次の方法で共有

CSV または JSON ファイルから Microsoft Sentinel に脅威インテリジェンスを一括で追加する

  • [アーティクル]
  • 適用対象:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

この記事では、JSON ファイルの CSV または STIX オブジェクトからインジケーターを Microsoft Sentinel 脅威インテリジェンスに追加する方法を説明します。 脅威インテリジェンスの共有は、調査の進行中もメールやその他の非公式チャネルを通じて行われるため、その情報を Microsoft Sentinel に迅速にインポートする機能は、新たな脅威をチームに伝えるために重要です。 これらの特定された脅威は、セキュリティ アラート、インシデント、自動応答の生成など、他の分析を強化するために使用できます。

重要

現在、この機能はプレビュー段階にあります。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項について詳しくは、「Microsoft Azure プレビューの追加の使用条件」を参照してください。

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Defender XDR または E5 ライセンスなしで Microsoft Sentinel を Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

前提条件

脅威インテリジェンスを保存するには、Microsoft Sentinel ワークスペースに対する読み取りおよび書き込みアクセス許可が必要です。

脅威インテリジェンスのインポート テンプレートを選択する

特別に作成された CSV または JSON ファイルを使用して、複数の脅威インテリジェンス オブジェクトを追加します。 ファイル テンプレートをダウンロードして、フィールドとそのデータへのマッピング方法を理解します。 インポートする前に、各テンプレートの種類に必要なフィールドを確認してデータを検証します。

  1. Azure portal の Microsoft Sentinel では、[脅威の管理] で、[脅威インテリジェンス] を選びます。

    Defender ポータルの Microsoft Sentinel では、[Microsoft Sentinel]>[脅威の管理]>[脅威インテリジェンス] を選択します。

  2. ファイルを使用してインポートインポート>を選択します。

  3. [ファイル形式] ドロップダウン メニューで、[CSV] または [JSON] を選択します。

    CSV または JSON ファイルをアップロードし、ダウンロードするテンプレートを選択し、ソースを指定するためのドロップダウン メニューを示すスクリーンショット。

    Note

    CSV テンプレートはインジケーターのみをサポートします。 JSON テンプレートは、インジケーターと、脅威アクター、攻撃パターン、ID、リレーションシップなどの他の STIX オブジェクトをサポートします。 サポートされている STIX オブジェクトを JSON で作成する方法の詳細については、「Upload API リファレンス」を参照してください。

  4. 一括アップロード テンプレートを選択したら、[テンプレートのダウンロード] リンクを選択します。

  5. 脅威インテリジェンスは、各ファイルのアップロードに必要なので、ソース別にグループ化することを検討してください。

テンプレートには、必要なフィールドや検証パラメーターなど、1 つの有効なインジケーターを作成するために必要なすべてのフィールドが用意されています。 その構造を複製して、1 つのファイルに追加のインジケーターを設定するか、STIX オブジェクトを JSON ファイルに追加します。 テンプレートの詳細については、 インポート テンプレートを理解するを参照してください。

脅威インテリジェンス ファイルをアップロードする

  1. テンプレートの既定値からファイル名を変更しますが、ファイル拡張子は .csv または .json のままにします。 一意のファイル名を作成すると、[ファイルのインポートの管理] ペインからインポートをモニタリングするのが簡単になります。

  2. 脅威インテリジェンス ファイルを [ファイルのアップロード] セクションにドラッグするか、リンクを使用してファイルを参照します。

  3. ソース テキスト ボックスに脅威インテリジェンスのソースを入力します。 この値は、そのファイルに含まれるすべてのインジケーターにスタンプされます。 このプロパティは SourceSystem フィールドと見なしてください。 ソースは、[ファイルのインポートの管理] ペインにも表示されます。 詳細については、脅威インジケーターの操作に関するページを参照してください。

  4. [ファイルを使用してインポート] ペインの下部にあるボタンのいずれかを選択して、Microsoft Sentinel で無効なエントリを処理する方法を選択します。

    • 有効なエントリのみをインポートし、無効なエントリをファイルから取り除きます。
    • ファイル内の 1 つのエントリが無効な場合は、エントリをインポートしないでください。

    CSV または JSON ファイルをアップロードし、テンプレートを選択し、ソースを指定するためのドロップダウン メニューを示し、[インポート] ボタンが強調表示されているスクリーンショット。

  5. インポート を選択します。

ファイルのインポートを管理する

インポートをモニタリングし、部分的にインポートされ、または失敗したインポートのエラー レポートを表示します。

  1. [ファイルのインポートの管理のインポート]> を選択します。

    ファイルのインポートを管理するためのメニュー オプションを示すスクリーンショット。

  2. インポートされたファイルの状態と無効なエントリの数をレビューします。 ファイルが処理されると、有効なエントリの数が更新されます。 インポートが完了するまで待機して、更新された有効なエントリの数を取得します。

    インジェスト データの例が含まれる [ファイルのインポートの管理] ペインを示すスクリーンショット。列は、さまざまなソースのインポートされた数で並べ替えられて表示されます。

  3. [ソース]、脅威インテリジェンス ファイルの [名前][インポート済み] の数、各ファイル内のエントリの [合計] 数、または [作成日] の日付を選択して、インポートを表示および並べ替えます。

  4. エラー ファイルのプレビューを選択するか、無効なエントリに関するエラーを含むエラー ファイルをダウンロードします。

Microsoft Sentinel は、ファイルのインポートの状態を 30 日間保持します。 実際のファイルと関連するエラー ファイルは、システム内で 24 時間保持されます。 24 時間後、ファイルとエラー ファイルは削除されますが、取り込まれたインジケーターは脅威インテリジェンスに引き続き表示されます。

インポート テンプレートを理解する

各テンプレートを確認して、脅威インテリジェンスが正常にインポートされていることを確認します。 テンプレート ファイルの手順と、以下の補足ガイダンスを参照してください。

CSV テンプレートの構造

  1. [インジケーターの種類] ドロップダウン メニューで、[CSV] を選択します。 次に、[ファイル インジケーター] または [その他すべてのインジケーターの種類] オプションを選択します。

    ファイル インジケーターには MD5 や SHA256 などの複数のハッシュの種類があるため、CSV テンプレートにはファイル インジケーターの種類に対応するために複数の列が必要です。 IP アドレスなどの他のすべてのインジケーター型では、監視可能な型と監視可能な値のみが必要です。

  2. CSV の他のすべてのインジケーター型テンプレートの列見出しにはthreatTypes、単一または複数tagsconfidence、およびtlpLevel。 Traffic Light Protocol (TLP) は、脅威インテリジェンス共有に関する決定を行う際に役立つ機密度の指定です。

  3. 必須フィールドは、validFromobservableTypeobservableValue のみです。

  4. 最初の行全体をテンプレートから削除して、アップロード前にコメントを削除します。

    CSV ファイルのインポートの最大ファイル サイズは 50 MB です。

CSV テンプレートを使用するドメイン名インジケーターの例を次に示します。

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

JSON テンプレートの構造

  1. すべての STIX オブジェクトの種類に対して JSON テンプレートは 1 つだけです。 JSON テンプレートは、STIX 2.1 形式に基づいています。

  2. type 要素は、indicatorattack-patternidentitythreat-actorrelationship をサポートします。

  3. インジケーターの場合、pattern 要素は、fileipv4-addripv6-addrdomain-nameurluser-accountemail-addrwindows-registry-key のインジケーターの種類をサポートします。

  4. アップロードする前にテンプレートのコメントを削除します。

  5. コンマなしで } を使用して、配列内の最後のオブジェクトを閉じます。

    JSON ファイルのインポートの最大ファイル サイズは 250 MB です。

JSON ファイル形式を使用した ipv4-addr インジケーターと attack-pattern の例を次に示します。

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
        "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    },
    {
        "type": "attack-pattern",
        "spec_version": "2.1",
        "id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
        "created": "2015-05-15T09:12:16.432Z",
        "modified": "2015-05-20T09:12:16.432Z",
        "created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
        "revoked": false,
        "labels": [
            "heartbleed",
            "has-logo"
        ],
        "confidence": 55,
        "lang": "en",
        "object_marking_refs": [
            "marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
        ],
        "granular_markings": [
            {
                "marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
                "selectors": [
                    "description",
                    "labels"
                ],
                "lang": "en"
            }
        ],
        "extensions": {
            "extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
                "extension_type": "property-extension",
                "rank": 5,
                "toxicity": 8
            }
        },
        "external_references": [
            {
                "source_name": "capec",
                "description": "spear phishing",
                "external_id": "CAPEC-163"
            }
        ],
        "name": "Attack Pattern 2.1",
        "description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
        "kill_chain_phases": [
            {
                "kill_chain_name": "mandiant-attack-lifecycle-model",
                "phase_name": "initial-compromise"
            }
        ],
        "aliases": [
            "alias_1",
            "alias_2"
        ]
    }
]

関連するコンテンツ

この記事では、フラット ファイルに収集されたインジケーターやその他の STIX オブジェクトをインポートして、脅威インテリジェンスを手動で強化する方法について説明しました。 脅威インテリジェンスが Microsoft Sentinel の他の分析にどのように役立つかの詳細については、次の記事を参照してください。