Aggiungere intelligence sulle minacce in blocco a Microsoft Sentinel da un file CSV o JSON
Questo articolo illustra come aggiungere indicatori da oggetti CSV o STIX da un file JSON all'intelligence sulle minacce di Microsoft Sentinel. Poiché la condivisione di intelligence sulle minacce si verifica ancora tra messaggi di posta elettronica e altri canali informali durante un'indagine in corso, la possibilità di importare rapidamente tali informazioni in Microsoft Sentinel è importante per inoltrare le minacce emergenti al team. Queste minacce identificate sono quindi disponibili per alimentare altre analisi, ad esempio la produzione di avvisi di sicurezza, eventi imprevisti e risposte automatizzate.
Importante
Questa funzionalità è attualmente disponibile solo in anteprima. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Prerequisiti
Per archiviare l'intelligence sulle minacce, è necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel.
Selezionare un modello di importazione per l'intelligence sulle minacce
Aggiungere più oggetti intelligence per le minacce con un file CSV o JSON appositamente creato. Scaricare i modelli di file per acquisire familiarità con i campi e il relativo mapping ai dati disponibili. Esaminare i campi obbligatori per ogni tipo di modello per convalidare i dati prima dell'importazione.
Per Microsoft Sentinel nel portale di Azure, in Gestione delle minacce, selezionare Intelligence sulle minacce.
Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione delle minacce>Intelligence sulle minacce.
Selezionare Importa>Importa usando un file.
Nel menu a discesa Formato di file selezionare CSV o JSON.
Nota
Il modello CSV supporta solo gli indicatori. Il modello JSON supporta indicatori e altri oggetti STIX come gli attori delle minacce, i modelli di attacco, le identità e le relazioni. Per altre informazioni sulla creazione di oggetti STIX supportati in JSON, vedere Informazioni di riferimento sull'API di caricamento.
Dopo aver scelto un modello di caricamento in blocco, selezionare il collegamento Scarica modello.
Valutare la possibilità di raggruppare l'intelligence sulle minacce in base all'origine perché ogni caricamento di file ne richiede uno.
I modelli forniscono tutti i campi necessari per creare un singolo indicatore valido, inclusi i campi obbligatori e i parametri di convalida. Replicare tale struttura per popolare più indicatori in un file o aggiungere oggetti STIX al file JSON. Per altre informazioni sui modelli, vedere Informazioni sui modelli di importazione.
Caricare il file di Intelligence per le minacce
Modificare il nome del file dal modello predefinito, ma mantenere l'estensione del file come .csv o .json. Quando si crea un nome file univoco, è più semplice monitorare le importazioni dal riquadro Gestisci importazioni di file.
Trascinare il file di Intelligence per le minacce in blocco nella sezione Caricare un file oppure cercare il file usando il collegamento .
Immettere un'origine per l'intelligence sulle minacce nella casella di testo Origine . Questo valore viene stampato su tutti gli indicatori inclusi nel file. Visualizzare questa proprietà come campo
SourceSystem. L'origine viene visualizzata anche nel riquadro Gestisci importazioni di file. Per altre informazioni, vedere Usare gli indicatori delle minacce.Scegliere come si vuole che Microsoft Sentinel gestisca le voci non valide selezionando uno dei pulsanti nella parte inferiore del riquadro Importa usando un file :
- Importare solo le voci valide e lasciare da parte tutte le voci non valide dal file.
- Non importare voci se un singolo oggetto nel file non è valido.
Selezionare Importa.
Gestire le importazioni di file
Monitorare le importazioni e visualizzare i report degli errori per le importazioni parzialmente importate o non riuscite.
Selezionare Importa>Gestisci importazioni di file.
Esaminare lo stato dei file importati e il numero di voci non valide. Il numero di voci valido viene aggiornato dopo l'elaborazione del file. Attendere il completamento dell'importazione per ottenere il numero aggiornato di voci valide.
Visualizzare e ordinare le importazioni selezionando Origine, nome del file di Intelligence per le minacce, numero importato, numero totale di voci in ogni file o data di creazione.
Selezionare l'anteprima del file di errore o scaricare il file di errore contenente gli errori relativi alle voci non valide.
Microsoft Sentinel mantiene lo stato dell'importazione di file per 30 giorni. Il file effettivo e il file di errore associato vengono mantenuti nel sistema per 24 ore. Dopo 24 ore il file e il file di errore vengono eliminati, ma tutti gli indicatori inseriti continuano a essere visualizzati in intelligence sulle minacce.
Informazioni sui modelli di importazione
Esaminare ogni modello per assicurarsi che l'intelligence per le minacce venga importata correttamente. Assicurarsi di fare riferimento alle istruzioni nel file del modello e alle indicazioni supplementari seguenti.
Struttura del modello CSV
Nel menu a discesa Tipo di indicatore selezionare CSV. Scegliere quindi tra le opzioni Indicatori file o Tutti gli altri tipi di indicatori.
Il modello CSV richiede più colonne per supportare il tipo di indicatore di file perché questi ultimi possono avere più tipi hash come MD5 e SHA256. Tutti gli altri tipi di indicatore, ad esempio gli indirizzi IP, richiedono solo il tipo osservabile e il valore osservabile.
Le intestazioni di colonna per il modello CSV Tutti gli altri tipi di indicatori includono campi come
threatTypes, uno o piùtags,confidenceetlpLevel. Il protocollo TLP (Traffic Light Protocol) è un titolo di riservatezza che consente di prendere decisioni sulla condivisione di intelligence sulle minacce.Sono necessari solo i campi
validFrom,observableTypeeobservableValue.Eliminare l'intera prima riga dal modello per rimuovere i commenti prima del caricamento.
La dimensione massima del file per un'importazione di file CSV è di 50 MB.
Ecco un indicatore di nome di dominio di esempio che usa il modello CSV:
threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com
Struttura del modello JSON
È disponibile un solo modello JSON per tutti i tipi di oggetto STIX. Il modello JSON si basa sul formato STIX 2.1.
L'elemento
typesupportaindicator,identityattack-pattern,threat-actor, erelationship.Per gli indicatori, l'elemento
patternsupporta i tipi difileindicatore , ,ipv6-addripv4-addr,email-addruser-accountdomain-nameurle .windows-registry-keyRimuovere i commenti del modello prima del caricamento.
Chiudere l'ultimo oggetto nella matrice utilizzando senza
}una virgola.La dimensione massima del file per un'importazione di file JSON è di 250 MB.
Ecco un indicatore di esempio ipv4-addr e attack-pattern il formato di file JSON:
[
{
"type": "indicator",
"id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
"spec_version": "2.1",
"pattern": "[ipv4-addr:value = '198.168.100.5']",
"pattern_type": "stix",
"created": "2022-07-27T12:00:00.000Z",
"modified": "2022-07-27T12:00:00.000Z",
"valid_from": "2016-07-20T12:00:00.000Z",
"name": "Sample IPv4 indicator",
"description": "This indicator implements an observation expression.",
"indicator_types": [
"anonymization",
"malicious-activity"
],
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "establish-foothold"
}
],
"labels": ["proxy","demo"],
"confidence": "95",
"lang": "",
"external_references": [],
"object_marking_refs": [],
"granular_markings": []
},
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
Contenuto correlato
In questo articolo si è appreso come rafforzare manualmente l'intelligence sulle minacce importando indicatori e altri oggetti STIX raccolti in file flat. Per altre informazioni su come l'intelligence sulle minacce alimenta altre analisi in Microsoft Sentinel, vedere gli articoli seguenti: