Sdílet prostřednictvím

Hromadné přidávání indikátorů do analýzy hrozeb v Microsoft Sentinelu ze souboru CSV nebo JSON

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

V tomto článku přidáte do analýzy hrozeb Microsoft Sentinel indikátory ze souboru CSV nebo JSON. Sdílení analýzy hrozeb se stále děje mezi e-maily a dalšími neformálními kanály během probíhajícího šetření. Můžete importovat indikátory přímo do analýzy hrozeb Microsoft Sentinelu, abyste mohli rychle předat nově vznikající hrozby vašemu týmu. Hrozby zpřístupníte pro další analýzy, jako je vytváření výstrah zabezpečení, incidentů a automatizovaných odpovědí.

Důležité

Tato funkce je aktuálně dostupná jako ukázková verze. Další právní podmínky, které se vztahují na funkce Azure v beta verzi, preview nebo které ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

Abyste mohli ukládat indikátory hrozeb, musíte mít oprávnění ke čtení a zápisu do pracovního prostoru Microsoft Sentinelu.

Výběr šablony importu pro indikátory

Přidejte do analýzy hrozeb několik indikátorů pomocí speciálně vytvořeného souboru CSV nebo JSON. Stáhněte si šablony souborů, abyste se seznámili s poli a jejich mapováním na data, která máte. Před importem zkontrolujte požadovaná pole pro každý typ šablony a ověřte svá data.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Analýzu hrozeb.

    Pro Microsoft Sentinel na portálu Defender vyberte analýzu hrozeb pro správu>hrozeb v Microsoft Sentinelu>.

  2. Vyberte Importovat>pomocí souboru.

  3. V rozevírací nabídce Formát souboru vyberte CSV nebo JSON.

    Snímek obrazovky s rozevírací nabídkou pro nahrání souboru CSV nebo JSON, zvolení šablony ke stažení a zadání zdroje

  4. Po výběru šablony hromadného nahrání vyberte odkaz Stáhnout šablonu .

  5. Zvažte seskupení indikátorů podle zdroje, protože každý nahrání souboru vyžaduje jeden.

Šablony obsahují všechna pole, která potřebujete k vytvoření jednoho platného indikátoru, včetně požadovaných polí a ověřovacích parametrů. Replikujte danou strukturu, abyste v jednom souboru naplnili více indikátorů. Další informace o šablonách najdete v tématu Vysvětlení šablon importu.

Nahrání souboru indikátoru

  1. Změňte název souboru z výchozí šablony, ale příponu souboru ponechte jako .csv nebo .json. Při vytváření jedinečného názvu souboru je jednodušší monitorovat importy z podokna Spravovat importy souborů.

  2. Přetáhněte soubor indikátorů do oddílu Nahrát soubor nebo vyhledejte soubor pomocí odkazu.

  3. Do textového pole Zdroj zadejte zdroj indikátorů. Tato hodnota se označí u všech indikátorů zahrnutých v tomto souboru. Zobrazit tuto vlastnost jako SourceSystem pole. Zdroj se zobrazí také v podokně Spravovat import souborů. Další informace najdete v tématu Práce s indikátory hrozeb.

  4. Vyberte, jak má Microsoft Sentinel zpracovávat neplatné položky indikátoru, a to tak, že vyberete jedno z tlačítek v dolní části podokna Import pomocí podokna souborů :

    • Importujte pouze platné indikátory a ponechte z souboru všechny neplatné indikátory.
    • Pokud je jeden indikátor v souboru neplatný, neimportujte žádné indikátory.

    Snímek obrazovky s rozevírací nabídkou pro nahrání souboru CSV nebo JSON, zvolení šablony a zadání zdroje se zvýrazněným tlačítkem Importovat

  5. Vyberte Importovat.

Správa importů souborů

Monitorujte importy a zobrazte chybové zprávy pro částečně importované nebo neúspěšné importy.

  1. Vyberte Importovat>importy souborů Spravovat.

    Snímek obrazovky znázorňující možnost nabídky pro správu importů souborů

  2. Zkontrolujte stav importovanýchsouborůch Platný počet indikátorů se aktualizuje po zpracování souboru. Počkejte, až se import dokončí, aby se získal aktualizovaný počet platných indikátorů.

    Snímek obrazovky znázorňující podokno Spravovat importy souborů s ukázkovými daty příjmu dat Sloupce zobrazují seřazené podle importovaného čísla s různými zdroji.

  3. Importy můžete zobrazit a seřadit výběrem možnosti Zdroj, název souboru ukazatele, číslo Importováno, Celkový počet indikátorů v každém souboru nebo datum Vytvoření.

  4. Vyberte náhled chybového souboru nebo stáhněte soubor chyby, který obsahuje chyby týkající se neplatných indikátorů.

Microsoft Sentinel udržuje stav importu souboru po dobu 30 dnů. Skutečný soubor a přidružený chybový soubor se uchovávají v systému po dobu 24 hodin. Po 24 hodinách se soubor a soubor chyby odstraní, ale všechny ingestované indikátory se budou dál zobrazovat v analýze hrozeb.

Vysvětlení šablon importu

Zkontrolujte každou šablonu a ujistěte se, že se indikátory úspěšně naimportují. Nezapomeňte odkazovat na pokyny v souboru šablony a následující doplňkové pokyny.

Struktura šablon CSV

  1. V rozevírací nabídce Typ ukazatele vyberte CSV. Pak vyberte mezi indikátory souboru nebo možnostmi Všech ostatních typů ukazatelů.

    Šablona CSV potřebuje k přizpůsobení typu indikátoru souboru více sloupců, protože indikátory souborů můžou mít více typů hash, jako je MD5 a SHA256. Všechny ostatní typy indikátorů, jako jsou IP adresy, vyžadují pouze pozorovatelný typ a pozorovatelnou hodnotu.

  2. Záhlaví sloupců pro sdílený svazek clusteru Všechny ostatní typy ukazatelů obsahují pole, jako threatTypesje například , jeden nebo více tagsconfidence, a tlpLevel. TLP (Traffic Light Protocol) je označení citlivosti, které pomáhá při rozhodování o sdílení analýzy hrozeb.

  3. Jsou vyžadovány validFrompouze pole a observableTypeobservableValue pole .

  4. Před odesláním odstraňte celý první řádek ze šablony a odeberte komentáře.

    Maximální velikost souboru pro import souboru CSV je 50 MB.

Tady je příklad indikátoru názvu domény, který používá šablonu CSV:

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

Struktura šablony JSON

  1. Pro všechny typy indikátorů existuje jenom jedna šablona JSON. Šablona JSON je založená na formátu STIX 2.1.

  2. Prvek pattern podporuje typy fileukazatelů , , ipv4-addripv6-addr, domain-name, url, , user-accountemail-addra windows-registry-key.

  3. Před nahráním odeberte komentáře šablony.

  4. Poslední indikátor v poli zavřete pomocí } čárky bez čárky.

    Maximální velikost souboru pro import souboru JSON je 250 MB.

Tady je ukázkový ipv4-addr indikátor, který používá šablonu JSON:

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

Související obsah

V tomto článku jste zjistili, jak ručně posílit analýzu hrozeb importem indikátorů shromážděných v plochých souborech. Další informace o tom, jak indikátory používají další analýzy v Microsoft Sentinelu, najdete v následujících článcích: