Bedreigingsinformatie importeren in Microsoft Sentinel met de upload-API (preview)
Importeer bedreigingsinformatie voor gebruik in Microsoft Sentinel met de upload-API. Of u nu een bedreigingsinformatieplatform of een aangepaste toepassing gebruikt, gebruik dit document als aanvullende verwijzing naar de instructies in Uw TIP verbinden met de upload-API. Het installeren van de gegevensconnector is niet vereist om verbinding te maken met de API. De bedreigingsinformatie die u kunt importeren, bevat indicatoren van inbreuk en andere STIX-domeinobjecten.
Belangrijk
Deze API is momenteel in PREVIEW. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Structured Threat Information Expression (STIX) is een taal voor het uitdrukken van cyberbedreigingen en waarneembare informatie. Verbeterde ondersteuning voor de volgende domeinobjecten is opgenomen in de upload-API:
- indicator
- aanvalspatroon
- bedreigingsacteur
- identity
- relatie
Zie Inleiding tot STIX voor meer informatie.
Notitie
De VORIGE API voor uploadindicatoren is nu verouderd. Als u naar die API wilt verwijzen tijdens de overgang naar deze nieuwe upload-API, raadpleegt u de API voor verouderde uploadindicatoren.
De API aanroepen
Een aanroep van de upload-API heeft vijf onderdelen:
- De aanvraag-URI
- Berichtheader http-aanvraag
- Hoofdtekst van HTTP-aanvraagbericht
- De header van het HTTP-antwoordbericht optioneel verwerken
- Eventueel de hoofdtekst van het HTTP-antwoordbericht verwerken
Uw clienttoepassing registreren bij Microsoft Entra-id
Voor verificatie bij Microsoft Sentinel is voor de aanvraag voor de upload-API een geldig Microsoft Entra-toegangstoken vereist. Zie Een toepassing registreren bij het Microsoft Identity Platform voor meer informatie over toepassingsregistratie of de basisstappen bekijken als onderdeel van bedreigingsinformatie verbinden met het instellen van de upload-API .
Voor deze API moet de aanroepende Microsoft Entra-toepassing de rol Microsoft Sentinel-inzender op werkruimteniveau worden verleend.
De aanvraag maken
In deze sectie worden de eerste drie van de vijf eerder besproken onderdelen behandeld. U moet eerst het toegangstoken verkrijgen van Microsoft Entra-id, die u gebruikt om de berichtkop van uw aanvraag samen te stellen.
Een toegangstoken verkrijgen
Een Microsoft Entra-toegangstoken verkrijgen met OAuth 2.0-verificatie. V1.0 en V2.0 zijn geldige tokens die door de API worden geaccepteerd.
De versie van het token (v1.0 of v2.0) die wordt ontvangen, wordt bepaald door de accessTokenAcceptedVersion eigenschap in het app-manifest van de API die uw toepassing aanroept. Als accessTokenAcceptedVersion dit is ingesteld op 1, ontvangt uw toepassing een v1.0-token.
Gebruik Microsoft Authentication Library (MSAL) om een v1.0- of v2.0-toegangstoken te verkrijgen. Of verzend aanvragen naar de REST API in de volgende indeling:
- VERZENDEN
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token - Headers voor het gebruik van Microsoft Entra App:
- grant_type: "client_credentials"
- client_id: {Client-id van Microsoft Entra App}
- client_secret: {geheim van Microsoft Entra App}
- draagwijdte:
"https://management.azure.com/.default"
Als accessTokenAcceptedVersion in het app-manifest is ingesteld op 1, ontvangt uw toepassing een v1.0-toegangstoken, ook al wordt het v2-tokeneindpunt aangeroepen.
De waarde van de resource/het bereik is de doelgroep van het token. Deze API accepteert alleen de volgende doelgroepen:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
Het aanvraagbericht samenstellen
Aanvraag-URI
API-versiebeheer: api-version=2024-02-01-preview
Eindpunt: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
Methode: POST
Aanvraagheader
Authorization: Bevat het OAuth2 bearer-token
Content-Type: application/json
Aanvraagtekst
Het JSON-object voor de hoofdtekst bevat de volgende velden:
| Veldnaam | Gegevenstype | Beschrijving |
|---|---|---|
sourcesystem (vereist) |
tekenreeks | Identificeer de naam van uw bronsysteem. De waarde Microsoft Sentinel is beperkt. |
stixobjects (vereist) |
matrix | Een matrix van STIX-objecten in STIX 2.0- of 2.1-indeling |
Maak de matrix van STIX-objecten met behulp van de STIX-indelingsspecificatie. Enkele van de specificaties van de STIX-eigenschappen worden hier uitgebreid voor uw gemak met koppelingen naar de relevante STIX-documentsecties. Let ook op sommige eigenschappen, terwijl deze geldig zijn voor STIX, geen overeenkomende objectschema-eigenschappen hebben in Microsoft Sentinel.
Gemeenschappelijke eigenschappen
Alle objecten die u importeert met de upload-API, delen deze algemene eigenschappen.
| Eigenschapsnaam | Type | Description |
|---|---|---|
id (vereist) |
tekenreeks | Een id die wordt gebruikt om het STIX-object te identificeren. Zie sectie 2.9 voor specificaties over het maken van een id. De indeling ziet er ongeveer als volgt uit indicator--<UUID> |
spec_version (optioneel) |
tekenreeks | STIX-objectversie. Deze waarde is vereist in de STIX-specificatie, maar omdat deze API alleen STIX 2.0 en 2.1 ondersteunt wanneer dit veld niet is ingesteld, wordt de API standaard ingesteld op 2.1 |
type (vereist) |
tekenreeks | De waarde van deze eigenschap moet een ondersteund STIX-object zijn. |
created (vereist) |
timestamp | Zie sectie 3.2 voor specificaties van deze gemeenschappelijke eigenschap. |
created_by_ref (optioneel) |
tekenreeks | De eigenschap created_by_ref geeft de id-eigenschap op van de entiteit die dit object heeft gemaakt. Als dit kenmerk wordt weggelaten, is de bron van deze informatie niet gedefinieerd. Houd deze waarde niet gedefinieerd voor objectmakers die anoniem willen blijven. |
modified (vereist) |
timestamp | Zie sectie 3.2 voor specificaties van deze gemeenschappelijke eigenschap. |
revoked (optioneel) |
boolean | Ingetrokken objecten worden niet langer als geldig beschouwd door de maker van het object. Het intrekken van een object is permanent; toekomstige versies van het object met dit idobject mogen niet worden gemaakt.De standaardwaarde van deze eigenschap is onwaar. |
labels (optioneel) |
lijst met tekenreeksen | De labels eigenschap geeft een set termen op die worden gebruikt om dit object te beschrijven. De termen zijn door de gebruiker gedefinieerd of vertrouwensgroep gedefinieerd. Deze labels worden weergegeven als tags in Microsoft Sentinel. |
confidence (optioneel) |
geheel getal | De confidence eigenschap identificeert het vertrouwen dat de maker heeft in de juistheid van de gegevens. De betrouwbaarheidswaarde moet een getal in het bereik van 0-100 zijn.Bijlage A bevat een tabel met normatieve toewijzingen aan andere betrouwbaarheidsschalen die moeten worden gebruikt bij het presenteren van de betrouwbaarheidswaarde in een van deze schalen. Als de betrouwbaarheidseigenschap niet aanwezig is, wordt het vertrouwen van de inhoud niet opgegeven. |
lang (optioneel) |
tekenreeks | De lang eigenschap identificeert de taal van de tekstinhoud in dit object. Wanneer deze aanwezig is, moet het een taalcode zijn die voldoet aan RFC5646. Als de eigenschap niet aanwezig is, is en de taal van de inhoud (Engels).Deze eigenschap moet aanwezig zijn als het objecttype vertaalbare teksteigenschappen bevat (bijvoorbeeld naam, beschrijving). De taal van afzonderlijke velden in dit object kan de lang eigenschap in gedetailleerde markeringen overschrijven (zie sectie 7.2.3). |
object_marking_refs (optioneel, inclusief TLP) |
lijst met tekenreeksen | De object_marking_refs eigenschap geeft een lijst met id-eigenschappen op van markeringsdefinitieobjecten die van toepassing zijn op dit object. Gebruik bijvoorbeeld de definitie-id voor het markeren van het Traffic Light Protocol (TLP) om de gevoeligheid van de indicatorbron aan te wijzen. Zie sectie 7.2.1.4 voor meer informatie over welke markeringsdefinitie-id's moeten worden gebruikt voor TLP-inhoudIn sommige gevallen, hoewel ongebruikelijk, kunnen markeringsdefinities zelf worden gemarkeerd met richtlijnen voor delen of afhandelen. In dit geval mag deze eigenschap geen verwijzingen naar hetzelfde object Markeringsdefinitie bevatten (dat wil gezegd, het mag geen kringverwijzingen bevatten). Zie sectie 7.2.2 voor een verdere definitie van gegevensmarkeringen. |
external_references (optioneel) |
lijst met objecten | De external_references eigenschap geeft een lijst met externe verwijzingen op die verwijst naar niet-STIX-informatie. Deze eigenschap wordt gebruikt voor het opgeven van een of meer URL's, beschrijvingen of id's voor records in andere systemen. |
granular_markings (optioneel) |
lijst met gedetailleerde markeringen | De granular_markings eigenschap helpt bij het anders definiëren van onderdelen van de indicator. De indicatortaal is bijvoorbeeld Engels, en maar de beschrijving is Duits. deIn sommige gevallen, hoewel ongebruikelijk, kunnen markeringsdefinities zelf worden gemarkeerd met richtlijnen voor delen of afhandelen. In dit geval mag deze eigenschap geen verwijzingen naar hetzelfde object Markeringsdefinitie bevatten (dat wil gezegd, het mag geen kringverwijzingen bevatten). Zie sectie 7.2.3 voor verdere definitie van gegevensmarkeringen. |
Zie algemene EIGENSCHAPPEN van STIX voor meer informatie.
Indicator
| Eigenschapsnaam | Type | Description |
|---|---|---|
name (optioneel) |
tekenreeks | Een naam die wordt gebruikt om de indicator te identificeren. Producenten moeten deze eigenschap verstrekken om producten en analisten te helpen begrijpen wat deze indicator daadwerkelijk doet. |
description (optioneel) |
tekenreeks | Een beschrijving die meer details en context biedt over de indicator, mogelijk inclusief het doel en de belangrijkste kenmerken ervan. Producenten moeten deze eigenschap verstrekken om producten en analisten te helpen begrijpen wat deze indicator daadwerkelijk doet. |
indicator_types (optioneel) |
lijst met tekenreeksen | Een set categorisaties voor deze indicator. De waarden voor deze eigenschap moeten afkomstig zijn van het indicatortype-ov |
pattern (vereist) |
tekenreeks | Het detectiepatroon voor deze indicator kan worden uitgedrukt als STIX-patroon of een andere geschikte taal, zoals SNORT, YARA, enzovoort. |
pattern_type (vereist) |
tekenreeks | De patroontaal die in deze indicator wordt gebruikt. De waarde voor deze eigenschap moet afkomstig zijn van patroontypen. De waarde van deze eigenschap moet overeenkomen met het type patroongegevens dat is opgenomen in de patrooneigenschap. |
pattern_version (optioneel) |
tekenreeks | De versie van de patroontaal die wordt gebruikt voor de gegevens in de patrooneigenschap, die moet overeenkomen met het type patroongegevens dat is opgenomen in de patrooneigenschap. Voor patronen die geen formele specificatie hebben, moet de build- of codeversie waarmee het patroon werkt, worden gebruikt. Voor de STIX-patroontaal bepaalt de specificatieversie van het object de standaardwaarde. Voor andere talen moet de standaardwaarde de meest recente versie van de patroontaal zijn op het moment dat dit object is gemaakt. |
valid_from (vereist) |
timestamp | De tijd van waaruit deze indicator wordt beschouwd als een geldige indicator van het gedrag dat aan of vertegenwoordigt. |
valid_until (optioneel) |
timestamp | Het tijdstip waarop deze indicator niet langer als een geldige indicator moet worden beschouwd van het gedrag dat aan of vertegenwoordigt. Als de eigenschap valid_until wordt weggelaten, is er geen beperking voor de laatste tijd waarvoor de indicator geldig is. Deze tijdstempel moet groter zijn dan de valid_from tijdstempel. |
kill_chain_phases (optioneel) |
lijst met tekenreeksen | De kill chain-fasen waarop deze indicator overeenkomt. De waarde voor deze eigenschap moet afkomstig zijn van de Kill Chain-fase. |
Zie STIX-indicator voor meer informatie.
Aanvalspatroon
Zie STIX-aanvalspatroon voor meer informatie.
Identiteit
Zie STIX-identiteit voor meer informatie.
Bedreigingsacteur
Zie STIX-bedreigingsacteur voor meer informatie.
Relatie
Zie STIX-relatie voor meer informatie.
Het antwoordbericht verwerken
De antwoordheader bevat een HTTP-statuscode. Raadpleeg deze tabel voor meer informatie over het interpreteren van het resultaat van de API-aanroep.
| Statuscode | Beschrijving |
|---|---|
| 200 | Geslaagd. De API retourneert 200 wanneer een of meer STIX-objecten zijn gevalideerd en gepubliceerd. |
| 400 | Ongeldige indeling. Iets in de aanvraag is niet juist opgemaakt. |
| 401 | Onbevoegd. |
| 404 | Het bestand is niet gevonden. Deze fout treedt meestal op wanneer de werkruimte-id niet wordt gevonden. |
| 429 | Het maximum aantal aanvragen in een minuut is overschreden. |
| 500 | Serverfout. Meestal een fout in de API- of Microsoft Sentinel-services. |
De hoofdtekst van het antwoord is een matrix met foutberichten in JSON-indeling:
| Veldnaam | Gegevenstype | Beschrijving |
|---|---|---|
| fouten | Matrix met foutobjecten | Lijst met validatiefouten |
Foutobject
| Veldnaam | Gegevenstype | Beschrijving |
|---|---|---|
| recordIndex | int | Index van de STIX-objecten in de aanvraag |
| errorMessages | Matrix tekenreeksen | Foutberichten |
Beperkingslimieten voor de API
Alle limieten worden per gebruiker toegepast:
- 100 objecten per aanvraag.
- 100 aanvragen per minuut.
Als er meer aanvragen zijn dan de limiet, wordt er een 429 HTTP-statuscode in de antwoordheader geretourneerd met de volgende antwoordtekst:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
Ongeveer 10.000 objecten per minuut is de maximale doorvoer voordat een beperkingsfout wordt ontvangen.
Voorbeeld van aanvraagtekst voor indicator
In het volgende voorbeeld ziet u hoe u twee indicatoren in de STIX-specificatie weergeeft.
Test Indicator 2 markeert het Traffic Light Protocol (TLP) dat is ingesteld op wit met de toegewezen objectmarkering en dat de beschrijving en labels ervan in het Engels worden verduidelijkt.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Voorbeeldtekst van antwoord met validatiefout
Als alle STIX-objecten zijn gevalideerd, wordt een HTTP 200-status geretourneerd met een lege antwoordtekst.
Als de validatie mislukt voor een of meer objecten, wordt de hoofdtekst van het antwoord geretourneerd met meer informatie. Als u bijvoorbeeld een matrix met vier indicatoren verzendt en de eerste drie goed zijn, maar de vierde geen (vereist veld) heeft id , wordt een HTTP-statuscode 200-antwoord gegenereerd, samen met de volgende hoofdtekst:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
De objecten worden verzonden als een matrix, dus begint bij recordIndex0.
Andere voorbeelden
Voorbeeldindicator
In dit voorbeeld wordt de indicator gemarkeerd met de groene TLP. Meer uitbreidingskenmerken van toxicity en rank zijn ook opgenomen. Hoewel deze eigenschappen zich niet in het Microsoft Sentinel-schema voor indicatoren bevinden, activeert het opnemen van een object met deze eigenschappen geen fout. In de werkruimte worden simpelweg niet naar de eigenschappen verwezen of geïndexeerd.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Voorbeeld van aanvalspatroon
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
Voorbeeldrelatie met bedreigingsacteur en identiteit
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
Volgende stappen
Zie de volgende artikelen voor meer informatie over het werken met bedreigingsinformatie in Microsoft Sentinel:
- Informatie over bedreigingsinformatie
- Werken met bedreigingsindicatoren
- Overeenkomende analyses gebruiken om bedreigingen te detecteren
- De intelligence-feed van Microsoft gebruiken en MDTI-gegevensconnector inschakelen