Importera hotinformation till Microsoft Sentinel med STIX-objekt-API:et (förhandsversion)
Importera hotinformation som ska användas i Microsoft Sentinel med STIX-objekt-API:et. Oavsett om du använder en plattform för hotinformation eller ett anpassat program använder du det här dokumentet som en kompletterande referens till anvisningarna i API-dataanslutningen för Microsoft Sentinel STIX-objekt. Det krävs inte att du installerar dataanslutningsappen för att ansluta till API:et. Hotinformationen som du kan importera innehåller indikatorer för kompromisser och andra STIX-domänobjekt.
Viktigt!
Det här API:et är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Structured Threat Information Expression (STIX) är ett språk för att uttrycka cyberhot och observerbar information. Utökat stöd för följande domänobjekt ingår i STIX-objekt-API:et:
- indikator
- attackmönster
- hotskådespelare
- identitet
- relation
Mer information finns i Introduktion till STIX.
Kommentar
Api:et för tidigare uppladdningsindikatorer är nu äldre. Om du behöver referera till api:et när du övergår till det nya API:et för STIX-objekt läser du API för äldre uppladdningsindikatorer.
Anropa API
Ett anrop till STIX-objekt-API:et har fem komponenter:
- Begärande-URI:n
- Meddelandehuvud för HTTP-begäran
- Meddelandetext för HTTP-begäran
- Du kan också bearbeta http-svarsmeddelanderubriken
- Du kan också bearbeta HTTP-svarsmeddelandetexten
Registrera ditt klientprogram med Microsoft Entra-ID
För att kunna autentisera till Microsoft Sentinel kräver begäran till STIX-objekt-API:et en giltig Microsoft Entra-åtkomsttoken. Mer information om programregistrering finns i Registrera ett program med Microsofts identitetsplattform eller se de grundläggande stegen som en del av api-konfigurationen Anslut hotinformation med STIX-objekt.
Det här API:et kräver att det anropande Microsoft Entra-programmet beviljas rollen Microsoft Sentinel-deltagare på arbetsytans nivå.
Skapa begäran
Det här avsnittet beskriver de tre första av de fem komponenter som beskrevs tidigare. Du måste först hämta åtkomsttoken från Microsoft Entra-ID:t, som du använder för att sammanställa meddelanderubriken för begäran.
Hämta en åtkomsttoken
Hämta en Microsoft Entra-åtkomsttoken med OAuth 2.0-autentisering. V1.0 och V2.0 är giltiga token som godkänts av API:et.
Vilken version av token (v1.0 eller v2.0) som tas emot bestäms av accessTokenAcceptedVersion egenskapen i appmanifestet för API:et som programmet anropar. Om accessTokenAcceptedVersion är inställt på 1 får ditt program en v1.0-token.
Använd Microsoft Authentication Library (MSAL) för att hämta antingen en v1.0- eller v2.0-åtkomsttoken. Eller skicka begäranden till REST-API:et i följande format:
- POST
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token - Rubriker för att använda Microsoft Entra-appen:
- grant_type: "client_credentials"
- client_id: {Klient-ID för Microsoft Entra App}
- client_secret: {hemlighet för Microsoft Entra App}
- omfattning:
"https://management.azure.com/.default"
Om accessTokenAcceptedVersion appmanifestet är inställt på 1 får programmet en v1.0-åtkomsttoken trots att den anropar v2-tokenslutpunkten.
Resurs-/omfångsvärdet är målgruppen för token. Det här API:et accepterar endast följande målgrupper:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
Montera begärandemeddelandet
URI för förfrågan
API-versionshantering: api-version=2023-12-01-preview
Slutpunkt: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
Metod: POST
Begärandehuvud
Authorization: Innehåller OAuth2-ägartoken
Content-Type: application/json
Begärandetext
JSON-objektet för brödtexten innehåller följande fält:
| Fältnamn | Datatyp | beskrivning |
|---|---|---|
sourcesystem (krävs) |
sträng | Identifiera källsystemets namn. Värdet Microsoft Sentinel är begränsat. |
stixobjects (krävs) |
matris | En matris med STIX-objekt i STIX 2.0- eller 2.1-format |
Skapa matrisen med STIX-objekt med stix-formatspecifikationen. Några av STIX-egenskapsspecifikationerna utökas här för att underlätta för dig med länkar till relevanta STIX-dokumentavsnitt. Observera även att vissa egenskaper, även om de är giltiga för STIX, inte har motsvarande objektschemaegenskaper i Microsoft Sentinel.
Gemensamma egenskaper
Alla objekt som du importerar med STIX-objekt-API:et delar dessa vanliga egenskaper.
| Egenskapsnamn | Type | Beskrivning |
|---|---|---|
id (krävs) |
sträng | Ett ID som används för att identifiera STIX-objektet. Se avsnitt 2.9 för specifikationer om hur du skapar en id. Formatet ser ut ungefär som indicator--<UUID> |
spec_version (valfritt) |
sträng | STIX-objektversion. Det här värdet krävs i STIX-specifikationen, men eftersom det här API:et endast stöder STIX 2.0 och 2.1, när det här fältet inte har angetts, är API:et standard för 2.1 |
type (krävs) |
sträng | Värdet för den här egenskapen måste vara ett STIX-objekt som stöds. |
created (krävs) |
timestamp | Se avsnitt 3.2 för specifikationer för den här gemensamma egenskapen. |
created_by_ref (valfritt) |
sträng | Egenskapen created_by_ref anger ID-egenskapen för den entitet som skapade objektet. Om det här attributet utelämnas är källan till den här informationen odefinierad. För objektskapare som vill vara anonyma bör du behålla det här värdet odefinierat. |
modified (krävs) |
timestamp | Se avsnitt 3.2 för specifikationer för den här gemensamma egenskapen. |
revoked (valfritt) |
boolean | Återkallade objekt anses inte längre vara giltiga av objektskapare. Det är permanent att återkalla ett objekt. framtida versioner av objektet med detta id får inte skapas.Standardvärdet för den här egenskapen är falskt. |
labels (valfritt) |
lista över strängar | Egenskapen labels anger en uppsättning termer som används för att beskriva det här objektet. Termerna är användardefinierade eller betrodda grupper definierade. De här etiketterna visas som Taggar i Microsoft Sentinel. |
confidence (valfritt) |
integer | Egenskapen confidence identifierar det förtroende som skaparen har för att deras data ska vara korrekta. Konfidensvärdet måste vara ett tal i intervallet 0–100.Bilaga A innehåller en tabell med normativa mappningar till andra konfidensskalor som måste användas när konfidensvärdet presenteras i någon av dessa skalor. Om förtroendeegenskapen inte finns är innehållets förtroende ospecificerat. |
lang (valfritt) |
sträng | Egenskapen lang identifierar språket för textinnehållet i det här objektet. När det finns måste det vara en språkkod som överensstämmer med RFC5646. Om egenskapen inte finns är en språket i innehållet (engelska).Den här egenskapen bör finnas om objekttypen innehåller översättningsbara textegenskaper (till exempel namn, beskrivning). Språket för enskilda fält i det här objektet kan åsidosätta lang egenskapen i detaljerade markeringar (se avsnitt 7.2.3). |
object_marking_refs (valfritt, inklusive TLP) |
lista över strängar | Egenskapen object_marking_refs anger en lista över ID-egenskaper för märkningsdefinitionsobjekt som gäller för det här objektet. Använd t.ex. TLP-märkningsdefinitions-ID (Traffic Light Protocol) för att ange indikatorkällans känslighet. Mer information om vilka märkningsdefinitions-ID:er som ska användas för TLP-innehåll finns i avsnitt 7.2.1.4I vissa fall, även om det är ovanligt, kan själva märkningsdefinitionerna markeras med vägledning för delning eller hantering. I det här fallet får den här egenskapen inte innehålla några referenser till samma märkningsdefinitionsobjekt (det vill: den får inte innehålla några cirkelreferenser). Se avsnitt 7.2.2 för ytterligare definition av datamarkeringar. |
external_references (valfritt) |
lista över objekt | Egenskapen external_references anger en lista över externa referenser som refererar till icke-STIX-information. Den här egenskapen används för att tillhandahålla en eller flera URL:er, beskrivningar eller ID:er till poster i andra system. |
granular_markings (valfritt) |
lista över detaljerad markering | Egenskapen granular_markings hjälper till att definiera delar av indikatorn på olika sätt. Indikatorspråket är till exempel engelska, en men beskrivningen är tyska, de.I vissa fall, även om det är ovanligt, kan själva märkningsdefinitionerna markeras med vägledning för delning eller hantering. I det här fallet får den här egenskapen inte innehålla några referenser till samma märkningsdefinitionsobjekt (det vill: den får inte innehålla några cirkelreferenser). Se avsnitt 7.2.3 för ytterligare definition av datamarkeringar. |
Mer information finns i VANLIGA STIX-egenskaper.
Indikator
| Egenskapsnamn | Type | Beskrivning |
|---|---|---|
name (valfritt) |
sträng | Ett namn som används för att identifiera indikatorn. Producenter bör tillhandahålla denna egenskap för att hjälpa produkter och analytiker att förstå vad denna indikator faktiskt gör. |
description (valfritt) |
sträng | En beskrivning som ger mer information och sammanhang om indikatorn, eventuellt inklusive dess syfte och dess viktigaste egenskaper. Producenter bör tillhandahålla denna egenskap för att hjälpa produkter och analytiker att förstå vad denna indikator faktiskt gör. |
indicator_types (valfritt) |
lista över strängar | En uppsättning kategoriseringar för den här indikatorn. Värdena för den här egenskapen ska komma från indikatortyp-ov |
pattern (krävs) |
sträng | Identifieringsmönstret för den här indikatorn kan uttryckas som ett STIX-mönster eller ett annat lämpligt språk, till exempel SNORT, YARA osv. |
pattern_type (krävs) |
sträng | Det mönsterspråk som används i den här indikatorn. Värdet för den här egenskapen ska komma från mönstertyper. Värdet för den här egenskapen måste matcha typen av mönsterdata som ingår i mönsteregenskapen. |
pattern_version (valfritt) |
sträng | Den version av mönsterspråket som används för data i mönsteregenskapen, som måste matcha typen av mönsterdata som ingår i mönsteregenskapen. För mönster som inte har någon formell specifikation bör den version eller kodversion som mönstret är känt för att fungera med användas. För STIX-mönsterspråket avgör specifikationsversionen av objektet standardvärdet. För andra språk bör standardvärdet vara den senaste versionen av mönsterspråket när objektet skapas. |
valid_from (krävs) |
timestamp | Den tid från vilken den här indikatorn anses vara en giltig indikator för de beteenden som den är relaterad till eller representerar. |
valid_until (valfritt) |
timestamp | Den tid då den här indikatorn inte längre ska betraktas som en giltig indikator för de beteenden som den är relaterad till eller representerar. Om egenskapen valid_until utelämnas finns det ingen begränsning för den senaste tiden då indikatorn är giltig. Tidsstämpeln måste vara större än tidsstämpeln för valid_from. |
kill_chain_phases (valfritt) |
lista över sträng | De kill chain-faser som den här indikatorn motsvarar. Värdet för den här egenskapen ska komma från kill chain-fasen. |
Mer information finns i STIX-indikator.
Attackmönster
Mer information finns i STIX-attackmönster.
Identitet
Mer information finns i STIX-identitet.
Hotskådespelare
Mer information finns i STIX-hotskådespelare.
Relation
Mer information finns i STIX-relation.
Bearbeta svarsmeddelandet
Svarshuvudet innehåller en HTTP-statuskod. Mer information om hur du tolkar API-anropsresultatet finns i den här tabellen.
| Statuskod | beskrivning |
|---|---|
| 200 | Klart! API:et returnerar 200 när ett eller flera STIX-objekt har verifierats och publicerats. |
| 400 | Felaktigt format. Något i begäran är inte korrekt formaterat. |
| 401 | Behörighet saknas. |
| 404 | Filen hittades inte. Det här felet uppstår vanligtvis när arbetsyte-ID:t inte hittas. |
| 429 | Det maximala antalet begäranden på en minut har överskridits. |
| 500 | Serverfel. Vanligtvis ett fel i API:et eller Microsoft Sentinel-tjänsterna. |
Svarstexten är en matris med felmeddelanden i JSON-format:
| Fältnamn | Datatyp | beskrivning |
|---|---|---|
| fel | Matris med felobjekt | Lista över valideringsfel |
Felobjekt
| Fältnamn | Datatyp | beskrivning |
|---|---|---|
| recordIndex | heltal | Index för STIX-objekten i begäran |
| errorMessages | Strängmatris | Felmeddelanden |
Begränsningsgränser för API:et
Alla gränser tillämpas per användare:
- 100 objekt per begäran.
- 100 begäranden per minut.
Om det finns fler begäranden än gränsen returneras en 429 http-statuskod i svarshuvudet med följande svarstext:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
Cirka 10 000 objekt per minut är det maximala dataflödet innan ett begränsningsfel tas emot.
Brödtext för exempelindikatorbegäran
I följande exempel visas hur du representerar två indikatorer i STIX-specifikationen. Test Indicator 2 markerar TLP(Traffic Light Protocol) inställt på vitt med den mappade objektmarkeringen och förtydligar att dess beskrivning och etiketter är på engelska.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Exempel på svarstext med valideringsfel
Om alla STIX-objekt har verifierats returneras en HTTP 200-status med en tom svarstext.
Om verifieringen misslyckas för ett eller flera objekt returneras svarstexten med mer information. Om du till exempel skickar en matris med fyra indikatorer och de tre första är bra men den fjärde inte har ett (obligatoriskt id fält) genereras ett HTTP-statuskod 200-svar tillsammans med följande brödtext:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
Objekten skickas som en matris, så börjar recordIndex vid 0.
Andra exempel
Exempelindikator
I det här exemplet markeras indikatorn med den gröna TLP:en. Fler tilläggsattribut för toxicity och rank ingår också. Även om dessa egenskaper inte finns i Microsoft Sentinel-schemat för indikatorer utlöser inte inmatning av ett objekt med dessa egenskaper något fel. Egenskaperna refereras helt enkelt inte till eller indexeras på arbetsytan.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Exempel på attackmönster
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
Exempelrelation med hotskådespelare och identitet
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
Nästa steg
Mer information om hur du arbetar med hotinformation i Microsoft Sentinel finns i följande artiklar:
- Förstå hotinformation
- Arbeta med hotindikatorer
- Använda matchande analys för att identifiera hot
- Använda intelligensflödet från Microsoft och aktivera MDTI-dataanslutning