Sdílet prostřednictvím

Hromadné přidávání indikátorů do analýzy hrozeb v Microsoft Sentinelu ze souboru CSV nebo JSON

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

V tomto průvodci postupy přidáte do analýzy hrozeb Microsoft Sentinel indikátory ze souboru CSV nebo JSON. Během probíhajícího vyšetřování stále probíhá sdílení analýzy hrozeb mezi e-maily a dalšími neformálními kanály. Možnost importovat ukazatele přímo do analýzy hrozeb v Microsoft Sentinelu umožňuje rychle socializovat vznikající hrozby pro váš tým a zpřístupnit je dalším analýzám, jako je vytváření výstrah zabezpečení, incidentů a automatizovaných reakcí.

Důležité

Tato funkce je aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

  • Abyste mohli ukládat indikátory hrozeb, musíte mít oprávnění ke čtení a zápisu do pracovního prostoru Microsoft Sentinelu.

Výběr šablony importu pro indikátory

Přidejte do analýzy hrozeb několik indikátorů pomocí speciálně vytvořeného souboru CSV nebo JSON. Stáhněte si šablony souborů, abyste se seznámili s poli a jejich mapováním na data, která máte. Před importem zkontrolujte požadovaná pole pro každý typ šablony a ověřte svá data.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Analýzu hrozeb.
    Pro Microsoft Sentinel na portálu Defender vyberte analýzu hrozeb pro správu>hrozeb v Microsoft Sentinelu>.

  2. Vyberte Importovat>pomocí souboru.

  3. V rozevírací nabídce Formát souboru zvolte CSV nebo JSON.

    Snímek obrazovky s informačním rámečkem nabídky pro nahrání souboru CSV nebo JSON, zvolení šablony ke stažení a zadání zdroje

  4. Po výběru šablony hromadného nahrání vyberte odkaz Stáhnout šablonu.

  5. Zvažte seskupení indikátorů podle zdroje, protože každý nahrání souboru vyžaduje jeden.

Šablony obsahují všechna pole, která potřebujete k vytvoření jednoho platného indikátoru, včetně požadovaných polí a ověřovacích parametrů. Replikujte danou strukturu, aby se do jednoho souboru naplnily další indikátory. Další informace o šablonách najdete v tématu Vysvětlení šablon importu.

Nahrání souboru indikátoru

  1. Změňte název souboru z výchozí šablony, ale příponu souboru ponechte jako .csv nebo .json. Při vytváření jedinečného názvu souboru je jednodušší monitorovat importy z podokna Spravovat importy souborů.

  2. Přetáhněte soubor indikátorů do oddílu Nahrát soubor nebo vyhledejte soubor pomocí odkazu.

  3. Do textového pole Zdroj zadejte zdroj indikátorů. Tato hodnota se označí u všech indikátorů zahrnutých v tomto souboru. Zobrazit tuto vlastnost jako SourceSystem pole. Zdroj se zobrazí také v podokně Spravovat import souborů. Další informace najdete v tématu Práce s indikátory hrozeb.

  4. Vyberte, jak má Microsoft Sentinel zpracovávat neplatné položky indikátoru, a to výběrem některého z přepínačů v dolní části podokna Import pomocí podokna souborů .

    • Importujte pouze platné indikátory a ponechte z souboru všechny neplatné indikátory.
    • Pokud je jeden indikátor v souboru neplatný, neimportujte žádné indikátory.

    Snímek obrazovky s rozevíracím seznamem nabídek pro nahrání souboru CSV nebo JSON, zvolením šablony, která se má stáhnout, a zadáním zdroje se zvýrazněným tlačítkem Importovat

  5. Vyberte tlačítko Importovat.

Správa importů souborů

Monitorujte importy a zobrazte chybové zprávy pro částečně importované nebo neúspěšné importy.

  1. Vyberte Importovat>importy souborů Spravovat.

    Snímek obrazovky s možností nabídky pro správu importů souborů

  2. Zkontrolujte stav importovanýchsouborůch Po zpracování souboru se aktualizuje platný počet indikátorů. Počkejte na dokončení importu a získejte aktualizovaný počet platných indikátorů.

    Snímek obrazovky s podoknem spravovat importy souborů s ukázkovými daty příjmu dat Sloupce zobrazují seřazené podle importovaného čísla s různými zdroji.

  3. Importy můžete zobrazit a seřadit výběrem možnosti Zdroj, název souboru ukazatele, číslo Importováno, Celkový počet indikátorů v každém souboru nebo Datum vytvoření.

  4. Vyberte náhled chybového souboru nebo stáhněte soubor chyby obsahující chyby týkající se neplatných indikátorů.

Microsoft Sentinel udržuje stav importu souboru po dobu 30 dnů. Skutečný soubor a přidružený chybový soubor se uchovávají v systému po dobu 24 hodin. Po 24 hodinách se soubor a soubor chyby odstraní, ale všechny ingestované indikátory se budou dál zobrazovat ve funkci Analýza hrozeb.

Vysvětlení šablon importu

Zkontrolujte jednotlivé šablony a ujistěte se, že se indikátory úspěšně naimportují. Nezapomeňte odkazovat na pokyny v souboru šablony a následující doplňkové pokyny.

Struktura šablon CSV

  1. Při výběru souboru CSV vyberte mezi indikátory souborů nebo možnostmi Všechny ostatní typy indikátorů z rozevírací nabídky Typ ukazatele.

    Šablona CSV potřebuje k přizpůsobení typu indikátoru souboru více sloupců, protože indikátory souborů můžou mít více typů hash, jako je MD5, SHA256 a další. Všechny ostatní typy indikátorů, jako jsou IP adresy, vyžadují pouze pozorovatelný typ a pozorovatelnou hodnotu.

  2. Záhlaví sloupců pro sdílený svazek clusteru Všechny ostatní typy ukazatelů obsahují pole, jako threatTypesje například , jeden nebo více tagsconfidence, a tlpLevel. TLP (Traffic Light Protocol) je označení citlivosti, které pomáhá při rozhodování o sdílení analýzy hrozeb.

  3. Jsou vyžadovány validFromobservableType pouze pole a observableValue pole.

  4. Před odesláním odstraňte celý první řádek ze šablony a odeberte komentáře.

  5. Mějte na paměti, že maximální velikost souboru pro import souboru CSV je 50 MB.

Tady je příklad indikátoru názvu domény pomocí šablony CSV.

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

Struktura šablony JSON

  1. Pro všechny typy indikátorů existuje jenom jedna šablona JSON. Šablona JSON je založená na formátu STIX 2.1.

  2. Element pattern podporuje typy indikátorů: file, ipv4-addr, ipv6-addr, domain-name, url, user-account, email-addr a windows-registry-key types.

  3. Před nahráním odeberte komentáře šablony.

  4. Zavřete poslední indikátor v poli pomocí } čárky bez čárky.

  5. Mějte na paměti, že maximální velikost souboru pro import souboru JSON je 250 MB.

Tady je příklad indikátoru ipv4-addr pomocí šablony JSON.

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

Související obsah

V tomto článku se dozvíte, jak ručně posílit analýzu hrozeb importem indikátorů shromážděných v plochých souborech. Podívejte se na tyto odkazy a zjistěte, jak indikátory používají další analýzy v Microsoft Sentinelu.