Udostępnij za pośrednictwem

Zbiorcze dodawanie wskaźników do analizy zagrożeń usługi Microsoft Sentinel z pliku CSV lub JSON

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym artykule dodasz wskaźniki z pliku CSV lub JSON do analizy zagrożeń usługi Microsoft Sentinel. Udostępnianie analizy zagrożeń nadal odbywa się w wiadomościach e-mail i innych kanałach nieformalnych podczas trwającego badania. Masz możliwość importowania wskaźników bezpośrednio do analizy zagrożeń usługi Microsoft Sentinel, aby umożliwić szybkie przekazywanie pojawiających się zagrożeń zespołowi. Udostępniasz zagrożenia dla innych analiz, takich jak tworzenie alertów zabezpieczeń, zdarzeń i automatycznych odpowiedzi.

Ważne

Ta funkcja jest aktualnie dostępna jako funkcja podglądu. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać więcej warunków prawnych, które dotyczą funkcji platformy Azure w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

Aby przechowywać wskaźniki zagrożeń, musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.

Wybieranie szablonu importu dla wskaźników

Dodaj wiele wskaźników do analizy zagrożeń za pomocą specjalnie spreparowanego pliku CSV lub JSON. Pobierz szablony plików, aby zapoznać się z polami i sposobem mapowania ich na posiadane dane. Przejrzyj wymagane pola dla każdego typu szablonu, aby zweryfikować dane przed ich zaimportowaniem.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Analiza zagrożeń.

    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Threat Management>Threat Intelligence.

  2. Wybierz pozycję Importuj import>przy użyciu pliku.

  3. W menu rozwijanym Format pliku wybierz pozycję CSV lub JSON.

    Zrzut ekranu przedstawiający menu rozwijane umożliwiające przekazanie pliku CSV lub pliku JSON, wybranie szablonu do pobrania i określenie źródła.

  4. Po wybraniu szablonu przekazywania zbiorczego wybierz link Pobierz szablon .

  5. Rozważ grupowanie wskaźników według źródła, ponieważ każde przekazywanie plików wymaga jednego.

Szablony zawierają wszystkie pola potrzebne do utworzenia jednego prawidłowego wskaźnika, w tym wymagane pola i parametry walidacji. Zreplikuj strukturę, aby wypełnić więcej wskaźników w jednym pliku. Aby uzyskać więcej informacji na temat szablonów, zobacz Omówienie szablonów importu.

Przekazywanie pliku wskaźnika

  1. Zmień domyślną nazwę pliku z szablonu, ale zachowaj rozszerzenie pliku jako .csv lub .json. Podczas tworzenia unikatowej nazwy pliku łatwiej jest monitorować importy z okienka Zarządzanie importowaniem plików.

  2. Przeciągnij plik wskaźników do sekcji Przekaż plik lub wyszukaj plik przy użyciu linku.

  3. Wprowadź źródło wskaźników w polu tekstowym Źródło . Ta wartość jest oznaczana wszystkimi wskaźnikami zawartymi w tym pliku. Wyświetl tę właściwość jako SourceSystem pole. Źródło jest również wyświetlane w okienku Zarządzanie importowaniem plików. Aby uzyskać więcej informacji, zobacz Praca ze wskaźnikami zagrożeń.

  4. Wybierz sposób obsługi nieprawidłowych wpisów wskaźnika przez usługę Microsoft Sentinel, wybierając jeden z przycisków w dolnej części okienka Importuj przy użyciu pliku :

    • Zaimportuj tylko prawidłowe wskaźniki i pozostaw wszelkie nieprawidłowe wskaźniki z pliku.
    • Nie importuj żadnych wskaźników, jeśli pojedynczy wskaźnik w pliku jest nieprawidłowy.

    Zrzut ekranu przedstawiający menu rozwijane umożliwiające przekazanie pliku CSV lub pliku JSON, wybranie szablonu i określenie źródła z wyróżnionym przyciskiem Importuj.

  5. Wybierz Importuj.

Zarządzanie importami plików

Monitoruj importy i wyświetlaj raporty o błędach dotyczące częściowo zaimportowanych lub nieudanych importów.

  1. Wybierz pozycję Importuj zarządzaj>importami plików.

    Zrzut ekranu przedstawiający opcję menu do zarządzania importami plików.

  2. Przejrzyj stan zaimportowanych plików i liczbę nieprawidłowych wpisów wskaźnika. Prawidłowa liczba wskaźników jest aktualizowana po przetworzeniu pliku. Poczekaj na zakończenie importowania, aby uzyskać zaktualizowaną liczbę prawidłowych wskaźników.

    Zrzut ekranu przedstawiający okienko Zarządzanie importowaniem plików z przykładowymi danymi pozyskiwania. Kolumny pokazują posortowane według zaimportowanej liczby z różnymi źródłami.

  3. Wyświetl i sortuj importy, wybierając pozycję Źródło, nazwę pliku wskaźnika, liczbę zaimportowaną, łączną liczbę wskaźników w każdym pliku lub datę utworzenia.

  4. Wybierz podgląd pliku błędu lub pobierz plik błędu zawierający błędy dotyczące nieprawidłowych wskaźników.

Usługa Microsoft Sentinel utrzymuje stan importowania plików przez 30 dni. Rzeczywisty plik i skojarzony plik błędu są przechowywane w systemie przez 24 godziny. Po upływie 24 godzin plik i plik błędu zostaną usunięte, ale wszystkie pozyskane wskaźniki będą nadal pokazywane w analizie zagrożeń.

Omówienie szablonów importu

Przejrzyj każdy szablon, aby upewnić się, że wskaźniki zostały pomyślnie zaimportowane. Pamiętaj, aby zapoznać się z instrukcjami w pliku szablonu i poniższymi dodatkowymi wskazówkami.

Struktura szablonu CSV

  1. Z menu rozwijanego Typ wskaźnika wybierz pozycję CSV. Następnie wybierz spośród opcji Wskaźniki pliku lub Wszystkie inne typy wskaźników.

    Szablon CSV wymaga wielu kolumn, aby uwzględnić typ wskaźnika pliku, ponieważ wskaźniki plików mogą mieć wiele typów skrótów, takich jak MD5 i SHA256. Wszystkie inne typy wskaźników, takie jak adresy IP, wymagają tylko obserwowanego typu i zauważalnej wartości.

  2. Nagłówki kolumn dla szablonu CSV Wszystkie inne typy wskaźników zawierają pola, takie jak threatTypes, pojedynczy lub wielokrotny tags, confidencei tlpLevel. Traffic Light Protocol (TLP) to oznaczenie poufności ułatwiające podejmowanie decyzji dotyczących udostępniania analizy zagrożeń.

  3. validFromWymagane są tylko pola , observableTypei observableValue .

  4. Usuń cały pierwszy wiersz z szablonu, aby usunąć komentarze przed przekazaniem.

    Maksymalny rozmiar pliku do importowania pliku CSV wynosi 50 MB.

Oto przykładowy wskaźnik nazwy domeny, który używa szablonu CSV:

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

Struktura szablonu JSON

  1. Istnieje tylko jeden szablon JSON dla wszystkich typów wskaźników. Szablon JSON jest oparty na formacie STIX 2.1.

  2. Element obsługuje typy wskaźników , , ipv4-addrurldomain-nameipv6-addr, user-account, email-addri .windows-registry-keyfilepattern

  3. Usuń komentarze szablonu przed przekazaniem.

  4. Zamknij ostatni wskaźnik w tablicy przy użyciu } przecinka bez przecinka.

    Maksymalny rozmiar pliku do importowania pliku JSON wynosi 250 MB.

Oto przykładowy ipv4-addr wskaźnik, który używa szablonu JSON:

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

Powiązana zawartość

W tym artykule przedstawiono sposób ręcznego wzmocnienia analizy zagrożeń przez zaimportowanie wskaźników zebranych w plikach prostych. Aby dowiedzieć się więcej o tym, jak wskaźniki zasilają inne analizy w usłudze Microsoft Sentinel, zobacz następujące artykuły: