Ajouter des informations de veille des menaces en bloc à Microsoft Sentinel à partir d’un fichier CSV ou JSON

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Cet article montre comment ajouter des indicateurs à partir d’un fichier CSV ou des objets STIX à partir d’un fichier JSON à la veille des menaces dans Microsoft Sentinel. Les informations de veille des menaces étant toujours partagées via e-mail et d’autres canaux informels au cours d’une enquête, il est important de pouvoir importer rapidement ces informations dans Microsoft Sentinel pour relayer les menaces émergentes à votre équipe. Ces menaces identifiées sont ensuite disponibles pour alimenter d’autres analyses, notamment la production d’alertes de sécurité, d’incidents et de réponses automatisées.

Important

Actuellement, cette fonctionnalité est uniquement disponible en tant que version préliminaire. Voir les Avenant aux conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure pour découvrir plus de conditions juridiques applicables aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui n’ont pas encore été mises en disponibilité générale.

Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans Microsoft Defender XDR ou une licence E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Prérequis

Vous devez disposer d’autorisations en lecture et en écriture sur l’espace de travail Microsoft Sentinel pour stocker vos informations de veille des menaces.

Sélectionner un modèle d’importation pour vos informations de veille des menaces

Ajoutez plusieurs objets de veille des menaces avec un fichier CSV ou JSON spécialement conçu. Téléchargez les modèles de fichiers pour vous familiariser avec les champs et la façon dont ils sont mappés aux données dont vous disposez. Passez en revue les champs requis pour chaque type de modèle afin de valider vos données avant l’importation.

1. Pour Microsoft Sentinel, dans le Portail Azure, sous Gestion des menaces, sélectionnez Veille des menaces.

   Pour Microsoft Sentinel, dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion des menaces>Veille des menaces.

2. Sélectionnez Importer>Importer à l’aide d’un fichier.

   Azure portal

   

   Portail Defender

   

3. Dans le menu déroulant Format de fichier, sélectionnez CSV ou JSON.

   

   Remarque

   Le modèle CSV prend uniquement en charge les indicateurs. Le modèle JSON prend en charge les indicateurs et d’autres objets STIX tels que les acteurs de la menace, les modèles d’attaque, les identités et les relations. Pour plus d’informations sur la création d’objets STIX pris en charge dans JSON, consultez les informations de référence sur l’API de chargement.

4. Après avoir choisi un modèle de chargement en bloc, sélectionnez le lien Télécharger le modèle.

5. Envisagez de regrouper vos informations de veille des menaces par source, car chaque chargement de fichier en nécessite une.

Les modèles fournissent tous les champs dont vous avez besoin pour créer un indicateur valide unique, y compris les champs obligatoires et les paramètres de validation. Répliquez cette structure pour remplir d’autres d’indicateurs dans un fichier ou ajoutez des objets STIX au fichier JSON. Pour plus d’informations sur les modèles, consultez Comprendre les modèles d’importation.

Charger le fichier de veille des menaces

1. Modifiez le nom de fichier par défaut du modèle, mais conservez l’extension de fichier .csv ou .json. Lorsque vous créez un nom de fichier unique, il est plus facile de surveiller vos importations depuis le volet Gérer les importations de fichiers.

2. Faites glisser votre fichier d’informations de veille des menaces en bloc sur la section Charger un fichier ou parcourez votre système à la recherche du fichier en utilisant le lien.

3. Entrez une source pour les informations de veille des menaces dans la zone de texte Source. Cette valeur est marquée sur tous les indicateurs inclus dans ce fichier. Affichez cette propriété en tant que champ SourceSystem. La source s’affiche également dans le volet Gérer les importations de fichiers. Pour plus d’informations, consultez Utiliser des indicateurs de menace.

4. Choisissez la façon dont Microsoft Sentinel doit gérer les entrées non valides en sélectionnant l’un des boutons situés en bas du volet Importer à l’aide d’un fichier :

   • Importez uniquement les entrées valides et laissez de côté les entrées non valides du fichier.
   • Si un seul objet du fichier n’est pas valide, n’importez aucune entrée.

   

5. Cliquez sur Importer.

Gérer les importations de fichiers

Surveillez vos importations et affichez les rapports d’erreurs pour les importations partiellement importées ou ayant échoué.

1. Sélectionnez Importer>Gérer les importations de fichiers.

   

2. Passez en revue l’état des fichiers importés et le nombre d’entrées non valides. Le nombre d’entrées valides est mis à jour une fois le fichier traité. Attendez la fin de l’importation pour obtenir le nombre d’entrées valides mis à jour.

   

3. Affichez et triez les importations en sélectionnant la Source, le Nom du fichier de veille des menaces, le nombre Importé, le nombre Total d’entrées dans chaque fichier ou la Date de création.

4. Sélectionnez l’aperçu du fichier d’erreurs ou téléchargez le fichier d’erreurs contenant les erreurs relatives aux entrées non valides.

Microsoft Sentinel conserve l’état de l’importation de fichiers pendant 30 jours. Le fichier réel et le fichier d’erreur associé sont conservés dans le système pendant 24 heures. Après 24 heures, le fichier et le fichier d’erreur sont supprimés, et les indicateurs ingérés continuent de s’afficher dans la veille des menaces.

Comprendre les modèles d’importation

Passez en revue chaque modèle pour vérifier que vos informations de veille des menaces sont importées correctement. Veillez à référencer les instructions dans le fichier de modèle et l’aide supplémentaire ci-dessous.

Structure du modèle CSV

1. Dans le menu déroulant Type d’indicateur, sélectionnez CSV. Choisissez ensuite entre les options Indicateurs de fichier ou Types d’indicateur.

   Le modèle CSV a besoin de plusieurs colonnes pour prendre en charge le type d’indicateur de fichier, car les indicateurs de fichier peuvent avoir plusieurs types de hachage, comme MD5 et SHA256. Tous les autres types d’indicateurs, comme les adresses IP, nécessitent uniquement le type observable et la valeur observable.

2. Les en-têtes de colonne pour le modèle CSV Tous les autres types d’indicateurs incluent des champs tels que threatTypes, un ou plusieurs tags, confidence et tlpLevel. Le protocole TLP (Traffic Light Protocol) est une désignation de sensibilité qui permet de prendre des décisions sur le partage de la veille des menaces.

3. Seuls les champs validFrom, observableType et observableValue sont obligatoires.

4. Supprimez la première ligne entière du modèle pour supprimer les commentaires avant le chargement.

   La taille maximale de fichier pour une importation de fichier CSV est de 50 Mo.

Voici un exemple d’indicateur de nom de domaine qui utilise le modèle CSV :

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

Structure du modèle JSON

1. Il n’existe qu’un seul modèle JSON pour tous les types d’objets STIX. Le modèle JSON est basé sur le format STIX 2.1.

2. L’élément type prend en charge indicator, attack-pattern, identity, threat-actor et relationship.

3. Pour les indicateurs, l’élément pattern prend en charge les types d’indicateurs file, ipv4-addr, ipv6-addr, domain-name, url, user-account, email-addr et windows-registry-key.

4. Supprimez les commentaires du modèle avant le chargement.

5. Fermez le dernier objet du tableau en utilisant le caractère }, sans virgule.

   La taille maximale de fichier pour une importation de fichier JSON est de 250 Mo.

Voici un exemple présentant l’indicateur ipv4-addr et attack-pattern dans le format de fichier JSON :

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
        "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    },
    {
        "type": "attack-pattern",
        "spec_version": "2.1",
        "id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
        "created": "2015-05-15T09:12:16.432Z",
        "modified": "2015-05-20T09:12:16.432Z",
        "created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
        "revoked": false,
        "labels": [
            "heartbleed",
            "has-logo"
        ],
        "confidence": 55,
        "lang": "en",
        "object_marking_refs": [
            "marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
        ],
        "granular_markings": [
            {
                "marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
                "selectors": [
                    "description",
                    "labels"
                ],
                "lang": "en"
            }
        ],
        "extensions": {
            "extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
                "extension_type": "property-extension",
                "rank": 5,
                "toxicity": 8
            }
        },
        "external_references": [
            {
                "source_name": "capec",
                "description": "spear phishing",
                "external_id": "CAPEC-163"
            }
        ],
        "name": "Attack Pattern 2.1",
        "description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
        "kill_chain_phases": [
            {
                "kill_chain_name": "mandiant-attack-lifecycle-model",
                "phase_name": "initial-compromise"
            }
        ],
        "aliases": [
            "alias_1",
            "alias_2"
        ]
    }
]

Contenu connexe

Dans cet article, vous avez appris à renforcer manuellement votre veille des menaces en important des indicateurs et d’autres objets STIX collectés dans des fichiers plats. Pour en savoir plus sur la façon dont la veille des menaces alimente d’autres analyses dans Microsoft Sentinel, consultez les articles suivants :

• Travailler avec les indicateurs de menaces dans Microsoft Sentinel
• Indicateurs de menace pour le renseignement sur les cybermenaces dans Microsoft Sentinel
• Détecter rapidement les menaces avec des règles d’analyse en quasi-temps réel (NRT) dans Microsoft Sentinel