إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
استيراد التحليل الذكي للمخاطر لاستخدامه في Microsoft Sentinel مع واجهة برمجة تطبيقات التحميل. سواء كنت تستخدم نظاما أساسيا للتحليل الذكي للمخاطر أو تطبيقا مخصصا، استخدم هذا المستند كمرجع إضافي للإرشادات الواردة في توصيل TIP الخاص بك بواجهة برمجة تطبيقات التحميل. تثبيت موصل البيانات غير مطلوب للاتصال بواجهة برمجة التطبيقات. يتضمن التحليل الذكي للمخاطر الذي يمكنك استيراده مؤشرات للاختراق وعناصر مجال STIX الأخرى.
هام
واجهة برمجة التطبيقات هذه قيد المعاينة حاليا. تتضمن الشروط التكميلية Azure Preview شروطا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.
تعبير معلومات التهديد المنظم (STIX) هو لغة للتعبير عن التهديد الإلكتروني والمعلومات التي يمكن ملاحظتها. يتم تضمين دعم محسن لكائنات المجال التالية مع واجهة برمجة تطبيقات التحميل:
- مؤشر
- نمط الهجوم
- ممثل التهديد
- الهويه
- العلاقه
لمزيد من المعلومات، راجع مقدمة إلى STIX.
ملاحظة
واجهة برمجة تطبيقات مؤشرات التحميل السابقة قديمة الآن. إذا كنت بحاجة إلى الإشارة إلى واجهة برمجة التطبيقات هذه أثناء الانتقال إلى واجهة برمجة تطبيقات التحميل الجديدة هذه، فراجع واجهة برمجة تطبيقات مؤشرات التحميل القديمة.
استدعاء واجهة برمجة التطبيقات
يحتوي استدعاء واجهة برمجة تطبيقات التحميل على خمسة مكونات:
- عنوان URI للطلب
- عنوان رسالة طلب HTTP
- نص رسالة طلب HTTP
- معالجة رأس رسالة استجابة HTTP اختياريا
- معالجة نص رسالة استجابة HTTP اختياريا
تسجيل تطبيق العميل الخاص بك مع Microsoft Entra ID
للمصادقة على Microsoft Sentinel، يتطلب الطلب إلى واجهة برمجة تطبيقات التحميل رمز وصول Microsoft Entra صالحا. لمزيد من المعلومات حول تسجيل التطبيق، راجع تسجيل تطبيق مع النظام الأساسي للهويات في Microsoft أو راجع الخطوات الأساسية كجزء من تحليل ذكي للمخاطر الاتصال مع تحميل إعداد واجهة برمجة التطبيقات.
تتطلب واجهة برمجة التطبيقات هذه منح تطبيق Microsoft Entra الاستدعاء دور المساهم Microsoft Sentinel على مستوى مساحة العمل.
إنشاء الطلب
يغطي هذا القسم المكونات الثلاثة الأولى من المكونات الخمسة التي تمت مناقشتها سابقا. تحتاج أولا إلى الحصول على الرمز المميز للوصول من Microsoft Entra ID، والذي تستخدمه لتجميع رأس رسالة الطلب.
الحصول على رمز مميز للوصول
احصل على رمز وصول Microsoft Entra باستخدام مصادقة OAuth 2.0. V1.0 وV2.0 هي رموز مميزة صالحة مقبولة من قبل واجهة برمجة التطبيقات.
يتم تحديد إصدار الرمز المميز (v1.0 أو v2.0) المستلم بواسطة الخاصية accessTokenAcceptedVersion في بيان التطبيق لواجهة برمجة التطبيقات التي يستدعيها تطبيقك. إذا accessTokenAcceptedVersion تم تعيين إلى 1، فسيتلقى التطبيق الخاص بك رمزا مميزا v1.0.
استخدم مكتبة مصادقة Microsoft (MSAL) للحصول على رمز وصول v1.0 أو v2.0. استخدم الرمز المميز للوصول لإنشاء عنوان التخويل الذي يحتوي على الرمز المميز للحامل.
على سبيل المثال، يستخدم طلب واجهة برمجة تطبيقات التحميل العناصر التالية لاسترداد رمز مميز للوصول وإنشاء عنوان التخويل، والذي يتم استخدامه في كل طلب:
- وظيفه
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token
عناوين لاستخدام تطبيق Microsoft Entra:
- grant_type: "client_credentials"
- client_id: {Client ID of Microsoft Entra App}
- client_secret أو client_certificate: {أسرار تطبيق Microsoft Entra}
- نطاق:
"https://management.azure.com/.default"
إذا تم accessTokenAcceptedVersion تعيين في بيان التطبيق إلى 1، يتلقى التطبيق الخاص بك رمز وصول v1.0 على الرغم من أنه يستدعي نقطة نهاية الرمز المميز v2.
قيمة المورد/النطاق هي جمهور الرمز المميز. تقبل واجهة برمجة التطبيقات هذه الجماعات المستهدفة التالية فقط:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
تجميع رسالة الطلب
طلب URI
تعيين إصدار واجهة برمجة التطبيقات: api-version=2024-02-01-preview
نقطه النهايه: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
الاسلوب: POST
عنوان الطلب
Authorization: يحتوي على الرمز المميز لحامل OAuth2
Content-Type: application/json
نص الطلب
يحتوي كائن JSON للنص الأساسي على الحقول التالية:
| اسم الحقل | نوع البيانات | الوصف |
|---|---|---|
sourcesystem (مطلوب) |
سلسله | حدد اسم النظام المصدر الخاص بك. القيمة Microsoft Sentinel مقيدة. |
stixobjects (مطلوب) |
الصفيف | صفيف من عناصر STIX بتنسيق STIX 2.0 أو 2.1 |
إنشاء صفيف كائنات STIX باستخدام مواصفات تنسيق STIX. يتم توسيع بعض مواصفات خاصية STIX هنا لراحتك مع ارتباطات إلى أقسام مستندات STIX ذات الصلة. لاحظ أيضا أن بعض الخصائص، على الرغم من أنها صالحة ل STIX، لا تحتوي على خصائص مخطط كائن مقابلة في Microsoft Sentinel.
تحذير
إذا كنت تستخدم Microsoft Sentinel Logic App للاتصال بواجهة برمجة تطبيقات التحميل، فلاحظ أن هناك ثلاثة إجراءات للتحليل الذكي للمخاطر متوفرة. استخدم التحليل الذكي للمخاطر فقط - تحميل كائنات STIX (معاينة). سيفشل الاثنان الآخران مع نقطة النهاية هذه وحقول نص JSON.
نموذج رسالة الطلب
فيما يلي نموذج دالة PowerShell التي تستخدم شهادة موقعة ذاتيا تم تحميلها إلى تسجيل تطبيق Entra لإنشاء رمز الوصول ورأس التخويل:
function Test-UploadApi {
<#
.SYNOPSIS
requires Powershell module MSAL.PS version 4.37 or higher
https://www.powershellgallery.com/packages/MSAL.PS/
.EXAMPLE
Test-Api -API UploadApi -WorkspaceName "workspacename" -ResourceGroupName "rgname" -AppId "00001111-aaaa-2222-bbbb-3333cccc4444" -TenantName "contoso.onmicrosoft.com" -FilePath "C:\Users\user\Documents\stixobjects.json"
#>
[CmdletBinding()]
param (
[Parameter(Mandatory = $true)]
[string]$TenantName,
[Parameter(Mandatory = $true)]
[string]$CertThumbprint,
[Parameter(Mandatory = $true)]
[string]$AppId,
[Parameter(Mandatory = $true)]
[string]$WorkspaceId,
[Parameter(Mandatory = $true)]
[string]$FilePath
)
$Scope = "https://management.azure.com/.default"
# Connection details for getting initial token with self-signed certificate from local store
$connectionDetails = @{
'TenantId' = $TenantName
'ClientId' = $AppId
'ClientCertificate' = Get-Item -Path "Cert:\CurrentUser\My\$CertThumbprint"
scope = $Scope
}
# Request the token
# Using Powershell module MSAL.PS https://www.powershellgallery.com/packages/MSAL.PS/
# Get-MsalToken is automatically using OAuth 2.0 token endpoint https://login.microsoftonline.com/$TenantName/oauth2/v2.0/token
# and sets auth flow to grant_type = 'client_credentials'
$token = Get-MsalToken @connectionDetails
# Create header
# Again relying on MSAL.PS which has method CreateAuthorizationHeader() getting us the bearer token
$Header = @{
'Authorization' = $token.CreateAuthorizationHeader()
}
$Uri = "https://api.ti.sentinel.azure.com/workspaces/$workspaceId/threat-intelligence-stix-objects:upload?api-version=$apiVersion"
$stixobjects = get-content -path $FilePath
if(-not $stixobjects) { Write-Host "No file found at $FilePath"; break }
$results = Invoke-RestMethod -Uri $Uri -Headers $Header -Body $stixobjects -Method POST -ContentType "application/json"
$results | ConvertTo-Json -Depth 4
}
الخصائص الشائعة
تشترك جميع الكائنات التي تقوم باستيرادها باستخدام واجهة برمجة تطبيقات التحميل في هذه الخصائص الشائعة.
| اسم الخاصية | النوع | الوصف |
|---|---|---|
id (مطلوب) |
سلسله | معرف يستخدم لتعريف كائن STIX. راجع القسم 2.9 للحصول على مواصفات حول كيفية إنشاء id. يبدو التنسيق مشابها indicator--<UUID> |
spec_version (اختياري) |
سلسله | إصدار عنصر STIX. هذه القيمة مطلوبة في مواصفات STIX، ولكن نظرا لأن واجهة برمجة التطبيقات هذه تدعم STIX 2.0 و2.1 فقط، عندما لا يتم تعيين هذا الحقل، يتم تعيين واجهة برمجة التطبيقات افتراضيا إلى 2.0 |
type (مطلوب) |
سلسله | يجب أن تكون قيمة هذه الخاصية كائن STIX معتمدا. |
created (مطلوب) |
الطابع الزمني | راجع القسم 3.2 للحصول على مواصفات هذه الخاصية الشائعة. |
created_by_ref (اختياري) |
سلسله | تحدد الخاصية created_by_ref خاصية المعرف للكيان الذي أنشأ هذا الكائن. إذا تم حذف هذه السمة، يكون مصدر هذه المعلومات غير معرف. بالنسبة لمنشئي العناصر الذين يرغبون في البقاء مجهولين، احتفظ بهذه القيمة غير محددة. |
modified (مطلوب) |
الطابع الزمني | راجع القسم 3.2 للحصول على مواصفات هذه الخاصية الشائعة. |
revoked (اختياري) |
منطقيه | لم يعد منشئ العنصر يعتبر العناصر التي تم إبطالها صالحة. إبطال كائن دائم؛ يجب عدم إنشاء الإصدارات المستقبلية من الكائن مع هذاid.القيمة الافتراضية لهذه الخاصية خاطئة. |
labels (اختياري) |
قائمة السلاسل |
labels تحدد الخاصية مجموعة من المصطلحات المستخدمة لوصف هذا الكائن. يتم تعريف المصطلحات من قبل المستخدم أو مجموعة الثقة. يتم عرض هذه التسميات كعلامات في Microsoft Sentinel. |
confidence (اختياري) |
صحيح |
confidence تحدد الخاصية الثقة التي يمتلكها المنشئ في صحة بياناته.
يجب أن تكون قيمة الثقة رقما في نطاق 0-100.يحتوي الملحق A على جدول من التعيينات المعيارية لمقاييس الثقة الأخرى التي يجب استخدامها عند تقديم قيمة الثقة في أحد هذه المقاييس. إذا لم تكن خاصية الثقة موجودة، فستكون ثقة المحتوى غير محددة. |
lang (اختياري) |
سلسله |
lang تحدد الخاصية لغة محتوى النص في هذا الكائن. عند وجوده، يجب أن يكون رمز لغة متوافقا مع RFC5646. إذا لم تكن الخاصية موجودة، فإن لغة المحتوى هي en (الإنجليزية).يجب أن تكون هذه الخاصية موجودة إذا كان نوع العنصر يحتوي على خصائص نص قابلة للترجمة (على سبيل المثال، الاسم والوصف). قد تتجاوز لغة الحقول الفردية في هذا الكائن الخاصية lang في علامات دقيقة (راجع القسم 7.2.3). |
object_marking_refs (اختياري، بما في ذلك TLP) |
قائمة السلاسل |
object_marking_refs تحدد الخاصية قائمة بخصائص المعرف لكائنات تعريف العلامات التي تنطبق على هذا الكائن. على سبيل المثال، استخدم معرف تعريف علامة بروتوكول إشارة المرور (TLP) لتعيين حساسية مصدر المؤشر. للحصول على تفاصيل حول معرفات تعريف العلامات التي يجب استخدامها لمحتوى TLP، راجع القسم 7.2.1.4في بعض الحالات، على الرغم من أنه غير شائع، قد يتم وضع علامة على تعريفات العلامات نفسها مع إرشادات المشاركة أو التعامل. في هذه الحالة، يجب ألا تحتوي هذه الخاصية على أي مراجع لنفس كائن تعريف العلامة (أي، لا يمكن أن تحتوي على أي مراجع دائرية). راجع القسم 7.2.2 لمزيد من التعريف لعلامات البيانات. |
external_references (اختياري) |
قائمة العناصر |
external_references تحدد الخاصية قائمة بالمراجع الخارجية التي تشير إلى معلومات غير STIX. يتم استخدام هذه الخاصية لتوفير عنوان URL واحد أو أكثر أو أوصاف أو معرفات للسجلات في أنظمة أخرى. |
granular_markings (اختياري) |
قائمة العلامات الدقيقة |
granular_markings تساعد الخاصية في تحديد أجزاء من المؤشر بشكل مختلف. على سبيل المثال، لغة المؤشر هي الإنجليزية، en ولكن الوصف هو الألمانية، de.في بعض الحالات، على الرغم من أنه غير شائع، قد يتم وضع علامة على تعريفات العلامات نفسها مع إرشادات المشاركة أو التعامل. في هذه الحالة، يجب ألا تحتوي هذه الخاصية على أي مراجع لنفس كائن تعريف العلامة (أي، لا يمكن أن تحتوي على أي مراجع دائرية). راجع القسم 7.2.3 لمزيد من التعريف لعلامات البيانات. |
لمزيد من المعلومات، راجع خصائص STIX الشائعة.
مؤشر
| اسم الخاصية | النوع | الوصف |
|---|---|---|
name (اختياري) |
سلسله | اسم يستخدم لتعريف المؤشر. يجب على المنتجين توفير هذه الخاصية لمساعدة المنتجات والمحللين على فهم ما يفعله هذا المؤشر بالفعل. |
description (اختياري) |
سلسله | وصف يوفر المزيد من التفاصيل والسياق حول المؤشر، بما في ذلك الغرض منه وخصائصه الرئيسية. يجب على المنتجين توفير هذه الخاصية لمساعدة المنتجات والمحللين على فهم ما يفعله هذا المؤشر بالفعل. |
indicator_types (اختياري) |
قائمة السلاسل | مجموعة من التصنيفات لهذا المؤشر. يجب أن تأتي قيم هذه الخاصية من نوع المؤشر-ov |
pattern (مطلوب) |
سلسله | قد يتم التعبير عن نمط الكشف لهذا المؤشر كنمط STIX أو لغة مناسبة أخرى مثل SNORT وYRA وما إلى ذلك. |
pattern_type (مطلوب) |
سلسله | لغة النمط المستخدمة في هذا المؤشر. يجب أن تأتي قيمة هذه الخاصية من أنواع الأنماط. يجب أن تتطابق قيمة هذه الخاصية مع نوع بيانات النمط المضمنة في خاصية النمط. |
pattern_version (اختياري) |
سلسله | إصدار لغة النمط المستخدمة للبيانات في خاصية النمط، والتي يجب أن تتطابق مع نوع بيانات النمط المضمنة في خاصية النمط. بالنسبة للأنماط التي لا تحتوي على مواصفات رسمية، يجب استخدام إصدار البنية أو التعليمات البرمجية الذي يعرف أن النمط يعمل معه. بالنسبة للغة نمط STIX، يحدد إصدار المواصفات للكائن القيمة الافتراضية. بالنسبة للغات الأخرى، يجب أن تكون القيمة الافتراضية أحدث إصدار من لغة الأنماط في وقت إنشاء هذا الكائن. |
valid_from (مطلوب) |
الطابع الزمني | الوقت الذي يعتبر فيه هذا المؤشر مؤشرا صالحا للسلوكيات المرتبطة به أو التي يمثلها. |
valid_until (اختياري) |
الطابع الزمني | الوقت الذي يجب فيه عدم اعتبار هذا المؤشر مؤشرا صالحا للسلوكيات المرتبطة به أو التي يمثلها. إذا تم حذف خاصية valid_until، فلا يوجد قيد على آخر وقت يكون فيه المؤشر صالحا. يجب أن يكون هذا الطابع الزمني أكبر من الطابع الزمني valid_from. |
kill_chain_phases (اختياري) |
قائمة السلسلة | مراحل سلسلة القتل التي يتوافق مع هذا المؤشر. يجب أن تأتي قيمة هذه الخاصية من مرحلة Kill Chain. |
لمزيد من المعلومات، راجع مؤشر STIX.
نمط الهجوم
اتبع مواصفات STIX لإنشاء عنصر STIX لنمط الهجوم. استخدم هذا المثال كمرجع إضافي.
لمزيد من المعلومات، راجع نمط هجوم STIX.
الهوية
اتبع مواصفات STIX لإنشاء كائن STIX للهوية. استخدم هذا المثال كمرجع إضافي.
لمزيد من المعلومات، راجع هوية STIX.
ممثل التهديد
اتبع مواصفات STIX لإنشاء عنصر STIX لممثل التهديد. استخدم هذا المثال كمرجع إضافي.
لمزيد من المعلومات، راجع STIX threat actor.
العلاقه
اتبع مواصفات STIX لإنشاء كائن STIX للعلاقة. استخدم هذا المثال كمرجع إضافي.
لمزيد من المعلومات، راجع علاقة STIX.
معالجة رسالة الاستجابة
يحتوي عنوان الاستجابة على رمز حالة HTTP. راجع هذا الجدول لمزيد من المعلومات حول كيفية تفسير نتيجة استدعاء واجهة برمجة التطبيقات.
| رمز الحالة | الوصف |
|---|---|
| 200 | النجاح. تقوم واجهة برمجة التطبيقات بإرجاع 200 عند التحقق من صحة عنصر STIX واحد أو أكثر ونشره بنجاح. |
| 400 | تنسيق غير صحيح. لم يتم تنسيق شيء ما في الطلب بشكل صحيح. |
| 401 | غير المصرح به. |
| 404 | لم يتم العثور على الملف. يحدث هذا الخطأ عادة عندما لا يتم العثور على معرف مساحة العمل. |
| 429 | تم تجاوز الحد الأقصى لعدد الطلبات في دقيقة واحدة. |
| 500 | خطأ في الخادم. عادة ما يكون خطأ في واجهة برمجة التطبيقات أو خدمات Microsoft Sentinel. |
نص الاستجابة عبارة عن صفيف من رسائل الخطأ بتنسيق JSON:
| اسم الحقل | نوع البيانات | الوصف |
|---|---|---|
| اخطاء | صفيف من عناصر الخطأ | قائمة أخطاء التحقق من الصحة |
كائن الخطأ
| اسم الحقل | نوع البيانات | الوصف |
|---|---|---|
| recordIndex | الباحث | فهرس كائنات STIX في الطلب |
| errorMessages | صفيف من السلاسل | رسائل الخطأ |
حدود التقييد لواجهة برمجة التطبيقات
يتم تطبيق جميع الحدود لكل مستخدم:
- 100 كائن لكل طلب.
- 100 طلب في الدقيقة.
إذا كان هناك طلبات أكثر من الحد، 429 يتم إرجاع رمز حالة http في رأس الاستجابة مع نص الاستجابة التالي:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
ما يقرب من 10000 عنصر في الدقيقة هو الحد الأقصى لمعدل النقل قبل تلقي خطأ التقييد.
نموذج نص طلب المؤشر
يوضح المثال التالي كيفية تمثيل مؤشرين في مواصفات STIX.
Test Indicator 2 يسلط الضوء على بروتوكول Traffic Light Protocol (TLP) الذي تم تعيينه إلى أبيض مع وضع علامة على الكائن المعين، وتوضيح وصفه وتسمياته باللغة الإنجليزية.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
نموذج نص الاستجابة مع خطأ التحقق من الصحة
إذا تم التحقق من صحة جميع كائنات STIX بنجاح، يتم إرجاع حالة HTTP 200 مع نص استجابة فارغ.
إذا فشل التحقق من الصحة لعنصر واحد أو أكثر، يتم إرجاع نص الاستجابة بمزيد من المعلومات. على سبيل المثال، إذا أرسلت صفيفا بأربعة مؤشرات، وكانت الثلاثة الأولى جيدة ولكن الرابعة لا تحتوي على id (حقل مطلوب)، فسيتم إنشاء استجابة رمز حالة HTTP 200 مع النص التالي:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
يتم إرسال الكائنات كصفيف، لذلك recordIndex يبدأ في 0.
عينات أخرى
نموذج مؤشر
في هذا المثال، يتم وضع علامة على المؤشر ب TLP الأخضر باستخدام marking-definition--089a6ecb-cc15-43cc-9494-767639779123 في الخاصية الشائعة object_marking_refs . يتم أيضا تضمين المزيد من سمات الملحق ل toxicity و rank . على الرغم من أن هذه الخصائص ليست في مخطط Microsoft Sentinel للمؤشرات، فإن استيعاب كائن بهذه الخصائص لا يؤدي إلى حدوث خطأ. لا تتم الإشارة إلى الخصائص أو فهرستها في مساحة العمل.
ملاحظة
يحتوي هذا المؤشر على الخاصية المعينة revoked إلى $true وتاريخها valid_until في الماضي. لا يعمل هذا المؤشر كما هو في قواعد التحليلات ولا يتم إرجاعه في الاستعلامات ما لم يتم تحديد نطاق زمني مناسب.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
نموذج نمط الهجوم
لا يمكن عرض نمط الهجوم هذا وأي كائنات STIX أخرى غير مؤشرية إلا في واجهة الإدارة ما لم تشترك في جداول STIX الجديدة. لمزيد من المعلومات حول الجداول المطلوبة لعرض كائنات مثل هذه في KQL، راجع عرض التحليل الذكي للمخاطر.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
نموذج العلاقة مع ممثل التهديد والهوية
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
الخطوات التالية
لمعرفة المزيد حول كيفية العمل مع التحليل الذكي للمخاطر في Microsoft Sentinel، راجع المقالات التالية:
- فهم التحليل الذكي للمخاطر
- العمل مع مؤشرات التهديد
- استخدام تحليلات مطابقة للكشف عن التهديدات
- استخدام موجز التحليل الذكي من Microsoft وتمكين موصل بيانات MDTI