Dela via

Lägga till indikatorer i grupp i Microsoft Sentinel-hotinformation från en CSV- eller JSON-fil

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

I den här artikeln lägger du till indikatorer från en CSV- eller JSON-fil i Microsoft Sentinel-hotinformation. Delning av hotinformation sker fortfarande över e-postmeddelanden och andra informella kanaler under en pågående undersökning. Du har möjlighet att importera indikatorer direkt till Microsoft Sentinel-hotinformation så att du snabbt kan vidarebefordra nya hot till ditt team. Du gör hoten tillgängliga för andra analyser, till exempel att skapa säkerhetsaviseringar, incidenter och automatiserade svar.

Viktigt!

Den här funktionen finns i förhandsgranskning. Mer juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt inte har släppts i allmän tillgänglighet finns i tilläggsvillkoren för Förhandsversioner av Microsoft Azure.

Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

Du måste ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan för att lagra dina hotindikatorer.

Välj en importmall för dina indikatorer

Lägg till flera indikatorer i hotinformationen med en särskilt utformad CSV- eller JSON-fil. Ladda ned filmallarna för att bekanta dig med fälten och hur de mappas till de data du har. Granska de obligatoriska fälten för varje malltyp för att verifiera dina data innan du importerar dem.

  1. För Microsoft Sentinel i Azure Portal går du till Hothantering och väljer Hotinformation.

    För Microsoft Sentinel i Defender-portalen väljer du Hotinformation om Hothantering i>Microsoft Sentinel>.

  2. Välj Importera>import med hjälp av en fil.

  3. I listrutan Filformat väljer du CSV eller JSON.

    Skärmbild som visar den nedrullningsbara menyn för att ladda upp en CSV- eller JSON-fil, välja en mall att ladda ned och ange en källa.

  4. När du har valt en mall för massuppladdning väljer du länken Ladda ned mall .

  5. Överväg att gruppera dina indikatorer efter källa eftersom varje filuppladdning kräver en.

Mallarna innehåller alla fält som du behöver för att skapa en enda giltig indikator, inklusive obligatoriska fält och valideringsparametrar. Replikera den strukturen för att fylla i fler indikatorer i en fil. Mer information om mallarna finns i Förstå importmallarna.

Ladda upp indikatorfilen

  1. Ändra filnamnet från standardmallen, men behåll filnamnstillägget som .csv eller .json. När du skapar ett unikt filnamn är det enklare att övervaka dina importer från fönstret Hantera filimporter .

  2. Dra din indikatorfil till avsnittet Ladda upp en fil eller bläddra efter filen med hjälp av länken.

  3. Ange en källa för indikatorerna i textrutan Källa . Det här värdet är stämplat på alla indikatorer som ingår i filen. Visa den här egenskapen som SourceSystem fält. Källan visas också i fönstret Hantera filimporter . Mer information finns i Arbeta med hotindikatorer.

  4. Välj hur du vill att Microsoft Sentinel ska hantera ogiltiga indikatorposter genom att välja en av knapparna längst ned i fönstret Importera med hjälp av ett filfönster :

    • Importera endast giltiga indikatorer och utelämna eventuella ogiltiga indikatorer från filen.
    • Importera inga indikatorer om en enskild indikator i filen är ogiltig.

    Skärmbild som visar den nedrullningsbara menyn för att ladda upp en CSV- eller JSON-fil, välja en mall och ange en källa som markerar knappen Importera.

  5. Välj Importera.

Hantera filimporter

Övervaka importen och visa felrapporter för delvis importerade eller misslyckade importer.

  1. Välj Importera>hantera filimporter.

    Skärmbild som visar menyalternativet för att hantera filimporter.

  2. Granska statusen för importerade filer och antalet ogiltiga indikatorposter. Det giltiga indikatorantalet uppdateras när filen har bearbetats. Vänta tills importen har slutförts för att få det uppdaterade antalet giltiga indikatorer.

    Skärmbild som visar fönstret Hantera filimporter med exempeldata för inmatning. Kolumnerna visas sorterade efter importerat tal med olika källor.

  3. Visa och sortera importer genom att välja Källa, indikatorfilens namn, numret Importerat, Totalt antal indikatorer i varje fil eller datumet Skapad .

  4. Välj förhandsgranskningen av felfilen eller ladda ned felfilen som innehåller felen om ogiltiga indikatorer.

Microsoft Sentinel behåller statusen för filimporten i 30 dagar. Den faktiska filen och den associerade felfilen underhålls i systemet i 24 timmar. Efter 24 timmar tas filen och felfilen bort, men alla inmatade indikatorer fortsätter att visas i hotinformation.

Förstå importmallarna

Granska varje mall för att se till att indikatorerna har importerats. Se till att referera till anvisningarna i mallfilen och följande kompletterande vägledning.

CSV-mallstruktur

  1. På listrutan Indikatortyp väljer du CSV. Välj sedan alternativen Filindikatorer eller Alla andra indikatortyper .

    CSV-mallen behöver flera kolumner för att hantera filindikatortypen eftersom filindikatorer kan ha flera hash-typer som MD5 och SHA256. Alla andra indikatortyper som IP-adresser kräver bara den observerbara typen och det observerbara värdet.

  2. Kolumnrubrikerna för mallen CSV Alla andra indikatortyper innehåller fält som threatTypes, enstaka eller flera tags, confidenceoch tlpLevel. Traffic Light Protocol (TLP) är en känslighetsbeteckning som hjälper dig att fatta beslut om delning av hotinformation.

  3. Endast fälten validFrom, observableTypeoch observableValue krävs.

  4. Ta bort hela den första raden från mallen för att ta bort kommentarerna före uppladdningen.

    Den maximala filstorleken för en CSV-filimport är 50 MB.

Här är ett exempel på en indikator för domännamn som använder CSV-mallen:

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

JSON-mallstruktur

  1. Det finns bara en JSON-mall för alla indikatortyper. JSON-mallen baseras på STIX 2.1-formatet.

  2. Elementet pattern stöder indikatortyperna file, ipv4-addr, ipv6-addr, domain-name, url, user-account, , email-addroch windows-registry-key.

  3. Ta bort mallkommentarna innan du laddar upp.

  4. Stäng den sista indikatorn i matrisen med hjälp } av kommatecknet utan kommatecken.

    Den maximala filstorleken för en JSON-filimport är 250 MB.

Här är en exempelindikator ipv4-addr som använder JSON-mallen:

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

Relaterat innehåll

I den här artikeln har du lärt dig att manuellt stärka hotinformationen genom att importera indikatorer som samlats in i flata filer. Mer information om hur indikatorer driver andra analyser i Microsoft Sentinel finns i följande artiklar: