Importowanie analizy zagrożeń do usługi Microsoft Sentinel przy użyciu interfejsu API przekazywania (wersja zapoznawcza)
Zaimportuj analizę zagrożeń do użycia w usłudze Microsoft Sentinel przy użyciu interfejsu API przekazywania. Niezależnie od tego, czy używasz platformy analizy zagrożeń, czy aplikacji niestandardowej, użyj tego dokumentu jako dodatkowego odwołania do instrukcji w temacie Łączenie porady z interfejsem API przekazywania. Instalowanie łącznika danych nie jest wymagane do nawiązania połączenia z interfejsem API. Analiza zagrożeń, którą można zaimportować, obejmuje wskaźniki naruszenia zabezpieczeń i innych obiektów domeny STIX.
Ważne
Ten interfejs API jest obecnie w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Ustrukturyzowane wyrażenie informacji o zagrożeniach (STIX) to język do wyrażania zagrożeń cybernetycznych i obserwowanych informacji. Rozszerzona obsługa następujących obiektów domeny jest dołączona do interfejsu API przekazywania:
- wskaźnik
- wzorzec ataku
- aktor zagrożeń
- tożsamości
- relacja
Aby uzyskać więcej informacji, zobacz Wprowadzenie do systemu STIX.
Uwaga
Poprzedni interfejs API wskaźników przekazywania jest teraz starszy. Jeśli musisz odwołać się do tego interfejsu API podczas przechodzenia do tego nowego interfejsu API przekazywania, zobacz Interfejs API starszych wskaźników przekazywania.
Wywołaj interfejs API
Wywołanie interfejsu API przekazywania ma pięć składników:
- Identyfikator URI żądania
- Nagłówek komunikatu żądania HTTP
- Treść komunikatu żądania HTTP
- Opcjonalnie przetwórz nagłówek komunikatu odpowiedzi HTTP
- Opcjonalnie przetwórz treść komunikatu odpowiedzi HTTP
Rejestrowanie aplikacji klienckiej przy użyciu identyfikatora Entra firmy Microsoft
Aby uwierzytelnić się w usłudze Microsoft Sentinel, żądanie do interfejsu API przekazywania wymaga prawidłowego tokenu dostępu firmy Microsoft Entra. Aby uzyskać więcej informacji na temat rejestracji aplikacji, zobacz Rejestrowanie aplikacji przy użyciu Platforma tożsamości Microsoft lub zapoznaj się z podstawowymi krokami w ramach konfigurowania funkcji Connect threat intelligence with upload API (Łączenie analizy zagrożeń z konfiguracją interfejsu API przekazywania).
Ten interfejs API wymaga przyznania aplikacji Microsoft Entra roli współautora usługi Microsoft Sentinel na poziomie obszaru roboczego.
Tworzenie żądania
W tej sekcji omówiono pierwsze trzy z pięciu omówionych wcześniej składników. Najpierw musisz uzyskać token dostępu z identyfikatora Entra firmy Microsoft, który służy do tworzenia nagłówka komunikatu żądania.
Uzyskiwanie tokenu dostępu
Uzyskaj token dostępu firmy Microsoft Entra przy użyciu uwierzytelniania OAuth 2.0. 1.0 i V2.0 są prawidłowymi tokenami akceptowanymi przez interfejs API.
Wersja odebranego tokenu (wersja 1.0 lub wersja 2.0) jest określana przez accessTokenAcceptedVersion właściwość w manifeście aplikacji interfejsu API wywoływanego przez aplikację. Jeśli accessTokenAcceptedVersion ustawiono wartość 1, aplikacja otrzyma token w wersji 1.0.
Użyj biblioteki Microsoft Authentication Library (MSAL), aby uzyskać token dostępu w wersji 1.0 lub 2.0. Możesz też wysłać żądania do interfejsu API REST w następującym formacie:
- POST
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token - Nagłówki do korzystania z aplikacji Microsoft Entra:
- grant_type: "client_credentials"
- client_id: {Identyfikator klienta aplikacji Microsoft Entra App}
- client_secret: {secret of Microsoft Entra App}
- zakres:
"https://management.azure.com/.default"
Jeśli accessTokenAcceptedVersion w manifeście aplikacji ustawiono wartość 1, aplikacja otrzymuje token dostępu w wersji 1.0, mimo że wywołuje punkt końcowy tokenu w wersji 2.
Wartość zasobu/zakresu jest odbiorcą tokenu. Ten interfejs API akceptuje tylko następujące grupy odbiorców:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
Zmontuj komunikat żądania
Identyfikator URI żądania
Przechowywanie wersji interfejsu API: api-version=2024-02-01-preview
Punkt końcowy: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
Metoda: POST
Nagłówek żądania
Authorization: zawiera token elementu nośnego OAuth2
Content-Type: application/json
Treść żądania
Obiekt JSON treści zawiera następujące pola:
| Nazwa pola | Typ danych | opis |
|---|---|---|
sourcesystem (wymagane) |
string | Zidentyfikuj nazwę systemu źródłowego. Wartość Microsoft Sentinel jest ograniczona. |
stixobjects (wymagane) |
tablica | Tablica obiektów STIX w formacie STIX 2.0 lub 2.1 |
Utwórz tablicę obiektów STIX przy użyciu specyfikacji formatu STIX. Niektóre specyfikacje właściwości STIX zostały tutaj rozwinięte w celu ułatwienia pracy z linkami do odpowiednich sekcji dokumentów STIX. Zwróć również uwagę na niektóre właściwości, chociaż są prawidłowe dla systemu STIX, nie mają odpowiednich właściwości schematu obiektu w usłudze Microsoft Sentinel.
Wspólne właściwości
Wszystkie obiekty importowane za pomocą interfejsu API przekazywania współdzielą te wspólne właściwości.
| Nazwa właściwości | Typ | Opis |
|---|---|---|
id (wymagane) |
string | Identyfikator używany do identyfikowania obiektu STIX. Zobacz sekcję 2.9 , aby uzyskać informacje o sposobie tworzenia elementu id. Format wygląda mniej więcej tak: indicator--<UUID> |
spec_version (opcjonalny) |
string | Wersja obiektu STIX. Ta wartość jest wymagana w specyfikacji STIX, ale ponieważ ten interfejs API obsługuje tylko pliki STIX 2.0 i 2.1, jeśli to pole nie jest ustawione, wartość domyślna interfejsu API to 2.1 |
type (wymagane) |
string | Wartość tej właściwości musi być obsługiwanym obiektem STIX. |
created (wymagane) |
timestamp | Zobacz sekcję 3.2 , aby uzyskać informacje o specyfikacji tej wspólnej właściwości. |
created_by_ref (opcjonalny) |
string | Właściwość created_by_ref określa właściwość ID jednostki, która utworzyła ten obiekt. Jeśli ten atrybut zostanie pominięty, źródło tych informacji jest niezdefiniowane. W przypadku twórców obiektów, którzy chcą pozostać anonimowi, zachowaj tę wartość jako niezdefiniowaną. |
modified (wymagane) |
timestamp | Zobacz sekcję 3.2 , aby uzyskać informacje o specyfikacji tej wspólnej właściwości. |
revoked (opcjonalny) |
boolean | Odwołane obiekty nie są już uznawane za prawidłowe przez twórcę obiektu. Odwołowanie obiektu jest trwałe; nie można utworzyć przyszłych wersji obiektu id.Wartość domyślna tej właściwości to false. |
labels (opcjonalny) |
lista ciągów | Właściwość labels określa zestaw terminów używanych do opisywania tego obiektu. Terminy są definiowane przez użytkownika lub grupę zaufania. Te etykiety są wyświetlane jako tagi w usłudze Microsoft Sentinel. |
confidence (opcjonalny) |
integer | Właściwość confidence identyfikuje pewność, że twórca ma poprawność swoich danych. Wartość ufności musi być liczbą z zakresu od 0 do 100.Dodatek A zawiera tabelę mapowań normatywnych na inne skale ufności, które muszą być używane podczas prezentowania wartości ufności w jednej z tych skali. Jeśli właściwość ufności nie jest obecna, pewność zawartości nie jest określona. |
lang (opcjonalny) |
string | Właściwość lang identyfikuje język zawartości tekstowej w tym obiekcie. Gdy jest obecny, musi być zgodny z kodem języka, aby RFC5646. Jeśli właściwość nie jest obecna, język zawartości to en (angielski).Ta właściwość powinna być obecna, jeśli typ obiektu zawiera właściwości tekstu możliwego do tłumaczenia (na przykład nazwa, opis). Język poszczególnych pól w tym obiekcie może zastąpić lang właściwość w szczegółowych oznaczeniach (patrz sekcja 7.2.3). |
object_marking_refs (opcjonalnie, w tym TLP) |
lista ciągów | Właściwość object_marking_refs określa listę właściwości identyfikatorów obiektów definicji oznaczania, które mają zastosowanie do tego obiektu. Na przykład użyj identyfikatora definicji oznaczania Traffic Light Protocol (TLP), aby wyznaczyć czułość źródła wskaźnika. Aby uzyskać szczegółowe informacje na temat identyfikatorów definicji oznaczeń do użycia dla zawartości TLP, zobacz sekcję 7.2.1.4W niektórych przypadkach, choć nietypowe, same definicje oznaczania mogą być oznaczone za pomocą wskazówek dotyczących udostępniania lub obsługi. W takim przypadku ta właściwość nie może zawierać żadnych odwołań do tego samego obiektu definicji oznaczania (czyli nie może zawierać żadnych odwołań cyklicznych). Zobacz sekcję 7.2.2 , aby uzyskać dalszą definicję oznaczeń danych. |
external_references (opcjonalny) |
lista obiektów | Właściwość external_references określa listę odwołań zewnętrznych, które odnoszą się do informacji innych niż STIX. Ta właściwość służy do udostępniania co najmniej jednego adresu URL, opisów lub identyfikatorów rekordów w innych systemach. |
granular_markings (opcjonalny) |
lista szczegółowych oznaczeń | Właściwość granular_markings ułatwia definiowanie części wskaźnika w inny sposób. Na przykład język wskaźnika to angielski, en ale opis to Niemiecki, de.W niektórych przypadkach, choć nietypowe, same definicje oznaczania mogą być oznaczone za pomocą wskazówek dotyczących udostępniania lub obsługi. W takim przypadku ta właściwość nie może zawierać żadnych odwołań do tego samego obiektu definicji oznaczania (czyli nie może zawierać żadnych odwołań cyklicznych). Zobacz sekcję 7.2.3 , aby uzyskać dalszą definicję oznaczeń danych. |
Aby uzyskać więcej informacji, zobacz typowe właściwości stIX.
Wskaźnik
| Nazwa właściwości | Typ | Opis |
|---|---|---|
name (opcjonalny) |
string | Nazwa używana do identyfikowania wskaźnika. Producenci powinni zapewnić tę właściwość, aby pomóc produktom i analitykom zrozumieć, co ten wskaźnik faktycznie robi. |
description (opcjonalny) |
string | Opis, który zawiera więcej szczegółów i kontekstu wskaźnika, potencjalnie łącznie z jego celem i jego kluczowymi cechami. Producenci powinni zapewnić tę właściwość, aby pomóc produktom i analitykom zrozumieć, co ten wskaźnik faktycznie robi. |
indicator_types (opcjonalny) |
lista ciągów | Zestaw kategoryzacji dla tego wskaźnika. Wartości tej właściwości powinny pochodzić ze wskaźnika-type-ov |
pattern (wymagane) |
string | Wzorzec wykrywania tego wskaźnika może być wyrażony jako wzorzec STIX lub inny odpowiedni język, taki jak SNORT, YARA itp. |
pattern_type (wymagane) |
string | Język wzorca używany w tym wskaźniku. Wartość tej właściwości powinna pochodzić z typów wzorców. Wartość tej właściwości musi być zgodna z typem danych wzorca uwzględnionych we właściwości pattern. |
pattern_version (opcjonalny) |
string | Wersja języka wzorca używanego dla danych we właściwości wzorca, która musi być zgodna z typem danych wzorca zawartych we właściwości wzorca. W przypadku wzorców, które nie mają specyfikacji formalnej, należy użyć wersji kompilacji lub kodu, z którą jest znany wzorzec. W przypadku języka wzorca STIX wersja specyfikacji obiektu określa wartość domyślną. W przypadku innych języków wartość domyślna powinna być najnowszą wersją języka wzorca w momencie utworzenia tego obiektu. |
valid_from (wymagane) |
timestamp | Czas, z którego ten wskaźnik jest uznawany za prawidłowy wskaźnik zachowań, które są powiązane z lub reprezentuje. |
valid_until (opcjonalny) |
timestamp | Czas, w którym ten wskaźnik nie powinien być już uznawany za prawidłowy wskaźnik zachowań, które są powiązane z lub reprezentuje. Jeśli właściwość valid_until zostanie pominięta, nie ma ograniczenia dla najnowszego czasu, dla którego wskaźnik jest prawidłowy. Ten znacznik czasu musi być większy niż sygnatura czasowa valid_from. |
kill_chain_phases (opcjonalny) |
lista ciągów | Fazy łańcucha zabić, do których odpowiada ten wskaźnik. Wartość tej właściwości powinna pochodzić z fazy kill chain. |
Aby uzyskać więcej informacji, zobacz Wskaźnik STIX.
Wzorzec ataku
Aby uzyskać więcej informacji, zobacz Wzorzec ataku STIX.
Tożsamość
Aby uzyskać więcej informacji, zobacz Tożsamość STIX.
Aktor zagrożeń
Aby uzyskać więcej informacji, zobacz STIX threat actors (Aktor zagrożeń STIX).
Relacja
Aby uzyskać więcej informacji, zobacz relacja STIX.
Przetwarzanie komunikatu odpowiedzi
Nagłówek odpowiedzi zawiera kod stanu HTTP. Zapoznaj się z tą tabelą, aby uzyskać więcej informacji na temat interpretowania wyniku wywołania interfejsu API.
| Kod stanu | opis |
|---|---|
| 200 | Sukces. Interfejs API zwraca wartość 200, gdy co najmniej jeden obiekt STIX zostanie pomyślnie zweryfikowany i opublikowany. |
| 400 | Nieprawidłowy format. Coś w żądaniu nie jest poprawnie sformatowane. |
| 401 | Brak autoryzacji. |
| 404 | Nie można odnaleźć pliku. Zazwyczaj ten błąd występuje, gdy nie można odnaleźć identyfikatora obszaru roboczego. |
| 429 | Przekroczono maksymalną liczbę żądań w ciągu minuty. |
| 500 | Błąd serwera. Zazwyczaj błąd w interfejsie API lub usługach Microsoft Sentinel. |
Treść odpowiedzi to tablica komunikatów o błędach w formacie JSON:
| Nazwa pola | Typ danych | opis |
|---|---|---|
| błędy | Tablica obiektów błędów | Lista błędów walidacji |
Błąd obiektu
| Nazwa pola | Typ danych | opis |
|---|---|---|
| recordIndex | int | Indeks obiektów STIX w żądaniu |
| errorMessages | Tablica ciągów | Komunikaty o błędach |
Limity ograniczania przepustowości dla interfejsu API
Wszystkie limity są stosowane dla użytkownika:
- 100 obiektów na żądanie.
- 100 żądań na minutę.
Jeśli istnieje więcej żądań niż limit, 429 kod stanu http w nagłówku odpowiedzi jest zwracany z następującą treścią odpowiedzi:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
Około 10 000 obiektów na minutę jest maksymalną przepływnością przed odebraniem błędu ograniczania przepustowości.
Treść żądania przykładowego wskaźnika
W poniższym przykładzie pokazano, jak reprezentować dwa wskaźniki w specyfikacji STIX.
Test Indicator 2 wyróżnia ustawienie Traffic Light Protocol (TLP) na białe z mapowanym oznaczeniem obiektu, a wyjaśnienie jego opisu i etykiet jest w języku angielskim.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Przykładowa treść odpowiedzi z błędem weryfikacji
Jeśli wszystkie obiekty STIX zostaną pomyślnie zweryfikowane, zostanie zwrócony stan HTTP 200 z pustą treścią odpowiedzi.
Jeśli walidacja nie powiedzie się dla co najmniej jednego obiektu, treść odpowiedzi zostanie zwrócona z więcej informacji. Jeśli na przykład wysyłasz tablicę z czterema wskaźnikami, a pierwsze trzy są dobre, ale czwarty nie ma id (wymagane pole), zostanie wygenerowany kod stanu HTTP 200 wraz z następującą treścią:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
Obiekty są wysyłane jako tablica, więc recordIndex zaczyna się od 0.
Inne przykłady
Przykładowy wskaźnik
W tym przykładzie wskaźnik jest oznaczony zielonym TLP. Więcej atrybutów toxicity rozszerzenia i rank są również uwzględniane. Chociaż te właściwości nie są w schemacie usługi Microsoft Sentinel dla wskaźników, pozyskiwanie obiektu z tymi właściwościami nie powoduje błędu. Właściwości po prostu nie są przywoływane ani indeksowane w obszarze roboczym.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Przykładowy wzorzec ataku
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
Przykładowa relacja z aktorem zagrożeń i tożsamością
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
Następne kroki
Aby dowiedzieć się więcej na temat pracy z analizą zagrożeń w usłudze Microsoft Sentinel, zobacz następujące artykuły:
- Omówienie analizy zagrożeń
- Praca ze wskaźnikami zagrożeń
- Wykrywanie zagrożeń przy użyciu pasującej analizy
- Korzystanie z kanału informacyjnego analizy firmy Microsoft i włączanie łącznika danych MDTI