Importar a inteligência contra ameaças para o Microsoft Sentinel com a API de upload (versão prévia)
Importe a inteligência contra ameaças para usar no Microsoft Sentinel com a API de upload. Se você estiver usando uma plataforma de inteligência contra ameaças ou um aplicativo personalizado, use este documento como uma referência complementar às instruções em Conectar sua TIP à API de upload. A instalação do conector de dados não é necessária para se conectar à API. A inteligência contra ameaças que você pode importar inclui indicadores de comprometimento e outros objetos de domínio STIX.
Importante
Esta API está atualmente em VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Structured Threat Information Expression (STIX) é uma linguagem para expressar ameaças cibernéticas e informações observáveis. O suporte aprimorado para os seguintes objetos de domínio está incluído na API de upload:
- indicator
- Padrão de ataque
- Agente da ameaça
- identidade
- relacionamento
Para obter mais informações, consulte Introdução ao STIX.
Observação
A API de indicadores de upload anterior agora é herdada. Se você precisar fazer referência a essa API durante a transição para essa nova API de upload, consulte API de indicadores de upload herdada.
Chamar a API
Uma chamada para a API de upload tem cinco componentes:
- O URI da solicitação
- Cabeçalho da mensagem de solicitação HTTP
- Corpo da mensagem de solicitação HTTP
- Opcionalmente, processe o cabeçalho da mensagem de resposta HTTP
- Opcionalmente, processe o corpo da mensagem de resposta HTTP
Registrar seu aplicativo cliente com o Microsoft Entra ID
Para autenticar no Microsoft Sentinel, a solicitação para a API de carregamento requer um token de acesso válido do Microsoft Entra. Para obter mais informações sobre o registro de aplicativos, consulte Registrar um aplicativo com a plataforma de identidade da Microsoft ou consulte as etapas básicas como parte da configuração da API Conectar inteligência contra ameaças com carregamento.
Essa API exige que o aplicativo de chamada do Microsoft Entra receba a função de colaborador do Microsoft Sentinel no nível do workspace.
Criar a solicitação
Esta seção aborda os três primeiros dos cinco componentes discutidos anteriormente. Primeiro, você precisa adquirir o token de acesso do Microsoft Entra ID, que você usa para montar o cabeçalho da mensagem de solicitação.
Adquirir um token de acesso
Adquira um token de acesso do Microsoft Entra com autenticação OAuth 2.0. V1.0 e V2.0 são tokens válidos aceitos pela API.
A versão do token (v1.0 ou v2.0) recebida é determinada pela accessTokenAcceptedVersion propriedade no manifesto do aplicativo da API que seu aplicativo está chamando. Se accessTokenAcceptedVersion for definido como 1, seu aplicativo receberá um token v1.0.
Use a MSAL (Biblioteca de Autenticação da Microsoft) para adquirir um token de acesso v1.0 ou v2.0. Ou envie solicitações para a API REST no seguinte formato:
- POST
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token - Cabeçalhos para usar o aplicativo do Microsoft Entra:
- grant_type: "client_credentials"
- client_id: {ID do cliente do aplicativo do Microsoft Entra}
- client_secret: {segredo do aplicativo do Microsoft Entra}
- escopo:
"https://management.azure.com/.default"
Se accessTokenAcceptedVersion o manifesto do aplicativo estiver definido como 1, seu aplicativo receberá um token de acesso v1.0, mesmo que esteja chamando o ponto de extremidade do token v2.
O valor de recurso/escopo é o público-alvo do token. Essa API aceita apenas os seguintes públicos:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
Montar a mensagem de solicitação
URI da solicitação
Controle de versão de API: api-version=2024-02-01-preview
Ponto de extremidade: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
Método: POST
Cabeçalho da solicitação
Authorization: contém o token de portador OAuth2
Content-Type: application/json
Corpo da solicitação
O objeto JSON do corpo contém os seguintes campos:
| Nome do campo | Tipo de Dados | Descrição |
|---|---|---|
sourcesystem (obrigatório) |
string | Identifique o nome do sistema de origem. O valor Microsoft Sentinel é restrito. |
stixobjects (obrigatório) |
matriz | Uma matriz de objetos STIX no formato STIX 2.0 ou 2.1 |
Crie a matriz de objetos STIX usando a especificação de formato STIX. Algumas das especificações de propriedade STIX são expandidas aqui para sua conveniência com links para as seções relevantes do documento STIX. Observe também que algumas propriedades, embora válidas para STIX, não têm propriedades de esquema de objeto correspondentes no Microsoft Sentinel.
Propriedades comuns
Todos os objetos importados com a API de upload compartilham essas propriedades comuns.
| Nome da propriedade | Type | Descrição |
|---|---|---|
id (obrigatório) |
string | Uma ID usada para identificar o objeto STIX. Confira a seção 2.9 para obter especificações sobre como criar um id. A saída se parece com: indicator--<UUID> |
spec_version (opcional) |
string | Versão do objeto STIX. Esse valor é necessário na especificação STIX, mas como essa API só dá suporte a STIX 2.0 e 2.1, quando esse campo não está definido, o padrão da API é 2.1 |
type (obrigatório) |
string | O valor dessa propriedade deve ser um objeto STIX com suporte. |
created (obrigatório) |
timestamp | Consulte a seção 3.2 para ver especificações dessa propriedade comum. |
created_by_ref (opcional) |
string | A propriedade created_by_ref especifica a propriedade ID da entidade que criou esse objeto. Se esse atributo for omitido, a origem dessas informações será indefinida. Para criadores de objetos que desejam permanecer anônimos, mantenha esse valor indefinido. |
modified (obrigatório) |
timestamp | Consulte a seção 3.2 para ver especificações dessa propriedade comum. |
revoked (opcional) |
booleano | Objetos revogados não são mais considerados válidos pelo criador de objeto. A revogação de um objeto é permanente; versões futuras do objeto com this idnão devem ser criadas.O valor padrão dessa propriedade é falso. |
labels (opcional) |
lista de cadeias de caracteres | A propriedade labels especifica um conjunto de termos usados para descrever esse objeto. Os termos são definidos pelo usuário ou pelo grupo de confiança definidos. Esses rótulos são exibidos como Marcas no Microsoft Sentinel. |
confidence (opcional) |
inteiro | A propriedade confidence identifica a confiança que o criador tem na exatidão de seus dados. O valor de confiança deve ser um número no intervalo de 0 a 100.O Apêndice A contém uma tabela de mapeamentos normativos para outras escalas de confiança que devem ser usadas ao apresentar o valor de confiança em uma dessas escalas. Se a propriedade confidence não estiver presente, a confiança do conteúdo não será especificada. |
lang (opcional) |
string | A propriedade lang identifica o idioma do conteúdo do texto neste objeto. Quando presente, ela deve ser um código de idioma compatível com RFC5646. Se a propriedade não estiver presente, o idioma do conteúdo será en (inglês).Essa propriedade deverá estar presente se o tipo de objeto contiver propriedades de texto traduzíveis (por exemplo, nome, descrição). A linguagem de campos individuais neste objeto pode substituir a propriedade lang em marcações granulares (confira a seção 7.2.3). |
object_marking_refs (opcional, incluindo TLP) |
lista de cadeias de caracteres | A propriedade object_marking_refs especifica uma lista de propriedades de ID de objetos de definição de marcação que se aplicam a esse objeto. Por exemplo, use a ID de definição de marcação do protocolo TLP para designar a confidencialidade da origem do indicador. Para obter detalhes sobre quais IDs de definição de marcação usar para conteúdo TLP, confira a seção 7.2.1.4Embora incomum em alguns casos, as definições de marcação em si podem ser marcadas com diretrizes de compartilhamento ou manipulação. Nesse caso, essa propriedade não deve conter nenhuma referência ao mesmo objeto de definição de marcação (ou seja, não pode conter referências circulares). Confira a seção 7.2.2 para obter mais definições de marcações de dados. |
external_references (opcional) |
lista de objetos | A propriedade external_references especifica uma lista de referências externas que se referem a informações não STIX. Essa propriedade é usada para fornecer uma ou mais URLs, descrições ou IDs para registros em outros sistemas. |
granular_markings (opcional) |
lista de marcação granular | A propriedade granular_markings ajuda a definir partes do indicador de maneira diferente. Por exemplo, o idioma do indicador é inglês, en mas a descrição está em alemão, de.Embora incomum em alguns casos, as definições de marcação em si podem ser marcadas com diretrizes de compartilhamento ou manipulação. Nesse caso, essa propriedade não deve conter nenhuma referência ao mesmo objeto de definição de marcação (ou seja, não pode conter referências circulares). Confira a seção 7.2.3 para obter mais definições de marcações de dados. |
Para obter mais informações, consulte Propriedades comuns do STIX.
Indicador
| Nome da propriedade | Type | Descrição |
|---|---|---|
name (opcional) |
string | Um nome usado para identificar o indicador. Os produtores devem fornecer essa propriedade para ajudar os produtos e analistas a entender o que esse indicador realmente faz. |
description (opcional) |
string | Uma descrição que fornece mais detalhes e contexto sobre o indicador, potencialmente incluindo sua finalidade e suas principais características. Os produtores devem fornecer essa propriedade para ajudar os produtos e analistas a entender o que esse indicador realmente faz. |
indicator_types (opcional) |
lista de cadeias de caracteres | Um conjunto de categorizações para esse indicador. Os valores dessa propriedade devem vir do indicador-type-ov |
pattern (obrigatório) |
string | O padrão de detecção para esse indicador pode ser expresso como uma Padronização STIX ou outra linguagem apropriada, como SNORT, YARA etc. |
pattern_type (obrigatório) |
string | A linguagem padrão usada neste indicador. O valor dessa propriedade deve vir de tipos de padrão. O valor dessa propriedade deve corresponder ao tipo de dados de padrão incluídos na propriedade pattern. |
pattern_version (opcional) |
string | A versão da linguagem de padrão usada para os dados na propriedade de padrão, que deve corresponder ao tipo de dados de padrão incluídos na propriedade de padrão. Para padrões que não têm uma especificação formal, a versão de compilação ou código com a qual o padrão é conhecido por trabalhar deve ser usada. Para a linguagem padrão STIX, a versão de especificação do objeto determina o valor padrão. Para outros idiomas, o valor padrão deve ser a versão mais recente do idioma de padronização no momento da criação desse objeto. |
valid_from (obrigatório) |
timestamp | O tempo a partir do qual esse indicador é considerado um indicador válido dos comportamentos aos quais ele está relacionado ou que ele representa. |
valid_until (opcional) |
timestamp | O momento em que esse indicador não deve mais ser considerado um indicador válido dos comportamentos relacionados ou representados. Se a propriedade valid_until for omitida, não haverá restrição sobre a última hora para a qual o indicador é válido. Esse carimbo de data/hora deve ser maior que o carimbo de data/hora valid_from. |
kill_chain_phases (opcional) |
lista de cadeias de caracteres | As fases da cadeia de eliminação às quais este indicador corresponde. O valor dessa propriedade deve vir da Fase de Cadeia de Eliminação. |
Para obter mais informações, consulte o indicador STIX.
Padrão de ataque
Para obter mais informações, consulte Padrão de ataque STIX.
Identidade
Para obter mais informações, consulte Identidade STIX.
Ator da ameaça
Para obter mais informações, consulte Agente de ameaça STIX.
Relacionamento
Para obter mais informações, consulte Relação STIX.
Processar a mensagem de resposta
O cabeçalho de resposta contém um código de status HTTP. Confira esta tabela para obter mais informações sobre como interpretar o resultado da chamada à API.
| Código de status | Descrição |
|---|---|
| 200 | Êxito. A API retorna 200 quando um ou mais objetos STIX são validados e publicados com êxito. |
| 400 | Formato inválido. Algo na solicitação não está formatado corretamente. |
| 401 | Não autorizado. |
| 404 | Arquivo não localizado. Normalmente, esse erro ocorre quando a ID do workspace não é encontrada. |
| 429 | O número máximo de solicitações em um minuto foi excedido. |
| 500 | Erro de servidor. Geralmente, um erro nos serviços da API ou do Microsoft Sentinel. |
O corpo da resposta é uma matriz de mensagens de erro no formato JSON:
| Nome do campo | Tipo de Dados | Descrição |
|---|---|---|
| erros | Matriz de objetos de erro | Lista de erros de validação |
Objeto Error
| Nome do campo | Tipo de Dados | Descrição |
|---|---|---|
| recordIndex | INT | Índice dos objetos STIX na solicitação |
| errorMessages | Matriz de cadeias de caracteres | Mensagens de erro |
Limites da API
Todos os limites são aplicados por usuário:
- 100 objetos por solicitação.
- 100 solicitações por minuto.
Se houver mais solicitações do que o limite, um código de status HTTP 429 no cabeçalho de resposta será retornado com o seguinte corpo de resposta:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
Aproximadamente 10.000 objetos por minuto é a taxa de transferência máxima antes que um erro de limitação seja recebido.
Corpo da solicitação do indicador de amostra
O exemplo a seguir mostra como representar dois indicadores na especificação STIX.
Test Indicator 2 destaca o Protocolo de Semáforo (TLP) definido como branco com a marcação do objeto mapeado e esclarecendo sua descrição e rótulos estão em inglês.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Corpo da resposta de exemplo com erro de validação
Se todos os objetos STIX forem validados com êxito, um status HTTP 200 será retornado com um corpo de resposta vazio.
Se a validação falhar para um ou mais objetos, o corpo da resposta será retornado com mais informações. Por exemplo, se você enviar uma matriz com quatro indicadores e os três primeiros forem bons, mas o quarto não tiver um id (um campo obrigatório), uma resposta com o código de status HTTP 200 será gerada junto com o seguinte corpo:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
Os objetos são enviados como uma matriz, então o recordIndex começa em 0.
Outras amostras
Indicador de amostra
Neste exemplo, o indicador é marcado com o TLP verde usando marking-definition--089a6ecb-cc15-43cc-9494-767639779123 a object_marking_refs propriedade comum. Mais atributos de extensão de toxicity e rank também estão incluídos. Embora essas propriedades não estejam no esquema do Microsoft Sentinel para indicadores, a ingestão de um objeto com essas propriedades não dispara um erro. As propriedades simplesmente não são referenciadas ou indexadas no workspace.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Exemplo de padrão de ataque
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
Exemplo de relacionamento com o agente da ameaça e a identidade
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
Próximas etapas
Para saber mais sobre como trabalhar com inteligência contra ameaças no Microsoft Sentinel, confira os seguintes artigos:
- Entenda a inteligência contra ameaças
- Trabalhar com indicadores de ameaça
- Usar a análise de correspondência para detectar ameaças
- Utilize o feed de inteligência da Microsoft e habilite o conector de dados MDTI