Hinzufügen von Threat Intelligence zu Microsoft Sentinel per Massenvorgang aus einer CSV- oder JSON-Datei
In diesem Artikel wird gezeigt, wie Sie Indikatoren aus einer CSV-Datei oder STIX-Objekte aus einer JSON-Datei in Microsoft Sentinel Threat Intelligence hinzufügen können. Da die Freigabe von Threat Intelligence während einer laufenden Untersuchung weiterhin über E-Mails und andere informelle Kanäle erfolgt, ist es wichtig, diese Informationen schnell in Microsoft Sentinel importieren zu können, um neu auftretende Bedrohungen an Ihr Team weiterzugeben. Die identifizierten Bedrohungen stehen dann für andere Analysen zur Verfügung, etwa zum Erstellen von Sicherheitswarnungen, Vorfällen und automatisierten Antworten.
Wichtig
Diese Funktion steht derzeit als Vorschau zur Verfügung. Die ergänzenden Nutzungsbedingungen für Microsoft Azure-Vorschauversionen enthalten weitere rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Microsoft Sentinel ist auf der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Voraussetzungen
Sie benötigen Lese- und Schreibberechtigungen für den Microsoft Sentinel-Arbeitsbereich, um Threat Intelligence zu speichern.
Auswählen einer Importvorlage für Threat Intelligence
Fügen Sie mehrere Threat Intelligence-Objekte mit einer speziell gestalteten CSV- oder JSON-Datei hinzu. Laden Sie die Dateivorlagen herunter, um sich mit den Feldern und deren Zuordnung zu Ihren Daten vertraut zu machen. Überprüfen Sie die Pflichtfelder für jeden Vorlagentyp, um Ihre Daten vor dem Importieren zu überprüfen.
Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsmanagement die Option Threat Intelligence aus.
Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Verwaltung von Bedrohungen>Threat intelligence aus.
Wählen Sie Importieren>Mithilfe einer Datei importieren aus.
Wählen Sie im Dropdownmenü Dateiformat die Option CSV oder JSON aus.
Hinweis
Die CSV-Vorlage unterstützt nur Indikatoren. Die JSON-Vorlage unterstützt Indikatoren und andere STIX-Objekte wie Bedrohungsakteure, Angriffsmuster, Identitäten und Beziehungen. Weitere Informationen zum Erstellen unterstützter STIX-Objekte in JSON finden Sie unter API-Referenz zum Hochladen.
Wählen Sie den Link Vorlage herunterladen aus, nachdem Sie eine Vorlage für den Massenupload ausgewählt haben.
Gruppieren Sie Threat Intelligence ggf. nach Quelle, da jeder Dateiupload eine benötigt.
Die Vorlagen stellen alle Felder bereit, die Sie zum Erstellen eines einzelnen gültigen Indikators benötigen, einschließlich Pflichtfelder und Validierungsparameter. Replizieren Sie diese Struktur, um weitere Indikatoren in einer Datei aufzufüllen, oder fügen Sie der JSON-Datei STIX-Objekte hinzu. Weitere Informationen zu den Vorlagen finden Sie unter Grundlegendes zu den Importvorlagen.
Hochladen der Threat Intelligence-Datei
Ändern Sie den Dateinamen aus der Standardvorlage, behalten Sie jedoch die Dateierweiterung „.csv“ oder „.json“ bei. Wenn Sie einen eindeutigen Dateinamen erstellen, wird es einfacher, Ihre Importe im Bereich Dateiimporte verwalten zu überwachen.
Ziehen Sie die Threat Intelligence-Datei in den Abschnitt Datei hochladen, oder suchen Sie über den Link nach der Datei.
Geben Sie eine Quelle für die Threat Intelligence im Textfeld Quelle ein. Mit diesem Wert werden alle in dieser Datei enthaltenen Indikatoren versehen. Diese Eigenschaft als
SourceSystem-Feld anzeigen. Die Quelle wird auch im Bereich Dateiimporte verwalten angezeigt. Weitere Informationen finden Sie unter Arbeiten mit Bedrohungsindikatoren.Wählen Sie aus, wie Microsoft Sentinel ungültige Einträge behandeln soll, indem Sie am unteren Rand des Bereichs Mithilfe einer Datei importieren eine der Schaltflächen auswählen:
- Importieren Sie nur die gültigen Einträge, und lassen Sie alle ungültigen Einträge in der Datei aus.
- Importieren Sie keine Einträge, wenn ein einzelnes Objekt in der Datei ungültig ist.
Klicken Sie auf Importieren.
Verwalten von Dateiimporten
Überwachen Sie Ihre Importe, und zeigen Sie Fehlerberichte für teilweise importierte oder nicht erfolgreiche Importe an.
Wählen Sie Importieren>Dateiimporte verwalten aus.
Überprüfen Sie den Status importierter Dateien und die Anzahl ungültiger Einträge. Die gültige Anzahl von Einträgen wird aktualisiert, nachdem die Datei verarbeitet wurde. Warten Sie, bis der Import abgeschlossen ist, um die aktualisierte Anzahl der gültigen Einträge zu erhalten.
Sie können Importe anzeigen und sortieren, indem Sie die Quelle, den Namen der Threat Intelligence-Datei, die Anzahl der Importe, die gesamte Anzahl von Einträgen in jeder Datei oder das Datum der Erstellung auswählen.
Wählen Sie die Vorschau der Fehlerdatei aus, oder laden Sie die Fehlerdatei herunter, die die Fehler zu ungültigen Einträgen enthält.
Microsoft Sentinel behält den Status des Dateiimports 30 Tage lang bei. Die tatsächliche Datei und die zugeordnete Fehlerdatei werden 24 Stunden im System gespeichert. Nach 24 Stunden werden die Datei und die Fehlerdatei gelöscht, aber die erfassten Indikatoren werden weiterhin im Menü „Threat Intelligence“ angezeigt.
Grundlegendes zu den Importvorlagen
Überprüfen Sie jede Vorlage, um sicherzustellen, dass Threat Intelligence erfolgreich importiert wird. Achten Sie darauf, auf die Anweisungen in der Vorlagendatei und auf die folgenden ergänzenden Anleitungen zu verweisen.
CSV-Vorlagenstruktur
Wählen Sie im Dropdownmenü Indikatortyps die Option CSV aus. Wählen Sie dann die Option Dateiindikatoren oder Alle anderen Indikatortypen aus.
Die CSV-Vorlage muss mehrere Spalten enthalten, um den Dateiindikatortyp aufzunehmen, da Dateiindikatoren mehrere Hashtypen wie MD5 und SHA256 aufweisen können. Alle anderen Indikatortypen wie IP-Adressen erfordern nur den beobachtbaren Typ und den beobachtbaren Wert.
Die Spaltenüberschriften für die CSV-Vorlage Alle anderen Indikatortypen enthalten Felder wie
threatTypes, einzelne oder mehreretags,confidenceundtlpLevel. Traffic Light Protocol (TLP) ist eine Vertraulichkeitsbezeichnung, die Entscheidungen bezüglich der Freigabe von Threat Intelligence-Daten erleichtert.Nur die Felder
validFrom,observableTypeundobservableValuesind erforderlich.Löschen Sie die gesamte erste Zeile aus der Vorlage, um die Kommentare vor dem Upload zu entfernen.
Die maximale Dateigröße für einen CSV-Dateiimport beträgt 50 MB.
Hier sehen Sie ein Beispiel für einen Indikator vom Typ „domain-name“ der die CSV-Vorlage verwendet:
threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com
JSON-Vorlagenstruktur
Es gibt nur eine JSON-Vorlage für alle STIX-Objekttypen. Die JSON-Vorlage basiert auf dem STIX 2.1-Format.
Das
type-Element unterstütztindicator,attack-pattern,identity,threat-actorundrelationship.Was Indikatoren angeht, unterstützt das
pattern-Element die Indikatortypenfile,ipv4-addr,ipv6-addr,domain-name,url,user-account,email-addrundwindows-registry-key.Entfernen Sie die Vorlagenkommentare vor dem Hochladen.
Schließen Sie das letzte Objekt im Array mit
}ohne Komma.Die maximale Dateigröße für einen JSON-Dateiimport beträgt 250 MB.
Hier ist ein Beispiel für einen ipv4-addr-Indikator und attack-pattern unter Verwendung des JSON-Dateiformats:
[
{
"type": "indicator",
"id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
"spec_version": "2.1",
"pattern": "[ipv4-addr:value = '198.168.100.5']",
"pattern_type": "stix",
"created": "2022-07-27T12:00:00.000Z",
"modified": "2022-07-27T12:00:00.000Z",
"valid_from": "2016-07-20T12:00:00.000Z",
"name": "Sample IPv4 indicator",
"description": "This indicator implements an observation expression.",
"indicator_types": [
"anonymization",
"malicious-activity"
],
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "establish-foothold"
}
],
"labels": ["proxy","demo"],
"confidence": "95",
"lang": "",
"external_references": [],
"object_marking_refs": [],
"granular_markings": []
},
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
Zugehöriger Inhalt
In diesem Artikel haben Sie erfahren, wie Sie Threat Intelligence manuell optimieren, indem Sie in Flatfiles gesammelte Indikatoren und andere STIX-Objekte importieren. Weitere Informationen dazu, wie andere Analysen in Microsoft Sentinel mithilfe von Threat Intelligence optimiert werden können, finden Sie in den folgenden Artikeln: