Adicionar inteligência contra ameaças em massa ao Microsoft Sentinel de um arquivo CSV ou JSON
Este artigo demonstra como adicionar indicadores de um arquivo CSV ou objetos STIX de um arquivo JSON na inteligência contra ameaças do Microsoft Sentinel. Como o compartilhamento de inteligência contra ameaças ainda ocorre por meio de emails e outros canais informais durante uma investigação em andamento, a capacidade de importar rapidamente essas informações para o Microsoft Sentinel é importante para retransmitir as ameaças emergentes à sua equipe. Essas ameaças identificadas estão disponíveis para alimentar outras análises, como a produção de alertas de segurança, incidentes e respostas automatizadas.
Importante
Esse recurso está atualmente na visualização. Consulte os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos mais legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou ainda não lançados em disponibilidade geral.
O Microsoft Sentinel está geralmente disponível na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para a versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Pré-requisitos
Você precisa ter permissões de leitura e gravação no workspace do Microsoft Sentinel para armazenar sua inteligência contra ameaças.
Selecione um modelo de importação para sua inteligência contra ameaças
Adicione vários objetos de inteligência contra ameaças com um arquivo CSV ou JSON especialmente formatado. Baixe os modelos de arquivo para se familiarizar com os campos e como eles são mapeados para os dados que você tem. Revise os campos obrigatórios de cada tipo de modelo para validar seus dados antes de importá-los.
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Inteligência contra ameaças.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de ameaças>Inteligência contra ameaças.
Selecione Importar>Importar usando um arquivo.
No menu suspenso Formato de arquivo, selecione CSV ou JSON.
Observação
O modelo CSV dá suporte apenas a indicadores. O modelo JSON dá suporte a indicadores e outros objetos STIX, como atores de ameaça, padrões de ataque, identidades e relacionamentos. Para mais informações sobre como criar objetos STIX com suporte em JSON, consulte a Referência de API de Upload.
Depois de escolher um modelo de upload em massa, selecione o link Baixar modelo.
Considere agrupar sua inteligência contra ameaças por fonte, pois cada upload de arquivo requer uma fonte.
Os modelos fornecem todos os campos necessários para criar um único indicador válido, incluindo campos necessários e parâmetros de validação. Replique essa estrutura para preencher mais indicadores em um arquivo ou adicione objetos STIX ao arquivo JSON. Para obter mais informações sobre os modelos, veja Entenda os modelos de importação.
Carregar o arquivo de inteligência contra ameaças
Altere o nome do arquivo de modelo padrão, mas mantenha a extensão de arquivo como .csv ou .json. Ao criar um nome de arquivo exclusivo, é mais fácil monitorar as importações no painel Gerenciar importações de arquivos.
Arraste o arquivo de inteligência contra ameaças em massa para a seção Carregar um arquivo ou procure o arquivo usando o link.
Insira uma fonte para a inteligência contra ameaças na caixa de texto Fonte. Este valor está marcado em todos os indicadores incluídos no arquivo. Exiba essa propriedade como o campo
SourceSystem. A fonte também é exibida no painel Gerenciar importações de arquivos. Para obter mais informações, veja Trabalhar com indicadores de ameaça.Escolha como deseja que o Microsoft Sentinel trate as entradas inválidas, selecionando um dos botões na parte inferior do painel Importar usando um arquivo:
- Importe apenas as entradas válidas e deixe de lado as entradas inválidas do arquivo.
- Não importe entradas se um único objeto no arquivo for inválido.
Selecione Importar.
Gerenciar importações de arquivo
Monitore suas importações e exiba relatórios de erros para importações parciais ou com falha.
Selecione Importar>Gerenciar importações de arquivo.
Examine o status dos arquivos importados e o número de entradas inválidas. A contagem de entradas válidas é atualizada depois que o arquivo é processado. Aguarde a conclusão da importação para obter a contagem atualizada de entradas válidas.
Exiba e classifique as importações selecionando Fonte, o Nome do arquivo de inteligência contra ameaças, o número Importado, o número Total de entradas em cada arquivo ou a data de Criação.
Selecione a visualização do arquivo de erro ou baixe o arquivo de erro que contém as falhas sobre entradas inválidas.
O Microsoft Sentinel mantém o status da importação de arquivos por 30 dias. O arquivo real e o arquivo de erros associados são mantidos no sistema por 24 horas. Após 24 horas, o arquivo e o arquivo de erro são excluídos, mas todos os indicadores ingeridos continuam a ser exibidos na inteligência contra ameaças.
Entender os modelos de importação
Examine cada modelo para garantir que sua inteligência contra ameaças seja importada com êxito. Consulte as instruções no arquivo de modelo e as orientações complementares a seguir.
Estrutura do modelo CSV
No menu suspenso Tipo de indicador, selecione CSV. Em seguida, escolha entre as opções Indicadores de arquivo ou Todos os outros tipos de indicadores.
O modelo CSV precisa de várias colunas para acomodar o tipo de indicador de arquivo porque os indicadores de arquivo podem ter vários tipos de hash, como MD5 e SHA256. Todos os outros tipos de indicadores, como endereços IP, exigem apenas o tipo observável e o valor observável.
Os títulos de coluna do modelo CSV Todos os outros tipos de indicador incluem campos como
threatTypes,tagsúnico ou múltiplo,confidenceetlpLevel. TLP (Traffic Light Protocol) é uma designação de sensibilidade para ajudar a tomar decisões sobre compartilhamentos da inteligência sobre ameaças.Somente os campos
validFrom,observableTypeeobservableValuesão obrigatórios.Exclua a primeira linha inteira do modelo para remover os comentários antes do upload.
O tamanho máximo do arquivo para importação de um arquivo CSV é de 50 MB.
Aqui está um exemplo de indicador de nome de domínio que usa o modelo CSV:
threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com
Estrutura do modelo JSON
Há apenas um modelo JSON para todos os tipos de objeto STIX. O modelo JSON é baseado no formato STIX 2.1.
O elemento
typedá suporte aindicator,attack-pattern,identity,threat-actorerelationship.Para indicadores, o elemento
patterndá suporte a tipos de indicadores defile,ipv4-addr,ipv6-addr,domain-name,url,user-account,email-addrewindows-registry-key.Remova os comentários do modelo antes do upload.
Feche o último objeto na matriz usando o
}sem vírgula.O tamanho máximo do arquivo para importação de um arquivo JSON é 250 MB.
Aqui está um exemplo de indicador ipv4-addr e attack-pattern usando o formato de arquivo JSON:
[
{
"type": "indicator",
"id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
"spec_version": "2.1",
"pattern": "[ipv4-addr:value = '198.168.100.5']",
"pattern_type": "stix",
"created": "2022-07-27T12:00:00.000Z",
"modified": "2022-07-27T12:00:00.000Z",
"valid_from": "2016-07-20T12:00:00.000Z",
"name": "Sample IPv4 indicator",
"description": "This indicator implements an observation expression.",
"indicator_types": [
"anonymization",
"malicious-activity"
],
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "establish-foothold"
}
],
"labels": ["proxy","demo"],
"confidence": "95",
"lang": "",
"external_references": [],
"object_marking_refs": [],
"granular_markings": []
},
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
Conteúdo relacionado
Neste artigo, você aprendeu como reforçar manualmente sua inteligência contra ameaças importando indicadores e outros objetos STIX reunidos em arquivos simples. Para saber mais sobre como a inteligência contra ameaças alimenta outras análises no Microsoft Sentinel, confira os seguintes artigos: