Adicione informações sobre ameaças em massa ao Microsoft Sentinel a partir de um arquivo CSV ou JSON
Este artigo demonstra como adicionar indicadores de um CSV ou STIX objetos de um arquivo JSON para a inteligência de ameaças do Microsoft Sentinel. Como o compartilhamento de informações sobre ameaças ainda acontece entre e-mails e outros canais informais durante uma investigação em andamento, a capacidade de importar essas informações rapidamente para o Microsoft Sentinel é importante para transmitir ameaças emergentes para sua equipe. Essas ameaças identificadas ficam disponíveis para alimentar outras análises, como a produção de alertas de segurança, incidentes e respostas automatizadas.
Importante
Esta funcionalidade está atualmente em pré-visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter mais termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Pré-requisitos
Você deve ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel para armazenar suas informações sobre ameaças.
Selecione um modelo de importação para sua inteligência de ameaças
Adicione vários objetos de inteligência de ameaças com um arquivo CSV ou JSON especialmente criado. Baixe os modelos de arquivo para se familiarizar com os campos e como eles são mapeados para os dados que você tem. Revise os campos obrigatórios para cada tipo de modelo para validar seus dados antes de importá-los.
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Inteligência de ameaças.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel Threat management Threat intelligence (Gerenciamento de ameaças>do Microsoft Sentinel>).
Selecione Importar>importação usando um arquivo.
No menu suspenso Formato de arquivo, selecione CSV ou JSON.
Nota
O modelo CSV suporta apenas indicadores. O modelo JSON suporta indicadores e outros objetos STIX como agentes de ameaça, padrões de ataque, identidades e relacionamentos. Para obter mais informações sobre como criar objetos STIX suportados em JSON, consulte Referência da API de carregamento.
Depois de escolher um modelo de carregamento em massa, selecione o link Baixar modelo .
Considere agrupar suas informações sobre ameaças por fonte, pois cada upload de arquivo requer uma.
Os modelos fornecem todos os campos necessários para criar um único indicador válido, incluindo campos obrigatórios e parâmetros de validação. Replique essa estrutura para preencher mais indicadores em um arquivo ou adicione objetos STIX ao arquivo JSON. Para obter mais informações sobre os modelos, consulte Compreender os modelos de importação.
Carregue o arquivo de inteligência de ameaças
Altere o nome do arquivo do modelo padrão, mas mantenha a extensão de arquivo como .csv ou .json. Quando você cria um nome de arquivo exclusivo, é mais fácil monitorar suas importações no painel Gerenciar importações de arquivos.
Arraste seu arquivo de inteligência de ameaças em massa para a seção Carregar um arquivo ou procure o arquivo usando o link.
Insira uma fonte para a inteligência de ameaças na caixa de texto Origem . Este valor está estampado em todos os indicadores incluídos nesse arquivo. Veja esta propriedade como o
SourceSystemcampo. A origem também é exibida no painel Gerenciar importações de arquivos. Para obter mais informações, consulte Trabalhar com indicadores de ameaça.Escolha como deseja que o Microsoft Sentinel trate entradas inválidas selecionando um dos botões na parte inferior do painel Importar usando um arquivo :
- Importe apenas as entradas válidas e deixe de lado quaisquer entradas inválidas do arquivo.
- Não importe nenhuma entrada se um único objeto no arquivo for inválido.
Selecione Importar.
Gerenciar importações de arquivos
Monitore suas importações e visualize relatórios de erros para importações parcialmente importadas ou com falha.
Selecione Importar>Gerenciar importações de arquivos.
Revise o status dos arquivos importados e o número de entradas inválidas. A contagem de entradas válida é atualizada após o processamento do arquivo. Aguarde a conclusão da importação para obter a contagem atualizada de entradas válidas.
Visualize e classifique as importações selecionando Origem, o Nome do arquivo de inteligência de ameaças, o número Importado, o Número total de entradas em cada arquivo ou a Data de criação.
Selecione a visualização do arquivo de erro ou baixe o arquivo de erro que contém os erros sobre entradas inválidas.
O Microsoft Sentinel mantém o status da importação do arquivo por 30 dias. O arquivo real e o arquivo de erro associado são mantidos no sistema por 24 horas. Após 24 horas, o arquivo e o arquivo de erro são excluídos, mas todos os indicadores ingeridos continuam a aparecer na inteligência de ameaças.
Compreender os modelos de importação
Analise cada modelo para garantir que suas informações sobre ameaças sejam importadas com êxito. Certifique-se de consultar as instruções no arquivo de modelo e as orientações complementares a seguir.
Estrutura do modelo CSV
No menu suspenso Tipo de indicador , selecione CSV. Em seguida, escolha entre as opções Indicadores de arquivo ou Todos os outros tipos de indicadores .
O modelo CSV precisa de várias colunas para acomodar o tipo de indicador de arquivo porque os indicadores de arquivo podem ter vários tipos de hash, como MD5 e SHA256. Todos os outros tipos de indicadores, como endereços IP, requerem apenas o tipo observável e o valor observável.
Os cabeçalhos de coluna para o modelo CSV Todos os outros tipos de indicadores incluem campos como
threatTypes, único ou múltiplotags,confidenceetlpLevel. O Protocolo de Semáforo (TLP) é uma designação de sensibilidade para ajudar a tomar decisões sobre o compartilhamento de informações sobre ameaças.Apenas os
validFromcampos ,observableTypee eobservableValuesão obrigatórios.Exclua toda a primeira linha do modelo para remover os comentários antes de fazer o upload.
O tamanho máximo de uma importação de arquivo CSV é de 50 MB.
Aqui está um exemplo de indicador de nome de domínio que usa o modelo CSV:
threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com
Estrutura do modelo JSON
Há apenas um modelo JSON para todos os tipos de objeto STIX. O modelo JSON é baseado no formato STIX 2.1.
O
typeelemento suportaindicator,attack-pattern,identity,threat-actor, erelationship.Para indicadores, o
patternelemento suporta os tipos de indicadores defile,ipv4-addr,ipv6-addr,domain-name,url,user-account,email-addrewindows-registry-key.Remova os comentários do modelo antes de fazer o upload.
Feche o último objeto na matriz usando o
}sem vírgula.O tamanho máximo de arquivo para uma importação de arquivo JSON é de 250 MB.
Aqui está um exemplo ipv4-addr de indicador e attack-pattern usando o formato de arquivo JSON:
[
{
"type": "indicator",
"id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
"spec_version": "2.1",
"pattern": "[ipv4-addr:value = '198.168.100.5']",
"pattern_type": "stix",
"created": "2022-07-27T12:00:00.000Z",
"modified": "2022-07-27T12:00:00.000Z",
"valid_from": "2016-07-20T12:00:00.000Z",
"name": "Sample IPv4 indicator",
"description": "This indicator implements an observation expression.",
"indicator_types": [
"anonymization",
"malicious-activity"
],
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "establish-foothold"
}
],
"labels": ["proxy","demo"],
"confidence": "95",
"lang": "",
"external_references": [],
"object_marking_refs": [],
"granular_markings": []
},
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
Conteúdos relacionados
Neste artigo, você aprendeu como reforçar manualmente sua inteligência de ameaças importando indicadores e outros objetos STIX reunidos em arquivos simples. Para saber mais sobre como a inteligência de ameaças potencializa outras análises no Microsoft Sentinel, consulte os seguintes artigos: