Importieren von Threat Intelligence in Microsoft Sentinel mit der Upload-API (Vorschau)
Importieren Sie die Bedrohungsintelligenz für die Verwendung in Microsoft Sentinel mit der Upload-API. Unabhängig davon, ob Sie eine Threat Intelligence-Plattform oder eine benutzerdefinierte Anwendung verwenden, verwenden Sie dieses Dokument als zusätzlichen Verweis auf die Anweisungen in Connect your TIP with the upload API. Das Installieren des Datenconnectors ist nicht erforderlich, um eine Verbindung mit der API herzustellen. Die Bedrohungserkennung, die Sie importieren können, enthält Indikatoren für Kompromittierung und andere STIX-Domänenobjekte.
Wichtig
Diese API befindet sich derzeit in der VORSCHAU. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Structured Threat Information Expression (STIX) ist eine Sprache zum Ausdrücken von Cyber-Bedrohungen und observierbaren Informationen. Die erweiterte Unterstützung für die folgenden Domänenobjekte ist in der Upload-API enthalten:
- indikator
- Angriffsmuster
- Bedrohungsakteur
- identity
- Beziehung
Weitere Informationen finden Sie in der Einführung in STIX.
Hinweis
Die vorherige Uploadindikatoren-API ist jetzt legacy. Wenn Sie beim Übergang zu dieser neuen Upload-API auf diese API verweisen müssen, lesen Sie die API für legacy-Uploadindikatoren.
Aufrufen der API
Ein Aufruf der Upload-API umfasst fünf Komponenten:
- Der Anforderungs-URI
- Nachrichtenheader der HTTP-Anforderung
- Nachrichtentext der HTTP-Anforderung
- Optional verarbeiten Sie den Nachrichtenheader der HTTP-Antwort
- Optional verarbeiten Sie den Text der HTTP-Antwort
Registrieren Ihrer Clientanwendung mit Microsoft Entra ID
Um sich bei Microsoft Sentinel zu authentifizieren, erfordert die Anforderung an die Upload-API ein gültiges Microsoft Entra-Zugriffstoken. Weitere Informationen zur Anwendungsregistrierung finden Sie unter Registrieren einer Anwendung bei der Microsoft Identity Platform oder sehen Sie sich die grundlegenden Schritte im Rahmen der Connect Threat Intelligence mit Upload-API-Setup an.
Diese API setzt voraus, dass der Microsoft Entra-Anwendung die Rolle „Microsoft Sentinel-Mitwirkender“ auf Arbeitsbereichsebene gewährt wird.
Erstellen der Anforderung
In diesem Abschnitt werden die ersten drei der fünf zuvor erläuterten Komponenten behandelt. Zuerst müssen Sie das Zugriffstoken von Microsoft Entra ID abrufen, das Sie zum Zusammenstellen des Anforderungsnachrichtenheaders verwenden.
Abrufen eines Zugriffstokens
Abrufen eines Microsoft Entra-Zugriffstokens mit OAuth 2.0-Authentifizierung. V1.0 und V2.0 sind gültige Token, die von der API akzeptiert werden.
Die Version des empfangenen Tokens (v1.0 oder v2.0) wird durch die accessTokenAcceptedVersion Eigenschaft im App-Manifest der API bestimmt, die Ihre Anwendung aufruft. Wenn accessTokenAcceptedVersion sie auf 1 festgelegt ist, empfängt Ihre Anwendung ein v1.0-Token.
Verwenden Sie microsoft Authentication Library (MSAL), um entweder ein v1.0- oder v2.0-Zugriffstoken abzurufen. Senden Sie alternativ Anforderungen im folgenden Format an die REST-API:
- POST
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token - Kopfzeilen für die Verwendung der Microsoft Entra-App:
- grant_type: "client_credentials"
- client_id: {Client-ID der Microsoft Entra-App}
- client_secret: {Geheimnis der Microsoft Entra-App}
- Bereich:
"https://management.azure.com/.default"
Wenn accessTokenAcceptedVersion im App-Manifest auf 1 festgelegt ist, empfängt Ihre Anwendung ein v1.0-Zugriffstoken, obwohl er den v2-Tokenendpunkt aufruft.
Der Ressourcen-/Bereichswert ist die Zielgruppe des Tokens. Diese API akzeptiert nur die folgenden Zielgruppen:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
Zusammenstellen der Anforderungsnachricht
Anforderungs-URI
API-Versionsverwaltung: api-version=2024-02-01-preview
Endpunkt: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
Methode: POST
Anforderungsheader
Authorization: Enthält das OAuth2-Bearertoken
Content-Type: application/json
Anforderungstext
Das JSON-Objekt für den Text enthält die folgenden Felder:
| Feldname | Datentyp | Beschreibung |
|---|---|---|
sourcesystem (erforderlich) |
Zeichenfolge | Identifizieren Sie den Namen Ihres Quellsystems. Der Wert Microsoft Sentinel ist eingeschränkt. |
stixobjects (erforderlich) |
array | Ein Array von STIX-Objekten im STIX 2.0- oder 2.1-Format |
Erstellen Sie das Array von STIX-Objekten mithilfe der STIX-Formatspezifikation. Einige der STIX-Eigenschaftsspezifikationen werden hier für Ihren Komfort mit Links zu den relevanten STIX-Dokumentabschnitten erweitert. Beachten Sie außerdem einige Eigenschaften, die für STIX gültig sind, keine entsprechenden Objektschemaeigenschaften in Microsoft Sentinel.
Allgemeine Eigenschaften
Alle Objekte, die Sie mit der Upload-API importieren, teilen diese gemeinsamen Eigenschaften.
| Eigenschaftenname | Type | BESCHREIBUNG |
|---|---|---|
id (erforderlich) |
Zeichenfolge | Eine ID, die zum Identifizieren des STIX-Objekts verwendet wird. In Abschnitt 2.9 finden Sie Spezifikationen zum Erstellen eines id. Die Ausgabe sieht in etwa wie indicator--<UUID> aus |
spec_version (optional) |
Zeichenfolge | STIX-Objektversion. Dieser Wert ist in der STIX-Spezifikation erforderlich, da diese API jedoch nur STIX 2.0 und 2.1 unterstützt, wenn dieses Feld nicht festgelegt ist, ist die API standardmäßig auf 2.1 |
type (erforderlich) |
Zeichenfolge | Der Wert dieser Eigenschaft muss ein unterstütztes STIX-Objekt sein. |
created (erforderlich) |
Zeitstempel | Spezifikationen dieser gängigen Eigenschaft finden Sie im Abschnitt 3.2. |
created_by_ref (optional) |
Zeichenfolge | Die created_by_ref-Eigenschaft gibt die ID-Eigenschaft der Entität an, die dieses Objekt erstellt hat. Wenn dieses Attribut nicht angegeben wird, ist die Quelle dieser Informationen undefiniert. Für Objektersteller, die anonym bleiben möchten, sollte dieser Wert nicht definiert werden. |
modified (erforderlich) |
Zeitstempel | Spezifikationen dieser gängigen Eigenschaft finden Sie im Abschnitt 3.2. |
revoked (optional) |
boolean | Widerrufene Objekte werden vom Objektersteller als nicht mehr gültig betrachtet. Das Widerrufen eines Objekts ist dauerhaft; Zukünftige Versionen des Objekts mit diesem idObjekt dürfen nicht erstellt werden.Der Standardwert dieser Eigenschaft ist false. |
labels (optional) |
Eine Liste von Zeichenfolgen | Die labels-Eigenschaft gibt einen Satz von Begriffen an, die zum Beschreiben dieses Objekts verwendet werden. Die Begriffe sind benutzerdefiniert oder vertrauensgruppendefiniert. Diese Bezeichnungen werden als Tags in Microsoft Sentinel angezeigt. |
confidence (optional) |
integer | Die confidence-Eigenschaft gibt an, wie viel Vertrauen der Ersteller in die Richtigkeit seiner Daten hat. Der Konfidenzwert muss eine Zahl im Bereich von 0 bis 100 sein.Anhang A enthält eine Tabelle mit normativen Zuordnungen zu anderen Konfidenzskalen, die bei der Darstellung des Konfidenzwerts in einer dieser Skalierungen verwendet werden müssen. Wenn die Konfidenzeigenschaft nicht vorhanden ist, wird die Konfidenz des Inhalts nicht angegeben. |
lang (optional) |
Zeichenfolge | Die lang-Eigenschaft gibt die Sprache des Textinhalts in diesem Objekt an. Wenn vorhanden, muss es ein Sprachcode sein, der RFC5646 entspricht. Wenn die Eigenschaft nicht vorhanden ist, ist en (Englisch) die Sprache des Inhalts.Diese Eigenschaft sollte vorhanden sein, wenn der Objekttyp übersetzbare Texteigenschaften (z. B. Name, Beschreibung) enthält. Die Sprache einzelner Felder in diesem Objekt kann die lang-Eigenschaft in granularen Markierungen überschreiben (siehe Abschnitt 7.2.3). |
object_marking_refs (optional, einschließlich TLP) |
Eine Liste von Zeichenfolgen | Die object_marking_refs-Eigenschaft gibt eine Liste der ID-Eigenschaften von Markierungsdefinitionsobjekten an, die für dieses Objekt gelten. Verwenden Sie beispielsweise die Definitions-ID der Markierungs-ID des Traffic Light Protocol (TLP), um die Vertraulichkeit der Indikatorquelle anzugeben. Ausführliche Informationen dazu, welche Markierungsdefinitions-IDs für TLP-Inhalte verwendet werden sollen, finden Sie in Abschnitt 7.2.1.4.In einigen, wenn auch seltenen Fällen können Markierungsdefinitionen selbst mithilfe von Freigabe- oder Behandlungsanleitungen gekennzeichnet sein. In diesem Fall darf diese Eigenschaft keine Verweise auf dasselbe Marking Definition-Objekt enthalten (das heißt, es darf keine Zirkelbezüge enthalten). Weitere Definitionen von Datenmarkierungen finden Sie in Abschnitt 7.2.2 . |
external_references (optional) |
Objektliste | Die external_references-Eigenschaft gibt eine Liste externer Verweise an, die auf Nicht-STIX-Informationen verweist. Diese Eigenschaft wird verwendet, um eine oder mehrere URLs, Beschreibungen oder IDs für Datensätze in anderen Systemen. |
granular_markings (optional) |
Liste der granularen Markierungen | Die granular_markings-Eigenschaft hilft dabei, Teile des Indikators unterschiedlich zu definieren. Die Indikatorsprache ist beispielsweise Englisch, en, aber die Beschreibung ist Deutsch, de.In einigen, wenn auch seltenen Fällen können Markierungsdefinitionen selbst mithilfe von Freigabe- oder Behandlungsanleitungen gekennzeichnet sein. In diesem Fall darf diese Eigenschaft keine Verweise auf dasselbe Marking Definition-Objekt enthalten (das heißt, es darf keine Zirkelbezüge enthalten). Weitere Definitionen von Datenmarkierungen finden Sie in Abschnitt 7.2.3. |
Weitere Informationen finden Sie unter DEN allgemeinen STIX-Eigenschaften.
Indikator
| Eigenschaftenname | Type | BESCHREIBUNG |
|---|---|---|
name (optional) |
Zeichenfolge | Ein Name, der zum Identifizieren des Indikators verwendet wird. Hersteller sollten diese Eigenschaft bereitstellen, um Produkten und Analysten zu helfen, zu verstehen, was dieser Indikator tatsächlich tut. |
description (optional) |
Zeichenfolge | Eine Beschreibung, die weitere Details und Kontext zum Indikator enthält, einschließlich seines Zwecks und seiner wichtigsten Merkmale. Hersteller sollten diese Eigenschaft bereitstellen, um Produkten und Analysten zu helfen, zu verstehen, was dieser Indikator tatsächlich tut. |
indicator_types (optional) |
Eine Liste von Zeichenfolgen | Eine Reihe von Kategorisierungen für diesen Indikator. Die Werte für diese Eigenschaft sollten aus indicator-type-ov stammen |
pattern (erforderlich) |
Zeichenfolge | Das Erkennungsmuster für diesen Indikator kann als STIX-Muster oder eine andere geeignete Sprache wie SNORT, YARA usw. ausgedrückt werden. |
pattern_type (erforderlich) |
Zeichenfolge | Die Mustersprache, die in diesem Indikator verwendet wird. Der Wert für diese Eigenschaft sollte aus pattern types stammen. Der Wert dieser Eigenschaft muss mit dem Typ der Musterdaten übereinstimmen, die in der pattern-Eigenschaft enthalten sind. |
pattern_version (optional) |
Zeichenfolge | Die Version der Mustersprache, die für die Daten in der pattern-Eigenschaft verwendet wird und die mit dem Typ der in der pattern-Eigenschaft enthaltenen Musterdaten übereinstimmen muss. Für Muster, die keine formale Spezifikation haben, sollte die Build- oder Code-Version verwendet werden, von der bekannt ist, dass sie mit dem Muster funktioniert. Für die STIX-Mustersprache bestimmt die Spezifikationsversion des Objekts den Standardwert. Für andere Sprachen sollte der Standardwert die neueste Version der Mustersprache zum Zeitpunkt der Erstellung dieses Objekts sein. |
valid_from (erforderlich) |
timestamp | Die Zeit, ab der dieser Indikator als gültiger Indikator für das Verhalten betrachtet wird, mit dem er in Beziehung steht oder darstellt. |
valid_until (optional) |
timestamp | Der Zeitpunkt, zu dem dieser Indikator nicht mehr als gültiger Indikator für das Verhalten betrachtet werden sollte, mit dem er im Zusammenhang steht oder darstellt. Wenn die valid_until-Eigenschaft nicht angegeben wird, gibt es keine Einschränkung für die neueste Uhrzeit, für die der Indikator gültig ist. Dieser Zeitstempel muss größer als der valid_from-Zeitstempel sein. |
kill_chain_phases (optional) |
Liste von Zeichenfolgen | Die Killchainphasen, denen dieser Indikator entspricht. Der Wert für diese Eigenschaft sollte aus der Kill Chain-Phase stammen. |
Weitere Informationen finden Sie unter STIX-Indikator.
Angriffsmuster
Weitere Informationen finden Sie unter STIX-Angriffsmuster.
Identität
Weitere Informationen finden Sie unter STIX Identity.
Bedrohungsakteur
Weitere Informationen finden Sie unter STIX Threat Actor.
Beziehung
Weitere Informationen finden Sie unter STIX-Beziehung.
Verarbeiten der Antwortnachricht
Der Antwortheader enthält einen HTTP-Statuscode. Weitere Informationen zum Interpretieren des API-Aufrufergebnisses finden Sie in dieser Tabelle.
| Statuscode | BESCHREIBUNG |
|---|---|
| 200 | Erfolg. Die API gibt 200 zurück, wenn mindestens ein STIX-Objekt erfolgreich überprüft und veröffentlicht wird. |
| 400 | Fehlerhaftes Format. Etwas in der Anforderung ist nicht ordnungsgemäß formatiert. |
| 401 | Nicht autorisiert. |
| 404 | Die Datei wurde nicht gefunden. Normalerweise tritt dieser Fehler auf, wenn die Arbeitsbereichs-ID nicht gefunden wird. |
| 429 | Die maximale Anzahl von Anforderungen in einer Minute wurde überschritten. |
| 500 | Serverfehler. In der Regel ein Fehler in der API oder in Microsoft Sentinel-Diensten. |
Der Antworttext ist ein Array von Fehlermeldungen im JSON-Format:
| Feldname | Datentyp | BESCHREIBUNG |
|---|---|---|
| errors | Array von Fehlerobjekten | Liste der Überprüfungsfehler |
Error-Objekt
| Feldname | Datentyp | BESCHREIBUNG |
|---|---|---|
| recordIndex | int | Index der STIX-Objekte in der Anforderung |
| errorMessages | Array von Zeichenfolgen | Fehlermeldungen |
Drosselungsgrenzwerte für die API
Alle Grenzwerte werden pro Benutzer angewendet:
- 100 Objekte pro Anforderung.
- 100 Anforderungen pro Minute.
Wenn mehr Anforderungen als der Grenzwert vorhanden sind, wird ein 429-HTTP-Statuscode im Antwortheader mit dem folgenden Antworttext zurückgegeben:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
Ungefähr 10.000 Objekte pro Minute ist der maximale Durchsatz, bevor ein Drosselungsfehler empfangen wird.
Beispielindikatoranforderungstext
Das folgende Beispiel zeigt, wie zwei Indikatoren in der STIX-Spezifikation dargestellt werden.
Test Indicator 2 hebt hervor, dass das Traffic Light Protocol (TLP) mit der zugeordneten Objektmarkierung auf Weiß festgelegt ist, und die Beschreibung und Beschriftungen sind in Englisch dargestellt.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Beispielantworttext mit Überprüfungsfehler
Wenn alle STIX-Objekte erfolgreich überprüft werden, wird ein HTTP 200-Status mit einem leeren Antworttext zurückgegeben.
Wenn die Überprüfung für ein oder mehrere Objekte fehlschlägt, wird der Antworttext mit weiteren Informationen zurückgegeben. Wenn Sie beispielsweise ein Array mit vier Indikatoren senden, und die ersten drei sind gut, aber das vierte kein id (ein erforderliches Feld) hat, wird eine HTTP-Statuscode-200-Antwort zusammen mit dem folgenden Text generiert:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
Die Objekte werden als Array gesendet, sodass die recordIndex Objekte bei 0.
Weitere Beispiele
Beispielindikator
In diesem Beispiel wird der Indikator mit dem grünen TLP markiert. Weitere Erweiterungsattribute von toxicity und rank sind ebenfalls enthalten. Obwohl diese Eigenschaften nicht im Microsoft Sentinel-Schema für Indikatoren enthalten sind, löst das Aufnehmen eines Objekts mit diesen Eigenschaften keinen Fehler aus. Die Eigenschaften werden einfach nicht im Arbeitsbereich referenziert oder indiziert.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Beispielangriffsmuster
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
Beispielbeziehung mit Bedrohungsakteur und Identität
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
Nächste Schritte
Weitere Informationen zum Arbeiten mit Threat Intelligence in Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Grundlegendes zu Threat Intelligence
- Verwenden von Bedrohungsindikatoren
- Verwenden von Abgleichanalysen zum Erkennen von Bedrohungen
- Verwenden des Intelligence-Feeds von Microsoft und Aktivieren des MDTI-Datenconnectors