إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
استيراد التحليل الذكي للمخاطر لاستخدامه في Microsoft Sentinel مع واجهة برمجة تطبيقات التحميل. سواء كنت تستخدم نظاما أساسيا للتحليق الذكي للمخاطر أو تطبيقا مخصصا، استخدم هذا المستند كمرجع إضافي للإرشادات الواردة في توصيل تلميحك بواجهة برمجة تطبيقات التحميل. تثبيت موصل البيانات غير مطلوب للاتصال بواجهة برمجة التطبيقات. يتضمن التحليل الذكي للمخاطر الذي يمكنك استيراده مؤشرات للاختراق وعناصر مجال STIX الأخرى.
هام
واجهة برمجة التطبيقات هذه قيد المعاينة حاليا. تتضمن الشروط التكميلية لمعاينة Azure شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
تعبير معلومات التهديد المنظم (STIX) هو لغة للتعبير عن التهديد الإلكتروني والمعلومات التي يمكن ملاحظتها. يتم تضمين دعم محسن لكائنات المجال التالية مع واجهة برمجة تطبيقات التحميل:
- مؤشر
- نمط الهجوم
- ممثل التهديد
- الهوية
- العلاقة
لمزيد من المعلومات، راجع مقدمة إلى STIX.
إشعار
واجهة برمجة تطبيقات مؤشرات التحميل السابقة قديمة الآن. إذا كنت بحاجة إلى الإشارة إلى واجهة برمجة التطبيقات هذه أثناء الانتقال إلى واجهة برمجة تطبيقات التحميل الجديدة هذه، فراجع واجهة برمجة تطبيقات مؤشرات التحميل القديمة.
استدعاء API
يحتوي استدعاء واجهة برمجة تطبيقات التحميل على خمسة مكونات:
- عنوان URI للطلب
- رأس رسالة طلب HTTP
- نص رسالة طلب HTTP
- معالجة رأس رسالة استجابة HTTP اختياريا
- معالجة نص رسالة استجابة HTTP اختياريا
تسجيل تطبيق العميل الخاص بك باستخدام معرف Microsoft Entra
من أجل المصادقة على Microsoft Sentinel، يتطلب الطلب إلى واجهة برمجة تطبيقات التحميل رمز وصول Microsoft Entra صالحا. لمزيد من المعلومات حول تسجيل التطبيق، راجع تسجيل تطبيق مع النظام الأساسي للهويات في Microsoft أو راجع الخطوات الأساسية كجزء من تحليل ذكي للمخاطر الاتصال مع تحميل إعداد واجهة برمجة التطبيقات.
تتطلب واجهة برمجة التطبيقات هذه منح تطبيق Microsoft Entra الاستدعاء دور المساهم في Microsoft Sentinel على مستوى مساحة العمل.
إنشاء الطلب
يغطي هذا القسم المكونات الثلاثة الأولى من المكونات الخمسة التي تمت مناقشتها سابقا. تحتاج أولا إلى الحصول على الرمز المميز للوصول من معرف Microsoft Entra، والذي تستخدمه لتجميع رأس رسالة الطلب.
طلب رمز مميز للوصول
احصل على رمز مميز للوصول إلى Microsoft Entra باستخدام مصادقة OAuth 2.0. V1.0 وV2.0 هي رموز مميزة صالحة مقبولة من قبل واجهة برمجة التطبيقات.
يتم تحديد إصدار الرمز المميز (v1.0 أو v2.0) المستلم بواسطة الخاصية accessTokenAcceptedVersion في بيان التطبيق لواجهة برمجة التطبيقات التي يستدعيها التطبيق الخاص بك. إذا accessTokenAcceptedVersion تم تعيين إلى 1، فسيتلقى التطبيق الخاص بك رمزا مميزا v1.0.
استخدم مكتبة مصادقة Microsoft (MSAL) للحصول على رمز وصول v1.0 أو v2.0. استخدم الرمز المميز للوصول لإنشاء عنوان التخويل الذي يحتوي على الرمز المميز للحامل.
على سبيل المثال، يستخدم طلب إلى واجهة برمجة تطبيقات التحميل العناصر التالية لاسترداد رمز مميز للوصول وإنشاء عنوان التخويل، والذي يتم استخدامه في كل طلب:
- منصب
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token
عناوين استخدام تطبيق Microsoft Entra:
- grant_type: "client_credentials"
- client_id: {Client ID of Microsoft Entra App}
- client_secret أو client_certificate: {secrets of the Microsoft Entra App}
- نطاق:
"https://management.azure.com/.default"
إذا تم accessTokenAcceptedVersion تعيين في بيان التطبيق إلى 1، يتلقى التطبيق الخاص بك رمز وصول v1.0 على الرغم من أنه يستدعي نقطة نهاية الرمز المميز v2.
قيمة المورد/النطاق هي جمهور الرمز المميز. تقبل واجهة برمجة التطبيقات هذه الجماعات المستهدفة التالية فقط:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
تجميع رسالة الطلب
طلب URI
تعيين إصدار واجهة برمجة التطبيقات: api-version=2024-02-01-preview
نقطه النهايه: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
أسلوب: POST
عنوان الطلب
Authorization: يحتوي على الرمز المميز لحامل OAuth2
Content-Type
application/json
نص الطلب
يحتوي كائن JSON للنص الأساسي على الحقول التالية:
| اسم الحقل | نوع البيانات | الوصف |
|---|---|---|
sourcesystem (مطلوب) |
سلسلة | حدد اسم النظام المصدر. القيمة Microsoft Sentinel مقيدة. |
stixobjects (مطلوب) |
صفيف | صفيف من كائنات STIX بتنسيق STIX 2.0 أو 2.1 |
إنشاء صفيف كائنات STIX باستخدام مواصفات تنسيق STIX. يتم توسيع بعض مواصفات خاصية STIX هنا لراحتك مع ارتباطات إلى أقسام مستندات STIX ذات الصلة. لاحظ أيضا أن بعض الخصائص، على الرغم من أنها صالحة ل STIX، لا تحتوي على خصائص مخطط كائن مقابلة في Microsoft Sentinel.
تحذير
إذا كنت تستخدم تطبيق Microsoft Sentinel Logic للاتصال بواجهة برمجة تطبيقات التحميل، فلاحظ أن هناك ثلاثة إجراءات متاحة للتحليل الذكي للمخاطر. استخدم التحليل الذكي للمخاطر فقط - تحميل كائنات STIX (معاينة). سيفشل الخياران الآخران مع نقطة النهاية هذه وحقول نص JSON.
نموذج رسالة الطلب
إليك نموذج دالة PowerShell التي تستخدم شهادة موقعة ذاتيا تم تحميلها إلى تسجيل تطبيق Entra لإنشاء رمز الوصول ورأس التخويل:
function Test-UploadApi {
<#
.SYNOPSIS
requires Powershell module MSAL.PS version 4.37 or higher
https://www.powershellgallery.com/packages/MSAL.PS/
.EXAMPLE
Test-Api -API UploadApi -WorkspaceName "workspacename" -ResourceGroupName "rgname" -AppId "00001111-aaaa-2222-bbbb-3333cccc4444" -TenantName "contoso.onmicrosoft.com" -FilePath "C:\Users\user\Documents\stixobjects.json"
#>
[CmdletBinding()]
param (
[Parameter(Mandatory = $true)]
[string]$TenantName,
[Parameter(Mandatory = $true)]
[string]$CertThumbprint,
[Parameter(Mandatory = $true)]
[string]$AppId,
[Parameter(Mandatory = $true)]
[string]$WorkspaceId,
[Parameter(Mandatory = $true)]
[string]$FilePath
)
$Scope = "https://management.azure.com/.default"
# Connection details for getting initial token with self-signed certificate from local store
$connectionDetails = @{
'TenantId' = $TenantName
'ClientId' = $AppId
'ClientCertificate' = Get-Item -Path "Cert:\CurrentUser\My\$CertThumbprint"
scope = $Scope
}
# Request the token
# Using Powershell module MSAL.PS https://www.powershellgallery.com/packages/MSAL.PS/
# Get-MsalToken is automatically using OAuth 2.0 token endpoint https://login.microsoftonline.com/$TenantName/oauth2/v2.0/token
# and sets auth flow to grant_type = 'client_credentials'
$token = Get-MsalToken @connectionDetails
# Create header
# Again relying on MSAL.PS which has method CreateAuthorizationHeader() getting us the bearer token
$Header = @{
'Authorization' = $token.CreateAuthorizationHeader()
}
$Uri = "https://api.ti.sentinel.azure.com/workspaces/$workspaceId/threat-intelligence-stix-objects:upload?api-version=$apiVersion"
$stixobjects = get-content -path $FilePath
if(-not $stixobjects) { Write-Host "No file found at $FilePath"; break }
$results = Invoke-RestMethod -Uri $Uri -Headers $Header -Body $stixobjects -Method POST -ContentType "application/json"
$results | ConvertTo-Json -Depth 4
}
خصائص عامة
تشترك جميع الكائنات التي تستوردها مع واجهة برمجة تطبيقات التحميل في هذه الخصائص الشائعة.
| اسم الخاصية | كتابة | الوصف |
|---|---|---|
id (مطلوب) |
سلسلة | معرف يستخدم لتعريف كائن STIX. راجع القسم 2.9 للحصول على مواصفات حول كيفية إنشاء id. يبدو التنسيق مشابها indicator--<UUID> |
spec_version (اختياري) |
سلسلة | إصدار كائن STIX. هذه القيمة مطلوبة في مواصفات STIX، ولكن نظرا لأن واجهة برمجة التطبيقات هذه تدعم STIX 2.0 و2.1 فقط، عندما لا يتم تعيين هذا الحقل، يتم تعيين واجهة برمجة التطبيقات افتراضيا إلى 2.0 |
type (مطلوب) |
سلسلة | يجب أن تكون قيمة هذه الخاصية كائن STIX معتمدا. |
created (مطلوب) |
الطابع الزمني | راجع القسم 3.2 للاطلاع على مواصفات هذه الخاصية الشائعة. |
created_by_ref (اختياري) |
سلسلة | تحدد الخاصية created_by_ref خاصية المعرف للكيان الذي أنشأ هذا الكائن. إذا تم حذف هذه السمة، فإن مصدر هذه المعلومات غير معرف. بالنسبة لمنشئي الكائنات الذين يرغبون في البقاء مجهولين، احتفظ بهذه القيمة غير محددة. |
modified (مطلوب) |
الطابع الزمني | راجع القسم 3.2 للاطلاع على مواصفات هذه الخاصية الشائعة. |
revoked (اختياري) |
boolean | لم يعد منشئ الكائن يعتبر الكائنات التي تم إبطالها صالحة. إبطال كائن دائم؛ يجب عدم إنشاء الإصدارات المستقبلية من الكائن مع هذا.idالقيمة الافتراضية لهذه الخاصية خاطئة. |
labels (اختياري) |
قائمة السلاسل |
labels تحدد الخاصية مجموعة من المصطلحات المستخدمة لوصف هذا الكائن. يتم تعريف المصطلحات من قبل المستخدم أو مجموعة الثقة. يتم عرض هذه التسميات كعلامات في Microsoft Sentinel. |
confidence (اختياري) |
integer |
confidence تحدد الخاصية الثقة التي يتمتع بها المنشئ في صحة بياناته. يجب أن تكون قيمة الثقة رقما في نطاق 0-100.يحتوي الملحق أ على جدول تعيينات معيارية لمقاييس الثقة الأخرى التي يجب استخدامها عند تقديم قيمة الثقة في أحد هذه المقاييس. إذا لم تكن خاصية الثقة موجودة، فستكون ثقة المحتوى غير محددة. |
lang (اختياري) |
سلسلة |
lang تحدد الخاصية لغة محتوى النص في هذا الكائن. عند وجوده، يجب أن يكون رمز لغة متوافقا مع RFC5646. إذا لم تكن الخاصية موجودة، فإن لغة المحتوى هي en (الإنجليزية).يجب أن تكون هذه الخاصية موجودة إذا كان نوع الكائن يحتوي على خصائص نص قابلة للترجمة (على سبيل المثال، الاسم والوصف). قد تتجاوز لغة الحقول الفردية في هذا الكائن الخاصية lang في علامات دقيقة (راجع القسم 7.2.3). |
object_marking_refs (اختياري، بما في ذلك TLP) |
قائمة السلاسل |
object_marking_refs تحدد الخاصية قائمة بخصائص المعرف لكائنات تعريف العلامات التي تنطبق على هذا الكائن. على سبيل المثال، استخدم معرف تعريف وضع علامة بروتوكول إشارات المرور (TLP) لتعيين حساسية مصدر المؤشر. للحصول على تفاصيل حول معرفات تعريف العلامات التي يجب استخدامها لمحتوى TLP، راجع القسم 7.2.1.4في بعض الحالات، على الرغم من أنه غير شائع، قد يتم وضع علامة على تعريفات العلامات نفسها مع إرشادات المشاركة أو التعامل معها. في هذه الحالة، يجب ألا تحتوي هذه الخاصية على أي مراجع لنفس كائن تعريف العلامة (أي، لا يمكن أن تحتوي على أي مراجع دائرية). راجع القسم 7.2.2 للحصول على مزيد من التعريف لعلامات البيانات. |
external_references (اختياري) |
قائمة الكائنات |
external_references تحدد الخاصية قائمة بالمراجع الخارجية التي تشير إلى معلومات غير STIX. يتم استخدام هذه الخاصية لتوفير واحد أو أكثر من عناوين URL أو الأوصاف أو المعرفات للسجلات في أنظمة أخرى. |
granular_markings (اختياري) |
قائمة العلامات الدقيقة |
granular_markings تساعد الخاصية على تحديد أجزاء من المؤشر بشكل مختلف. على سبيل المثال، لغة المؤشر هي الإنجليزية، en ولكن الوصف هو الألمانية، de.في بعض الحالات، على الرغم من أنه غير شائع، قد يتم وضع علامة على تعريفات العلامات نفسها مع إرشادات المشاركة أو التعامل معها. في هذه الحالة، يجب ألا تحتوي هذه الخاصية على أي مراجع لنفس كائن تعريف العلامة (أي، لا يمكن أن تحتوي على أي مراجع دائرية). راجع القسم 7.2.3 لمزيد من التعريف لعلامات البيانات. |
لمزيد من المعلومات، راجع خصائص STIX الشائعة.
المؤشر
| اسم الخاصية | كتابة | الوصف |
|---|---|---|
name (اختياري) |
سلسلة | اسم يستخدم لتعريف المؤشر. يجب على المنتجين توفير هذه الخاصية لمساعدة المنتجات والمحللين على فهم ما يفعله هذا المؤشر في الواقع. |
description (اختياري) |
سلسلة | وصف يوفر المزيد من التفاصيل والسياق حول المؤشر، بما في ذلك الغرض منه وخصائصه الرئيسية. يجب على المنتجين توفير هذه الخاصية لمساعدة المنتجات والمحللين على فهم ما يفعله هذا المؤشر في الواقع. |
indicator_types (اختياري) |
قائمة السلاسل | مجموعة من التصنيفات لهذا المؤشر. يجب أن تأتي قيم هذه الخاصية من نوع المؤشر |
pattern (مطلوب) |
سلسلة | يمكن التعبير عن نمط الكشف لهذا المؤشر كنمط STIX أو لغة مناسبة أخرى مثل SNORT وYRA وما إلى ذلك. |
pattern_type (مطلوب) |
سلسلة | لغة النمط المستخدمة في هذا المؤشر. يجب أن تأتي قيمة هذه الخاصية من أنواع الأنماط. يجب أن تتطابق قيمة هذه الخاصية مع نوع بيانات النمط المضمنة في خاصية النمط. |
pattern_version (اختياري) |
سلسلة | إصدار لغة النمط المستخدمة للبيانات في خاصية النمط، والتي يجب أن تتطابق مع نوع بيانات النمط المضمنة في خاصية النمط. بالنسبة للأنماط التي لا تحتوي على مواصفات رسمية، يجب استخدام إصدار البنية أو التعليمات البرمجية الذي يعرف أن النمط يعمل معه. بالنسبة للغة نمط STIX، يحدد إصدار المواصفات للكائن القيمة الافتراضية. بالنسبة للغات الأخرى، يجب أن تكون القيمة الافتراضية أحدث إصدار من لغة الأنماط في وقت إنشاء هذا الكائن. |
valid_from (مطلوب) |
الطابع الزمني | الوقت الذي يعتبر فيه هذا المؤشر مؤشرا صالحا للسلوكيات المرتبطة به أو التي يمثلها. |
valid_until (اختياري) |
الطابع الزمني | الوقت الذي يجب ألا يعتبر فيه هذا المؤشر مؤشرا صالحا للسلوكيات المرتبطة به أو التي يمثلها. إذا تم حذف الخاصية valid_until، فلا يوجد قيد على آخر وقت يكون المؤشر صالحا له. يجب أن يكون هذا الطابع الزمني أكبر من الطابع الزمني valid_from. |
kill_chain_phases (اختياري) |
قائمة السلسلة | مراحل سلسلة القتل التي يتوافق مع هذا المؤشر. يجب أن تأتي قيمة هذه الخاصية من مرحلة Kill Chain. |
لمزيد من المعلومات، راجع مؤشر STIX.
نمط الهجوم
اتبع مواصفات STIX لإنشاء كائن STIX لنمط الهجوم. استخدم هذا المثال كمرجع إضافي.
لمزيد من المعلومات، راجع نمط هجوم STIX.
الهوية
اتبع مواصفات STIX لإنشاء كائن STIX للهوية. استخدم هذا المثال كمرجع إضافي.
لمزيد من المعلومات، راجع هوية STIX.
ممثل التهديد
اتبع مواصفات STIX لإنشاء كائن STIX لممثل التهديد. استخدم هذا المثال كمرجع إضافي.
لمزيد من المعلومات، راجع ممثل التهديد STIX.
العلاقة
اتبع مواصفات STIX لإنشاء كائن STIX للعلاقة. استخدم هذا المثال كمرجع إضافي.
لمزيد من المعلومات، راجع علاقة STIX.
معالجة رسالة الاستجابة
يحتوي عنوان الاستجابة على رمز حالة HTTP. راجع هذا الجدول لمزيد من المعلومات حول كيفية تفسير نتيجة استدعاء واجهة برمجة التطبيقات.
| كود الحالة | الوصف |
|---|---|
| 200 | تمت بنجاح. تقوم واجهة برمجة التطبيقات بإرجاع 200 عند التحقق من صحة عنصر STIX واحد أو أكثر ونشره بنجاح. |
| 400 | تنسيق غير صحيح. شيء ما في الطلب غير منسق بشكل صحيح. |
| 401 | Unauthorized. |
| 404 | لم يتم العثور على الملف. يحدث هذا الخطأ عادة عندما لا يتم العثور على معرف مساحة العمل. |
| 429 | تم تجاوز الحد الأقصى لعدد الطلبات في الدقيقة. |
| 500 | خطأ في الخادم. عادة ما يكون خطأ في API أو خدمات Microsoft Sentinel. |
نص الاستجابة عبارة عن صفيف من رسائل الخطأ بتنسيق JSON:
| اسم الحقل | نوع البيانات | الوصف |
|---|---|---|
| أخطاء | صفيف من كائنات الخطأ | قائمة أخطاء التحقق من الصحة |
كائن الخطأ
| اسم الحقل | نوع البيانات | الوصف |
|---|---|---|
| recordIndex | العدد الصحيح | فهرس كائنات STIX في الطلب |
| رسائل الخطأ | مصفوفة السلاسل | رسائل خطأ |
قيود الخانق لواجهة برمجة التطبيقات
يتم تطبيق جميع الحدود لكل مستخدم:
- 100 كائن لكل طلب.
- 100 طلب في الدقيقة.
إذا كان هناك طلبات أكثر من الحد الأقصى، 429 يتم إرجاع رمز حالة http في رأس الاستجابة مع نص الاستجابة التالي:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
حوالي 10,000 كائن في الدقيقة هو الحد الأقصى لمعدل النقل قبل تلقي خطأ التقييد.
نموذج نص طلب المؤشر
يوضح المثال التالي كيفية تمثيل مؤشرين في مواصفات STIX.
Test Indicator 2 يسلط الضوء على بروتوكول إشارة المرور (TLP) الذي تم تعيينه إلى أبيض مع وضع علامة على العنصر المعين، وتوضيح وصفه وتسمياته باللغة الإنجليزية.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
نموذج نص الاستجابة مع خطأ التحقق من الصحة
إذا تم التحقق من صحة جميع كائنات STIX بنجاح، يتم إرجاع حالة HTTP 200 مع نص استجابة فارغ.
إذا فشل التحقق من صحة عنصر واحد أو أكثر، يتم إرجاع نص الاستجابة بمزيد من المعلومات. على سبيل المثال، إذا أرسلت صفيفا بأربعة مؤشرات، وكانت المؤشرات الثلاثة الأولى جيدة ولكن الرابع لا يحتوي على id (حقل مطلوب)، إنشاء استجابة رمز حالة HTTP 200 مع النص الأساسي التالي:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
يتم إرسال الكائنات كصفيف، لذلك recordIndex يبدأ في 0.
عينات أخرى
نموذج المؤشر
في هذا المثال، يتم وضع علامة على المؤشر ب TLP الأخضر باستخدام marking-definition--089a6ecb-cc15-43cc-9494-767639779123 في الخاصية الشائعة object_marking_refs . يتم أيضا تضمين المزيد من سمات الملحق و toxicityrank . على الرغم من أن هذه الخصائص ليست في مخطط Microsoft Sentinel للمؤشرات، فإن استيعاب كائن بهذه الخصائص لا يؤدي إلى حدوث خطأ. لا تتم الإشارة إلى الخصائص أو فهرستها ببساطة في مساحة العمل.
إشعار
يحتوي هذا المؤشر على الخاصية المعينة revoked إلى $true وتاريخها valid_until في الماضي. لا يعمل هذا المؤشر as-is في قواعد التحليلات ولا يتم إرجاعه في الاستعلامات ما لم يتم تحديد نطاق زمني مناسب.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
نموذج نمط الهجوم
يمكن عرض نمط الهجوم هذا وأي كائنات STIX أخرى غير مؤشرية فقط في واجهة الإدارة ما لم تشترك في جداول STIX الجديدة. لمزيد من المعلومات حول الجداول المطلوبة لعرض كائنات مثل هذه في KQL، راجع عرض التحليل الذكي للمخاطر.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
نموذج العلاقة مع ممثل التهديد والهوية
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
الخطوات التالية
لمعرفة المزيد حول كيفية العمل مع التحليل الذكي للمخاطر في Microsoft Sentinel، راجع المقالات التالية:
- فهم التحليل الذكي للمخاطر
- العمل مع مؤشرات التهديد
- استخدام تحليلات مطابقة للكشف عن التهديدات
- استخدام موجز التحليل الذكي من Microsoft وتمكين موصل بيانات MDTI