Importare intelligence per le minacce in Microsoft Sentinel con l'API di caricamento (anteprima)
Importare intelligence sulle minacce da usare in Microsoft Sentinel con l'API di caricamento. Indipendentemente dal fatto che si usi una piattaforma di intelligence per le minacce o un'applicazione personalizzata, usare questo documento come riferimento supplementare alle istruzioni in Connettere il suggerimento con l'API di caricamento. L'installazione del connettore dati non è necessaria per connettersi all'API. L'intelligence per le minacce che è possibile importare include indicatori di compromissione e altri oggetti di dominio STIX.
Importante
Questa API è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Structured Threat Information Expression (STIX) è un linguaggio per esprimere informazioni osservabili e minacce informatiche. Il supporto avanzato per gli oggetti di dominio seguenti è incluso nell'API di caricamento:
- indicatore
- modello di attacco
- attore di minacce
- identity
- relazione
Per altre informazioni, vedere Introduzione a STIX.
Nota
L'API degli indicatori di caricamento precedente è ora legacy. Se è necessario fare riferimento a tale API durante la transizione a questa nuova API di caricamento, vedere API degli indicatori di caricamento legacy.
Chiamare l'API
Una chiamata all'API di caricamento ha cinque componenti:
- L'URI della richiesta
- Intestazione del messaggio di richiesta HTTP
- Corpo del messaggio della richiesta HTTP
- Facoltativamente, elaborare l'intestazione del messaggio di risposta HTTP
- Facoltativamente, elaborare il corpo del messaggio di risposta HTTP
Registrare l'applicazione client con Microsoft Entra ID
Per eseguire l'autenticazione a Microsoft Sentinel, la richiesta all'API di caricamento richiede un token di accesso Microsoft Entra valido. Per altre informazioni sulla registrazione dell'applicazione, vedere Registrare un'applicazione con Microsoft Identity Platform o vedere i passaggi di base come parte della configurazione dell'API di caricamento.
Questa API richiede che all'applicazione Microsoft Entra chiamante venga concesso il ruolo di collaboratore di Microsoft Sentinel a livello di area di lavoro.
Creare la richiesta
Questa sezione illustra i primi tre dei cinque componenti illustrati in precedenza. È prima necessario acquisire il token di accesso da Microsoft Entra ID, che si usa per assemblare l'intestazione del messaggio di richiesta.
Acquisire un token di accesso
Acquisire un token di accesso Di Microsoft Entra con l'autenticazione OAuth 2.0. V1.0 e V2.0 sono token validi accettati dall'API.
La versione del token (v1.0 o v2.0) ricevuta è determinata dalla accessTokenAcceptedVersion proprietà nel manifesto dell'app dell'API che l'applicazione sta chiamando. Se accessTokenAcceptedVersion è impostato su 1, l'applicazione riceve un token v1.0.
Usare Microsoft Authentication Library (MSAL) per acquisire un token di accesso v1.0 o v2.0. In alternativa, inviare richieste all'API REST nel formato seguente:
- POST
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token - Intestazioni per l'uso di Microsoft Entra App:
- grant_type: "client_credentials"
- client_id: {ID client di Microsoft Entra App}
- client_secret: {secret of Microsoft Entra App}
- portata:
"https://management.azure.com/.default"
Se accessTokenAcceptedVersion nel manifesto dell'app è impostato su 1, l'applicazione riceve un token di accesso v1.0 anche se chiama l'endpoint del token v2.
Il valore della risorsa/ambito è il gruppo di destinatari del token. Questa API accetta solo i gruppi di destinatari seguenti:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
Assemblare il messaggio di richiesta
URI delle richiesta
Controllo delle versioni dell'API: api-version=2024-02-01-preview
Endpoint: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
Metodo: POST
Intestazione della richiesta
Authorization: contiene il token di connessione OAuth2
Content-Type: application/json
Testo della richiesta
L'oggetto JSON per il corpo contiene i campi seguenti:
| Nome campo | Tipo di dati | Descrizione |
|---|---|---|
sourcesystem (obbligatorio) |
string | Identificare il nome del sistema di origine. Il valore Microsoft Sentinel è limitato. |
stixobjects (obbligatorio) |
array | Matrice di oggetti STIX in formato STIX 2.0 o 2.1 |
Creare la matrice di oggetti STIX usando la specifica del formato STIX. Alcune delle specifiche delle proprietà STIX vengono espanse qui per praticità con collegamenti alle sezioni pertinenti del documento STIX. Si notino anche alcune proprietà, mentre valide per STIX, non hanno proprietà dello schema di oggetti corrispondenti in Microsoft Sentinel.
Proprietà comuni
Tutti gli oggetti importati con l'API di caricamento condividono queste proprietà comuni.
| Nome proprietà | Type | Descrizione |
|---|---|---|
id (obbligatorio) |
string | ID utilizzato per identificare l'oggetto STIX. Vedere la sezione 2.9 per informazioni su come creare un oggetto id. Il formato è simile al seguente indicator--<UUID> |
spec_version (facoltativo) |
string | Versione dell'oggetto STIX. Questo valore è obbligatorio nella specifica STIX, ma poiché questa API supporta solo STIX 2.0 e 2.1, quando questo campo non è impostato, per impostazione predefinita l'API è impostata su 2.1 |
type (obbligatorio) |
string | Il valore di questa proprietà deve essere un oggetto STIX supportato. |
created (obbligatorio) |
timestamp | Vedere la sezione 3.2 per le specifiche di questa proprietà comune. |
created_by_ref (facoltativo) |
string | La proprietà created_by_ref specifica la proprietà ID dell'entità che ha creato questo oggetto. Se questo attributo viene omesso, l'origine di queste informazioni non è definita. Per gli autori di oggetti che desiderano rimanere anonimi, mantenere questo valore indefinito. |
modified (obbligatorio) |
timestamp | Vedere la sezione 3.2 per le specifiche di questa proprietà comune. |
revoked (facoltativo) |
boolean | Gli oggetti revocati non sono più considerati validi dall'autore dell'oggetto. La revoca di un oggetto è permanente; non è necessario creare versioni future dell'oggetto con questa idimpostazione.Il valore predefinito di questa proprietà è false. |
labels (facoltativo) |
Elenco di stringhe | La labels proprietà specifica un set di termini utilizzati per descrivere questo oggetto. I termini sono definiti dall'utente o dal gruppo di attendibilità. Queste etichette vengono visualizzate come tag in Microsoft Sentinel. |
confidence (facoltativo) |
integer | La confidence proprietà identifica l'attendibilità che l'autore ha nella correttezza dei dati. Il valore di attendibilità deve essere un numero compreso nell'intervallo compreso tra 0 e 100.Appendice A contiene una tabella di mapping normativi ad altre scale di attendibilità che devono essere usate quando si presenta il valore di attendibilità in una di queste scale. Se la proprietà di attendibilità non è presente, l'attendibilità del contenuto non è specificata. |
lang (facoltativo) |
string | La lang proprietà identifica la lingua del contenuto di testo in questo oggetto. Quando presente, deve essere un codice del linguaggio conforme alle RFC5646. Se la proprietà non è presente, la lingua del contenuto è en (inglese).Questa proprietà deve essere presente se il tipo di oggetto contiene proprietà di testo traducibili, ad esempio nome, descrizione. La lingua dei singoli campi in questo oggetto potrebbe eseguire l'override della lang proprietà nei contrassegni granulari (vedere la sezione 7.2.3). |
object_marking_refs (facoltativo, incluso TLP) |
Elenco di stringhe | La object_marking_refs proprietà specifica un elenco di proprietà ID di oggetti definizione di contrassegno che si applicano a questo oggetto. Ad esempio, usare l'ID definizione del contrassegno TLP (Traffic Light Protocol) per designare la riservatezza dell'origine dell'indicatore. Per informazioni dettagliate sugli ID di definizione di contrassegno da usare per il contenuto TLP, vedere la sezione 7.2.1.4In alcuni casi, anche se non comune, i contrassegni delle definizioni stessi potrebbero essere contrassegnati con indicazioni sulla condivisione o sulla gestione. In questo caso, questa proprietà non deve contenere riferimenti allo stesso oggetto Definizione di contrassegno, ovvero non può contenere riferimenti circolari. Per altre definizioni dei contrassegni dati, vedere la sezione 7.2.2 . |
external_references (facoltativo) |
elenco di oggetti | La external_references proprietà specifica un elenco di riferimenti esterni che fanno riferimento a informazioni non STIX. Questa proprietà viene usata per fornire uno o più URL, descrizioni o ID ai record in altri sistemi. |
granular_markings (facoltativo) |
elenco di contrassegni granulari | La granular_markings proprietà consente di definire parti dell'indicatore in modo diverso. Ad esempio, la lingua dell'indicatore è inglese, en ma la descrizione è tedesco, de.In alcuni casi, anche se non comune, i contrassegni delle definizioni stessi potrebbero essere contrassegnati con indicazioni sulla condivisione o sulla gestione. In questo caso, questa proprietà non deve contenere riferimenti allo stesso oggetto Definizione di contrassegno, ovvero non può contenere riferimenti circolari. Per altre definizioni dei contrassegni dati, vedere la sezione 7.2.3 . |
Per altre informazioni, vedere STIX common properties .For more information, see STIX common properties.
Indicatore
| Nome proprietà | Type | Descrizione |
|---|---|---|
name (facoltativo) |
string | Nome utilizzato per identificare l'indicatore. I produttori devono fornire questa proprietà per aiutare i prodotti e gli analisti a capire cosa fa effettivamente questo indicatore. |
description (facoltativo) |
string | Descrizione che fornisce maggiori dettagli e contesto sull'indicatore, potenzialmente includendone lo scopo e le caratteristiche principali. I produttori devono fornire questa proprietà per aiutare i prodotti e gli analisti a capire cosa fa effettivamente questo indicatore. |
indicator_types (facoltativo) |
Elenco di stringhe | Set di categorizzazioni per questo indicatore. I valori per questa proprietà devono provenire dall'indicatore-type-ov |
pattern (obbligatorio) |
string | Il modello di rilevamento per questo indicatore può essere espresso come modello STIX o un altro linguaggio appropriato, ad esempio SNORT, YARA e così via. |
pattern_type (obbligatorio) |
string | Linguaggio del modello usato in questo indicatore. Il valore di questa proprietà deve provenire dai tipi di pattern. Il valore di questa proprietà deve corrispondere al tipo di dati del criterio inclusi nella proprietà pattern. |
pattern_version (facoltativo) |
string | Versione del linguaggio del modello usato per i dati nella proprietà pattern, che deve corrispondere al tipo di dati del criterio inclusi nella proprietà pattern. Per i modelli che non hanno una specifica formale, deve essere usata la versione di compilazione o di codice con cui il modello è noto. Per il linguaggio modello STIX, la versione specifica dell'oggetto determina il valore predefinito. Per altre lingue, il valore predefinito deve essere la versione più recente del linguaggio di patterning al momento della creazione dell'oggetto. |
valid_from (obbligatorio) |
timestamp | Ora da cui questo indicatore viene considerato un indicatore valido dei comportamenti correlati a o rappresenta. |
valid_until (facoltativo) |
timestamp | Il momento in cui questo indicatore non deve più essere considerato un indicatore valido dei comportamenti a cui è correlato o rappresenta. Se la proprietà valid_until viene omessa, non esiste alcun vincolo per l'ora più recente per cui l'indicatore è valido. Questo timestamp deve essere maggiore del timestamp valid_from. |
kill_chain_phases (facoltativo) |
Elenco di stringhe | Fasi della catena di interruzione a cui corrisponde questo indicatore. Il valore di questa proprietà deve provenire dalla fase Kill Chain. |
Per altre informazioni, vedere l'indicatore STIX.
Modello di attacco
Per altre informazioni, vedere Modello di attacco STIX.
Identità
Per altre informazioni, vedere STIX Identity.For more information, see STIX identity.
Attore di minacce
Per altre informazioni, vedere l'attore di minacce STIX.
Relazione
Per altre informazioni, vedere Relazione STIX.
Elaborare il messaggio di risposta
L'intestazione della risposta contiene un codice di stato HTTP. Fare riferimento a questa tabella per altre informazioni su come interpretare il risultato della chiamata API.
| Codice di stato | Descrizione |
|---|---|
| 200 | Esito positivo. L'API restituisce 200 quando uno o più oggetti STIX vengono convalidati e pubblicati correttamente. |
| 400 | Formato non valido. Un elemento nella richiesta non è formattato correttamente. |
| 401 | Non autorizzato. |
| 404 | File non trovato. In genere questo errore si verifica quando l'ID dell'area di lavoro non viene trovato. |
| 429 | È stato superato il numero massimo di richieste in un minuto. |
| 500 | Errore del server. In genere si verifica un errore nei servizi API o Microsoft Sentinel. |
Il corpo della risposta è una matrice di messaggi di errore in formato JSON:
| Nome campo | Tipo di dati | Descrizione |
|---|---|---|
| errori | Matrice di oggetti errore | Elenco degli errori di convalida |
Oggetto Error
| Nome campo | Tipo di dati | Descrizione |
|---|---|---|
| recordIndex | int | Indice degli oggetti STIX nella richiesta |
| errorMessages | Matrice di stringhe | Messaggi di errore |
Limiti di limitazione per l'API
Tutti i limiti vengono applicati per utente:
- 100 oggetti per richiesta.
- 100 richieste al minuto.
Se sono presenti più richieste rispetto al limite, viene restituito un 429 codice di stato HTTP nell'intestazione della risposta con il corpo della risposta seguente:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
Circa 10.000 oggetti al minuto è la velocità effettiva massima prima che venga ricevuto un errore di limitazione.
Corpo della richiesta indicatore di esempio
Nell'esempio seguente viene illustrato come rappresentare due indicatori nella specifica STIX.
Test Indicator 2 evidenzia il protocollo TLP (Traffic Light Protocol) impostato su bianco con il contrassegno dell'oggetto mappato e chiarire la descrizione e le etichette sono in inglese.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Corpo della risposta di esempio con errore di convalida
Se tutti gli oggetti STIX vengono convalidati correttamente, viene restituito uno stato HTTP 200 con un corpo di risposta vuoto.
Se la convalida non riesce per uno o più oggetti, il corpo della risposta viene restituito con altre informazioni. Ad esempio, se si invia una matrice con quattro indicatori e i primi tre sono validi, ma il quarto non ha un id (campo obbligatorio), viene generata una risposta di codice di stato HTTP 200 insieme al corpo seguente:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
Gli oggetti vengono inviati come matrice, quindi inizia recordIndex da 0.
Altri esempi
Indicatore di esempio
In questo esempio, l'indicatore è contrassegnato con il TLP verde. Sono inclusi anche altri attributi di estensione di toxicity e rank . Anche se queste proprietà non si trovano nello schema di Microsoft Sentinel per gli indicatori, l'inserimento di un oggetto con queste proprietà non attiva un errore. Le proprietà non fanno semplicemente riferimento o indicizzate nell'area di lavoro.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Modello di attacco di esempio
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
Relazione di esempio con l'attore e l'identità delle minacce
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
Passaggi successivi
Per altre informazioni su come usare l'intelligence sulle minacce in Microsoft Sentinel, vedere gli articoli seguenti:
- Informazioni sull'intelligence sulle minacce
- Usare gli indicatori di minaccia
- Usare l'analisi corrispondente per rilevare le minacce
- Usare il feed di intelligence di Microsoft e abilitare il connettore dati MDTI