Массовое добавление аналитики угроз в Microsoft Sentinel из CSV-файла или JSON
В этой статье показано, как добавить индикаторы из объектов CSV или STIX из JSON-файла в аналитику угроз Microsoft Sentinel. Так как общий доступ к аналитике угроз по-прежнему происходит по электронной почте и другим неофициальным каналам во время текущего расследования, возможность быстро импортировать эти сведения в Microsoft Sentinel важна для ретрансляции новых угроз вашей команде. Эти обнаруженные угрозы затем доступны для поддержки других аналитических данных, таких как создание оповещений системы безопасности, инцидентов и автоматизированных ответов.
Внимание
Эта функция в настоящее время доступна для предварительного ознакомления. Дополнительные условия использования для предварительных версий Microsoft Azure см. в дополнительных юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Необходимые компоненты
Для хранения аналитики угроз необходимо иметь разрешения на чтение и запись в рабочую область Microsoft Sentinel.
Выбор шаблона импорта для аналитики угроз
Добавьте несколько объектов аналитики угроз с специально созданным CSV-файлом или JSON. Скачайте шаблоны файлов, чтобы ознакомиться с полями этого формата и правильно сопоставить их с имеющимися данными. Проверьте необходимые поля для каждого типа шаблона, чтобы проверить данные перед импортом.
Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите аналитику угроз.
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat management>Threat Intelligence.
Щелкните Импорт>Импорт с помощью файла.
В раскрывающемся меню формата файла выберите CSV или JSON.
Примечание.
Шаблон CSV поддерживает только индикаторы. Шаблон JSON поддерживает индикаторы и другие объекты STIX, такие как субъекты угроз, шаблоны атак, удостоверения и связи. Дополнительные сведения о создании поддерживаемых объектов STIX в JSON см . в справочнике по API отправки.
После выбора шаблона массовой отправки выберите ссылку "Скачать шаблон ".
Рассмотрите возможность группировки аналитики угроз по источнику, так как для каждой отправки файлов требуется один.
Шаблоны содержат все поля, необходимые для создания одного допустимого индикатора, включая обязательные поля и параметры проверки. Репликация этой структуры для заполнения нескольких индикаторов в одном файле или добавление объектов STIX в JSON-файл. Дополнительные сведения о шаблонах см. в разделе Общие сведения о шаблонах импорта.
Отправка файла аналитики угроз
Измените имя шаблона на понятное имя файла, сохранив расширение файла .csv или .json. При создании уникального имени файла проще отслеживать импорт из области "Управление импортами файлов".
Перетащите файл аналитики массовых угроз в раздел "Отправка файла " или найдите файл с помощью ссылки.
Введите источник для аналитики угроз в текстовом поле "Исходный". Это значение помечено на всех индикаторах, включенных в этот файл. Просмотрите
SourceSystemэто свойство как поле. Источник также отображается в области "Управление импортом файлов". Дополнительные сведения см. в статье "Работа с индикаторами угроз".Выберите способ обработки недопустимых записей Microsoft Sentinel, выбрав одну из кнопок в нижней части окна импорта с помощью области файлов :
- Импортируйте только допустимые записи и оставьте в стороне любые недопустимые записи из файла.
- Не импортируйте записи, если один объект в файле недопустим.
Выберите Импорт.
Управление импортом файлов
Отслеживайте импорты и просматривайте отчеты об ошибках при неудачном или частично удачном импорте.
Щелкните Импортировать>Управление импортом файлов.
Просмотрите состояние импортированных файлов и количество недопустимых записей. Допустимое число записей обновляется после обработки файла. Дождитесь завершения импорта, чтобы получить обновленное количество допустимых записей.
Просмотр и сортировка импорта путем выбора источника, имени файла аналитики угроз, числа импортированного, общего числа записей в каждом файле или даты создания.
Выберите предварительный просмотр файла ошибки или скачайте файл ошибки, содержащий ошибки о недопустимых записях.
Microsoft Sentinel сохраняет состояние для импорта файла в течение 30 дней. Использованный файл и связанный с ним файл ошибок хранятся в системе в течение 24 часов. Через 24 часа файл и файл ошибок удаляются, но все индикаторы приема продолжают отображаться в аналитике угроз.
Общие сведения о шаблонах импорта
Просмотрите каждый шаблон, чтобы убедиться, что аналитика угроз успешно импортирована. Обязательно ознакомьтесь с инструкциями в файле шаблона и приведенными ниже дополнительными рекомендациями.
Структура шаблона CSV
В раскрывающемся меню типа индикатора выберите CSV. Затем выберите между индикаторами файла или всеми другими типами индикаторов .
Шаблон CSV требует нескольких столбцов для размещения типа индикатора файла, так как индикаторы файлов могут иметь несколько хэш-типов, таких как MD5 и SHA256. Для других типов индикаторов, например по IP-адресам, требуется только наблюдаемый тип и наблюдаемое значение.
Заголовки столбцов для шаблона CSV-файла для индикаторов других типов содержат такие поля, как
threatTypes, один или несколькоtags,confidenceиtlpLevel. Протокол TLP — это назначение конфиденциальности, помогающий принимать решения о совместном использовании аналитики угроз.validFromТребуются только поля ,observableTypeа такжеobservableValueполя.Перед отправкой удалите из шаблона всю первую строку, которая содержит комментарии.
Максимальный размер файла для импорта CSV-файла составляет 50 МБ.
Ниже приведен пример индикатора доменного имени, использующего шаблон CSV:
threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com
Структура шаблона JSON
Существует только один шаблон JSON для всех типов объектов STIX. Шаблон JSON основан на формате STIX 2.1.
Элемент
typeподдерживает , ,attack-patternidentityиthreat-actorrelationship.indicatorДля индикаторов элемент поддерживает типы индикаторов
patternfile,ipv4-addr,ipv6-addrdomain-name, ,urlиuser-accountemail-addrwindows-registry-key.Удалите комментарии из шаблона перед отправкой.
Закройте последний объект в массиве с помощью
}запятой.Максимальный размер файла для импорта JSON-файла составляет 250 МБ.
Ниже приведен пример ipv4-addr индикатора и attack-pattern использования формата JSON-файла:
[
{
"type": "indicator",
"id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
"spec_version": "2.1",
"pattern": "[ipv4-addr:value = '198.168.100.5']",
"pattern_type": "stix",
"created": "2022-07-27T12:00:00.000Z",
"modified": "2022-07-27T12:00:00.000Z",
"valid_from": "2016-07-20T12:00:00.000Z",
"name": "Sample IPv4 indicator",
"description": "This indicator implements an observation expression.",
"indicator_types": [
"anonymization",
"malicious-activity"
],
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "establish-foothold"
}
],
"labels": ["proxy","demo"],
"confidence": "95",
"lang": "",
"external_references": [],
"object_marking_refs": [],
"granular_markings": []
},
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
Связанный контент
В этой статье вы узнали, как вручную укрепить аналитику угроз путем импорта индикаторов и других объектов STIX, собранных в неструктурированных файлах. Дополнительные сведения о том, как аналитика угроз обеспечивает другие возможности аналитики в Microsoft Sentinel, см. в следующих статьях: