIX são validados e publicados com êxito. |
| 400 | Formato incorreto. Algo na solicitação não está formatado corretamente. |
| 401 | Não autorizado. |
| 404 | Arquivo não encontrado. Normalmente, esse erro ocorre quando a ID do espaço de trabalho não é encontrada. |
| 429 | O número máximo de pedidos num minuto foi excedido. |
| 500 | Erro do servidor. Normalmente, um erro nos serviços API ou Microsoft Sentinel. |
O corpo da resposta é uma matriz de mensagens de erro no formato JSON:
| Nome do campo | Tipo de Dados | Description |
|---|---|---|
| erros | Matriz de objetos de erro | Lista de erros de validação |
Objeto de erro
| Nome do campo | Tipo de Dados | Description |
|---|---|---|
| recordIndex | número inteiro | Índice dos objetos STIX na solicitação |
| errorMessages | Matriz de cadeias | Mensagens de erro |
Limites de limitação para a API
Todos os limites são aplicados por utilizador:
- 100 objetos por solicitação.
- 100 pedidos por minuto.
Se houver mais solicitações do que o limite, um código de 429 status http no cabeçalho da resposta será retornado com o seguinte corpo de resposta:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
Aproximadamente 10.000 objetos por minuto é a taxa de transferência máxima antes que um erro de limitação seja recebido.
Corpo da solicitação do indicador de amostra
O exemplo a seguir mostra como representar dois indicadores na especificação STIX.
Test Indicator 2 destaca o Protocolo de Semáforo (TLP) definido como branco com a marcação do objeto mapeado, e esclarecendo sua descrição e rótulos estão em inglês.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Corpo de resposta da amostra com erro de validação
Se todos os objetos STIX forem validados com êxito, um status HTTP 200 será retornado com um corpo de resposta vazio.
Se a validação falhar para um ou mais objetos, o corpo da resposta será retornado com mais informações. Por exemplo, se você enviar uma matriz com quatro indicadores, e os três primeiros forem bons, mas o quarto não tiver um id (um campo obrigatório), uma resposta de código de status HTTP 200 será gerada junto com o seguinte corpo:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
Os objetos são enviados como uma matriz, de modo que o recordIndex começa em 0.
Outras amostras
Indicador de amostra
Neste exemplo, o indicador é marcado com o TLP verde usando marking-definition--089a6ecb-cc15-43cc-9494-767639779123 na object_marking_refs propriedade comum. Mais atributos de extensão de toxicity e rank também estão incluídos. Embora essas propriedades não estejam no esquema do Microsoft Sentinel para indicadores, a ingestão de um objeto com essas propriedades não dispara um erro. As propriedades simplesmente não são referenciadas ou indexadas no espaço de trabalho.
Nota
Este indicador tem a revoked propriedade definida como $true e sua valid_until data está no passado. Esse indicador as-is não funciona em regras de análise e não é retornado em consultas, a menos que um intervalo de tempo apropriado seja especificado.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Padrão de ataque da amostra
Esse padrão de ataque e quaisquer outros objetos STIX não indicadores só podem ser visualizados na interface de gerenciamento, a menos que você opte pelas novas tabelas STIX. Para obter mais informações sobre as tabelas necessárias para visualizar objetos como este no KQL, consulte Exibir sua inteligência sobre ameaças.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
Exemplo de relação com o agente de ameaça e a identidade
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
Próximos passos
Para saber mais sobre como trabalhar com inteligência de ameaças no Microsoft Sentinel, consulte os seguintes artigos:
- Compreender a inteligência de ameaças
- Trabalhar com indicadores de ameaça
- Use análises de correspondência para detetar ameaças
- Utilize o feed de inteligência da Microsoft e habilite o conector de dados MDTI