Hromadné přidání analýzy hrozeb do Microsoft Sentinel ze souboru CSV nebo JSON

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Tento článek ukazuje, jak přidat indikátory z objektů CSV nebo STIX ze souboru JSON do analýzy hrozeb Microsoft Sentinel. Vzhledem k tomu, že ke sdílení analýzy hrozeb stále dochází v e-mailech a dalších neformálních kanálech během probíhajícího vyšetřování, je možnost rychle importovat tyto informace do Microsoft Sentinel důležitá pro předávání nově vznikajících hrozeb vašemu týmu. Tyto identifikované hrozby jsou pak k dispozici pro další analýzy, jako je vytváření výstrah zabezpečení, incidentů a automatizovaných reakcí.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender. Od července 2025 se mnoho nových zákazníků automaticky onboarduje a přesměruje na portál Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu Je čas přesunout: Vyřazování Microsoft Sentinel Azure Portal pro větší zabezpečení.

Požadavky

Abyste mohli ukládat analýzu hrozeb, musíte mít oprávnění ke čtení a zápisu do pracovního prostoru Microsoft Sentinel.

Výběr šablony importu pro analýzu hrozeb

Přidejte několik objektů analýzy hrozeb pomocí speciálně vytvořeného souboru CSV nebo JSON. Stáhněte si šablony souborů, abyste se seznámili s poli a s tím, jak se mapují na data, která máte. Zkontrolujte požadovaná pole pro každý typ šablony a před importem ověřte data.

  1. Pro Microsoft Sentinel v Azure Portal vyberte v části Správa hrozeb možnost Analýza hrozeb.

    Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Správa> hrozeb.

  2. Vyberte Importovat>import pomocí souboru.

  3. V rozevírací nabídce Formát souboru vyberte CSV nebo JSON.

    Snímek obrazovky znázorňující rozevírací nabídku pro nahrání souboru CSV nebo JSON, výběr šablony ke stažení a zadání zdroje

    Poznámka

    Šablona CSV podporuje jenom indikátory. Šablona JSON podporuje indikátory a další objekty STIX, jako jsou aktéři hrozeb, vzory útoků, identity a vztahy. Další informace o vytváření podporovaných objektů STIX ve formátu JSON najdete v tématu Referenční informace k rozhraní API pro nahrávání.

  4. Po výběru šablony hromadného nahrání vyberte odkaz Stáhnout šablonu .

  5. Zvažte seskupení analýzy hrozeb podle zdroje, protože každé nahrání souboru vyžaduje jednu.

Šablony obsahují všechna pole, která potřebujete k vytvoření jednoho platného ukazatele, včetně povinných polí a ověřovacích parametrů. Replikováním této struktury naplníte více indikátorů v jednom souboru, nebo do souboru JSON přidejte objekty STIX. Další informace o šablonách najdete v tématu Vysvětlení šablon importu.

Nahrání souboru analýzy hrozeb

  1. Změňte název souboru z výchozího nastavení šablony, ale příponu souboru ponechte jako .csv nebo .json. Když vytvoříte jedinečný název souboru, můžete snadněji monitorovat importy z podokna Spravovat importy souborů .

  2. Přetáhněte soubor hromadné analýzy hrozeb do části Nahrát soubor nebo ho vyhledejte pomocí odkazu.

  3. Do textového pole Zdroj zadejte zdroj pro analýzu hrozeb. Tato hodnota se orazítkuje na všechny indikátory zahrnuté v tomto souboru. Zobrazte tuto vlastnost jako SourceSystem pole. Zdroj se také zobrazí v podokně Spravovat importy souborů . Další informace najdete v tématu Práce s indikátory hrozeb.

  4. Vyberte, jak mají Microsoft Sentinel zpracovávat neplatné položky, a to tak, že vyberete jedno z tlačítek v dolní části podokna Importovat pomocí souboru:

    • Importujte pouze platné položky a všechny neplatné položky ze souboru ponechte stranou.
    • Neimportujte žádné položky, pokud je jeden objekt v souboru neplatný.

    Snímek obrazovky s rozevírací nabídkou pro nahrání souboru CSV nebo JSON, výběr šablony a zadání zdroje se zvýrazněným tlačítkem Importovat

  5. Vyberte Importovat.

Správa importů souborů

Monitorujte importy a zobrazte zprávy o chybách pro částečně importované nebo neúspěšné importy.

  1. Vyberte Importovat>Spravovat importy souborů.

    Snímek obrazovky znázorňující možnost nabídky pro správu importů souborů

  2. Zkontrolujte stav importovaných souborů a počet neplatných položek. Po zpracování souboru se aktualizuje platný počet položek. Počkejte na dokončení importu, abyste získali aktualizovaný počet platných položek.

    Snímek obrazovky znázorňující podokno Spravovat importy souborů s ukázkovými daty pro příjem dat Sloupce zobrazují seřazené podle importovaných čísel s různými zdroji.

  3. Importy můžete zobrazit a seřadit tak, že vyberete Zdroj, Název souboru analýzy hrozeb, číslo Importováno, Celkový počet položek v každém souboru nebo Datum vytvoření .

  4. Vyberte náhled souboru chyb nebo si stáhněte soubor s chybami, který obsahuje chyby týkající se neplatných položek.

Microsoft Sentinel udržuje stav importu souborů po dobu 30 dnů. Skutečný soubor a přidružený soubor chyb se v systému uchovávají po dobu 24 hodin. Po 24 hodinách se soubor a soubor s chybami odstraní, ale všechny ingestované indikátory se dál zobrazují ve analýze hrozeb.

Principy importovaných šablon

Zkontrolujte jednotlivé šablony a ujistěte se, že se analýza hrozeb úspěšně naimportuje. Nezapomeňte si projděte pokyny v souboru šablony a následující doplňující doprovodné materiály.

Struktura šablon CSV

  1. V rozevírací nabídce Typ ukazatele vyberte CSV. Pak vyberte mezi možnostmi Indikátory souboru nebo Všechny ostatní typy indikátorů .

    Šablona CSV potřebuje více sloupců, aby se přizpůsobila typu indikátoru souboru, protože indikátory souborů můžou mít několik typů hash, jako je MD5 a SHA256. Všechny ostatní typy indikátorů, jako jsou IP adresy, vyžadují pouze pozorovatelný typ a pozorovatelnou hodnotu.

  2. Záhlaví sloupců pro šablonu Csv Všechny ostatní typy indikátorů obsahují pole, jako threatTypesjsou , jeden nebo více tags, confidencea tlpLevel. Protokol TLP (Traffic Light Protocol) je označení citlivosti, které pomáhá při rozhodování o sdílení analýzy hrozeb.

  3. Vyžadují se validFrompouze pole , observableTypea observableValue .

  4. Odstraněním celého prvního řádku ze šablony odeberte komentáře před nahráním.

    Maximální velikost souboru pro import souboru CSV je 50 MB.

Tady je příklad indikátoru názvu domény, který používá šablonu CSV:

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

Struktura šablony JSON

  1. Pro všechny typy objektů STIX existuje pouze jedna šablona JSON. Šablona JSON je založená na formátu STIX 2.1.

  2. Element type podporuje indicator, attack-pattern, identity, threat-actora relationship.

  3. U indikátorů pattern element podporuje typy indikátorů file, ipv4-addr, ipv6-addr, domain-name, url, user-account, email-addra windows-registry-key.

  4. Před nahráním odeberte komentáře k šablonám.

  5. Zavřete poslední objekt v poli pomocí čárky } bez čárky.

    Maximální velikost souboru pro import souboru JSON je 250 MB.

Tady je příklad ipv4-addr indikátoru a attack-pattern použití formátu souboru JSON:

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
        "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    },
    {
        "type": "attack-pattern",
        "spec_version": "2.1",
        "id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
        "created": "2015-05-15T09:12:16.432Z",
        "modified": "2015-05-20T09:12:16.432Z",
        "created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
        "revoked": false,
        "labels": [
            "heartbleed",
            "has-logo"
        ],
        "confidence": 55,
        "lang": "en",
        "object_marking_refs": [
            "marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
        ],
        "granular_markings": [
            {
                "marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
                "selectors": [
                    "description",
                    "labels"
                ],
                "lang": "en"
            }
        ],
        "extensions": {
            "extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
                "extension_type": "property-extension",
                "rank": 5,
                "toxicity": 8
            }
        },
        "external_references": [
            {
                "source_name": "capec",
                "description": "spear phishing",
                "external_id": "CAPEC-163"
            }
        ],
        "name": "Attack Pattern 2.1",
        "description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
        "kill_chain_phases": [
            {
                "kill_chain_name": "mandiant-attack-lifecycle-model",
                "phase_name": "initial-compromise"
            }
        ],
        "aliases": [
            "alias_1",
            "alias_2"
        ]
    }
]

Související obsah

V tomto článku jste zjistili, jak ručně posílit analýzu hrozeb importem indikátorů a dalších objektů STIX shromážděných v plochých souborech. Další informace o tom, jak analýza hrozeb podporuje další analýzy v Microsoft Sentinel, najdete v následujících článcích:

  • Last updated on