Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Import analýzy hrozeb pro použití v Microsoft Sentinelu s rozhraním API pro nahrávání Bez ohledu na to, jestli používáte platformu analýzy hrozeb nebo vlastní aplikaci, použijte tento dokument jako doplňkový odkaz na pokyny v části Připojení TIP s rozhraním API pro nahrání. Instalace datového konektoru není nutná pro připojení k rozhraní API. Analýza hrozeb, kterou můžete importovat, zahrnuje indikátory ohrožení zabezpečení a dalších objektů domény STIX.
Důležité
Toto rozhraní API je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Výraz STIX (Structured Threat Information Expression) je jazyk pro vyjádření kybernetických hrozeb a pozorovatelných informací. Rozšířená podpora následujících objektů domény je součástí rozhraní API pro nahrávání:
- indikátor
- vzor útoku
- objekt actor hrozby
- identita
- relace
Další informace naleznete v tématu Úvod do STIX.
Poznámka:
Rozhraní API pro předchozí indikátory nahrávání je teď starší verze. Pokud potřebujete na toto rozhraní API odkazovat při přechodu na toto nové rozhraní API pro nahrávání, přečtěte si téma Rozhraní API indikátorů starší verze nahrávání.
Volání rozhraní API
Volání rozhraní API pro nahrávání má pět komponent:
- Identifikátor URI požadavku
- Hlavička zprávy požadavku HTTP
- Text zprávy požadavku HTTP
- Volitelně můžete zpracovat hlavičku zprávy odpovědi HTTP.
- Volitelně zpracovat text zprávy odpovědi HTTP
Registrace klientské aplikace pomocí Microsoft Entra ID
Aby bylo možné provést ověření ve službě Microsoft Sentinel, požadavek na rozhraní API pro nahrání vyžaduje platný přístupový token Microsoft Entra. Další informace o registraci aplikace najdete v tématu Registrace aplikace na platformě Microsoft Identity Platform nebo se podívejte na základní kroky v rámci připojení analýzy hrozeb s nastavením rozhraní API pro nahrávání.
Toto rozhraní API vyžaduje, aby volající aplikaci Microsoft Entra byla udělena role přispěvatele Microsoft Sentinelu na úrovni pracovního prostoru.
Vytvoření požadavku
Tato část popisuje první tři z pěti součástí, které jsme probírali dříve. Nejdřív musíte získat přístupový token z ID Microsoft Entra, které použijete k sestavení hlavičky zprávy požadavku.
Získání přístupového tokenu
Získejte přístupový token Microsoft Entra pomocí ověřování OAuth 2.0. Rozhraní API přijímá platné tokeny V1.0 a V2.0 .
Verze přijatého tokenu (v1.0 nebo v2.0) je určena accessTokenAcceptedVersion vlastností v manifestu aplikace rozhraní API, které vaše aplikace volá. Pokud accessTokenAcceptedVersion je nastavená hodnota 1, aplikace obdrží token v1.0.
K získání přístupového tokenu v1.0 nebo v2.0 použijte knihovnu MSAL (Microsoft Authentication Library). Pomocí přístupového tokenu vytvořte autorizační hlavičku, která obsahuje nosný token.
Například požadavek na rozhraní API pro nahrání používá následující prvky k načtení přístupového tokenu a vytvoření autorizační hlavičky, která se používá v každém požadavku:
- POST
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token
Hlavičky pro používání aplikace Microsoft Entra:
- grant_type: "client_credentials"
- client_id: {ID klienta aplikace Microsoft Entra}
- client_secret nebo client_certificate: {secrets of the Microsoft Entra App}
- rozsah:
"https://management.azure.com/.default"
Pokud accessTokenAcceptedVersion je v manifestu aplikace nastavená hodnota 1, aplikace obdrží přístupový token verze 1.0, i když volá koncový bod tokenu v2.
Hodnota prostředku nebo oboru je cílová skupina tokenu. Toto rozhraní API přijímá pouze následující cílové skupiny:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
Sestavení zprávy požadavku
Identifikátor URI žádosti
Správa verzí rozhraní API: api-version=2024-02-01-preview
Koncový bod: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
Metoda: POST
Hlavička požadavku
Authorization: Obsahuje nosný token OAuth2.
Content-Type: application/json
Text požadavku
Objekt JSON pro tělo obsahuje následující pole:
| Název pole | Datový typ | Popis |
|---|---|---|
sourcesystem (povinné) |
řetězec | Identifikujte název zdrojového systému. Hodnota Microsoft Sentinel je omezená. |
stixobjects (povinné) |
pole | Pole objektů STIX ve formátu STIX 2.0 nebo 2.1 |
Vytvořte pole objektů STIX pomocí specifikace formátu STIX. Některé specifikace vlastností STIX jsou zde rozšířeny pro vaše pohodlí s odkazy na příslušné části dokumentu STIX. Všimněte si také některých vlastností, zatímco platí pro STIX, nemají odpovídající vlastnosti schématu objektu v Microsoft Sentinelu.
Výstraha
Pokud k připojení k rozhraní API pro nahrávání používáte aplikaci logiky Microsoft Sentinelu, mějte na paměti, že jsou k dispozici tři akce analýzy hrozeb. Používejte pouze analýzu hrozeb – nahrajte objekty STIX (Preview). Ostatní dva selžou s tímto koncovým bodem a poli textu JSON.
Ukázková zpráva požadavku
Tady je ukázková funkce PowerShellu, která používá certifikát podepsaný svým držitelem nahraný do registrace aplikace Entra k vygenerování přístupového tokenu a autorizační hlavičky:
function Test-UploadApi {
<#
.SYNOPSIS
requires Powershell module MSAL.PS version 4.37 or higher
https://www.powershellgallery.com/packages/MSAL.PS/
.EXAMPLE
Test-Api -API UploadApi -WorkspaceName "workspacename" -ResourceGroupName "rgname" -AppId "00001111-aaaa-2222-bbbb-3333cccc4444" -TenantName "contoso.onmicrosoft.com" -FilePath "C:\Users\user\Documents\stixobjects.json"
#>
[CmdletBinding()]
param (
[Parameter(Mandatory = $true)]
[string]$TenantName,
[Parameter(Mandatory = $true)]
[string]$CertThumbprint,
[Parameter(Mandatory = $true)]
[string]$AppId,
[Parameter(Mandatory = $true)]
[string]$WorkspaceId,
[Parameter(Mandatory = $true)]
[string]$FilePath
)
$Scope = "https://management.azure.com/.default"
# Connection details for getting initial token with self-signed certificate from local store
$connectionDetails = @{
'TenantId' = $TenantName
'ClientId' = $AppId
'ClientCertificate' = Get-Item -Path "Cert:\CurrentUser\My\$CertThumbprint"
scope = $Scope
}
# Request the token
# Using Powershell module MSAL.PS https://www.powershellgallery.com/packages/MSAL.PS/
# Get-MsalToken is automatically using OAuth 2.0 token endpoint https://login.microsoftonline.com/$TenantName/oauth2/v2.0/token
# and sets auth flow to grant_type = 'client_credentials'
$token = Get-MsalToken @connectionDetails
# Create header
# Again relying on MSAL.PS which has method CreateAuthorizationHeader() getting us the bearer token
$Header = @{
'Authorization' = $token.CreateAuthorizationHeader()
}
$Uri = "https://api.ti.sentinel.azure.com/workspaces/$workspaceId/threat-intelligence-stix-objects:upload?api-version=$apiVersion"
$stixobjects = get-content -path $FilePath
if(-not $stixobjects) { Write-Host "No file found at $FilePath"; break }
$results = Invoke-RestMethod -Uri $Uri -Headers $Header -Body $stixobjects -Method POST -ContentType "application/json"
$results | ConvertTo-Json -Depth 4
}
Obecné vlastnosti
Všechny objekty, které importujete pomocí rozhraní API pro nahrání, sdílejí tyto společné vlastnosti.
| Název vlastnosti | Typ | Popis |
|---|---|---|
id (povinné) |
řetězec | ID použité k identifikaci objektu STIX. V části 2.9 naleznete specifikace, jak vytvořit id. Formát vypadá nějak takto: indicator--<UUID> |
spec_version (volitelné) |
řetězec | Verze objektu STIX. Tato hodnota je vyžadována ve specifikaci STIX, ale vzhledem k tomu, že toto rozhraní API podporuje pouze STIX 2.0 a 2.1, pokud toto pole není nastavené, rozhraní API ve výchozím nastavení 2.0 |
type (povinné) |
řetězec | Hodnota této vlastnosti musí být podporovaný objekt STIX. |
created (povinné) |
časové razítko | Viz část 3.2 specifikace této společné vlastnosti. |
created_by_ref (volitelné) |
řetězec | Vlastnost created_by_ref určuje vlastnost ID entity, která tento objekt vytvořila. Pokud tento atribut vynecháte, zdroj těchto informací není definován. Pro tvůrce objektů, kteří chtějí zůstat anonymní, ponechte tuto hodnotu nedefinovanou. |
modified (povinné) |
časové razítko | Viz část 3.2 specifikace této společné vlastnosti. |
revoked (volitelné) |
boolean | Odvolané objekty už tvůrce objektu nepovažuje za platné. Odvolání objektu je trvalé; budoucí verze objektu s tímto idobjektem nesmí být vytvořeny.Výchozí hodnota této vlastnosti je false. |
labels (volitelné) |
seznam řetězců | Vlastnost labels určuje sadu termínů použitých k popisu tohoto objektu. Termíny jsou definované uživatelem nebo skupina důvěryhodnosti. Tyto popisky se v Microsoft Sentinelu zobrazují jako značky . |
confidence (volitelné) |
integer | Vlastnost confidence identifikuje jistotu, že tvůrce má ve správnosti svých dat. Hodnota spolehlivosti musí být číslo v rozsahu od 0 do 100.Příloha A obsahuje tabulku normativních mapování na jiná měřítka spolehlivosti, která se musí použít při prezentování hodnoty spolehlivosti v jednom z těchto škál. Pokud vlastnost spolehlivosti není k dispozici, není zadána spolehlivost obsahu. |
lang (volitelné) |
řetězec | Vlastnost lang identifikuje jazyk textového obsahu v tomto objektu. Pokud je k dispozici, musí se jednat o kód jazyka, který odpovídá RFC5646. Pokud vlastnost není k dispozici, jazyk obsahu je en (angličtina).Tato vlastnost by měla být k dispozici, pokud typ objektu obsahuje přeložitelné textové vlastnosti (například název, popis). Jazyk jednotlivých polí v tomto objektu může vlastnost přepsat lang v podrobných označeních (viz bod 7.2.3). |
object_marking_refs (volitelné, včetně TLP) |
seznam řetězců | Vlastnost object_marking_refs určuje seznam vlastností ID objektů definice označení, které se vztahují na tento objekt. K určení citlivosti zdroje indikátoru použijte například ID definice označení TLP (Traffic Light Protocol). Podrobnosti o tom, jaká ID definic označení se mají použít pro obsah TLP, najdete v části 7.2.1.4.V některých případech, i když neobvyklé, označení definic samotných může být označeno pokyny ke sdílení nebo zpracování. V tomto případě nesmí tato vlastnost obsahovat žádné odkazy na stejný objekt definice označení (to znamená, že nemůže obsahovat žádné cyklický odkazy). Další definice označení dat najdete v oddílu 7.2.2 . |
external_references (volitelné) |
seznam objektů | Vlastnost external_references určuje seznam externích odkazů, které odkazují na informace jiné než STIX. Tato vlastnost slouží k poskytnutí jedné nebo více adres URL, popisů nebo ID záznamů v jiných systémech. |
granular_markings (volitelné) |
seznam podrobného označení | Vlastnost granular_markings pomáhá definovat části ukazatele odlišně. Například jazyk ukazatele je angličtina, en ale popis je němčina, de.V některých případech, i když neobvyklé, označení definic samotných může být označeno pokyny ke sdílení nebo zpracování. V tomto případě nesmí tato vlastnost obsahovat žádné odkazy na stejný objekt definice označení (to znamená, že nemůže obsahovat žádné cyklický odkazy). Další definice označení dat najdete v části 7.2.3 . |
Další informace naleznete v tématu SPOLEČNÉ VLASTNOSTI STIX.
Indikátor
| Název vlastnosti | Typ | Popis |
|---|---|---|
name (volitelné) |
řetězec | Název použitý k identifikaci ukazatele. Producenti by měli tuto vlastnost poskytnout, aby pomohli produktům a analytikům pochopit, co tento ukazatel skutečně dělá. |
description (volitelné) |
řetězec | Popis, který poskytuje další podrobnosti a kontext ukazatele, potenciálně včetně jeho účelu a klíčových charakteristik. Producenti by měli tuto vlastnost poskytnout, aby pomohli produktům a analytikům pochopit, co tento ukazatel skutečně dělá. |
indicator_types (volitelné) |
seznam řetězců | Sada kategorizací pro tento ukazatel. Hodnoty této vlastnosti by měly pocházet z ukazatele typu ov. |
pattern (povinné) |
řetězec | Vzor detekce pro tento indikátor může být vyjádřen jako vzorování STIX nebo jiný vhodný jazyk, jako je SNORT, YARA atd. |
pattern_type (povinné) |
řetězec | Jazyk vzoru použitý v tomto indikátoru. Hodnota této vlastnosti by měla pocházet z typů vzorů. Hodnota této vlastnosti se musí shodovat s typem vzorových dat zahrnutých ve vlastnosti vzoru. |
pattern_version (volitelné) |
řetězec | Verze jazyka vzoru používaného pro data ve vlastnosti vzoru, která se musí shodovat s typem vzorových dat zahrnutých ve vlastnosti vzoru. U vzorů, které nemají formální specifikaci, by se měl použít build nebo verze kódu, se kterou tento vzor pracuje. Pro jazyk vzoru STIX určuje verze specifikace objektu výchozí hodnotu. V jiných jazycích by výchozí hodnota měla být nejnovější verzí jazyka vzorování v době vytvoření tohoto objektu. |
valid_from (povinné) |
časové razítko | Čas, od kterého je tento indikátor považován za platný indikátor chování, se kterým souvisí nebo představuje. |
valid_until (volitelné) |
časové razítko | Čas, kdy by se tento indikátor již neměl považovat za platný indikátor chování, se kterým souvisí nebo představuje. Pokud je vlastnost valid_until vynechána, není k dispozici žádné omezení posledního času, kdy je indikátor platný. Toto časové razítko musí být větší než časové razítko valid_from. |
kill_chain_phases (volitelné) |
seznam řetězců | Fáze řetězu ukončení, ke kterým tento ukazatel odpovídá. Hodnota této vlastnosti by měla pocházet z fáze Kill Chain. |
Další informace naleznete v tématu INDIKÁTOR STIX.
Model útoku
Postupujte podle specifikací STIX pro vytvoření objektu STIX vzoru útoku. Tento příklad použijte jako další odkaz.
Další informace najdete v tématu Vzor útoku STIX.
Identita
Postupujte podle specifikací STIX pro vytvoření objektu STIX identity. Tento příklad použijte jako další odkaz.
Další informace najdete v tématu STIX Identity.
Objekt actor hrozby
Postupujte podle specifikací STIX pro vytvoření objektu STIX objektu objektu actor hrozby. Tento příklad použijte jako další odkaz.
Další informace naleznete v tématu STIX threat actor.
Vztah
Při vytváření objektu STIX postupujte podle specifikací STIX. Tento příklad použijte jako další odkaz.
Další informace naleznete v tématu RELACE STIX.
Zpracování zprávy odpovědi
Hlavička odpovědi obsahuje stavový kód HTTP. Další informace o interpretaci výsledku volání rozhraní API najdete v této tabulce.
| Stavový kód | Popis |
|---|---|
| 200 | Akce byla úspěšná. Rozhraní API vrátí hodnotu 200, když se jeden nebo více objektů STIX úspěšně ověří a publikuje. |
| 400 | Chybný formát. Něco v požadavku není správně naformátované. |
| 401 | Neautorizováno |
| 404 | Soubor nebyl nalezen. K této chybě obvykle dochází, když se ID pracovního prostoru nenajde. |
| 429 | Byl překročen maximální počet požadavků za minutu. |
| 500 | Chyba serveru. Obvykle došlo k chybě v rozhraní API nebo službách Microsoft Sentinel. |
Text odpovědi je pole chybových zpráv ve formátu JSON:
| Název pole | Datový typ | Popis |
|---|---|---|
| chyby | Pole chybových objektů | Seznam chyb ověření |
Objekt chyby
| Název pole | Datový typ | Popis |
|---|---|---|
| recordIndex | int | Index objektů STIX v požadavku |
| errorMessages | Pole řetězců | Chybové zprávy |
Omezení omezení pro rozhraní API
Na uživatele se použijí všechna omezení:
- 100 objektů na požadavek.
- 100 požadavků za minutu.
Pokud existuje více požadavků, než je limit, vrátí se stavový 429 kód HTTP v hlavičce odpovědi s následujícím textem odpovědi:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
Přibližně 10 000 objektů za minutu je maximální propustnost před přijetím chyby omezování.
Text požadavku ukázkového ukazatele
Následující příklad ukazuje, jak znázorňovat dva indikátory ve specifikaci STIX.
Test Indicator 2 zvýrazní tLP (Traffic Light Protocol) nastavený na bílou s mapovaným označením objektu a objasní jeho popis a popisky jsou v angličtině.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Ukázkový text odpovědi s chybou ověření
Pokud jsou všechny objekty STIX úspěšně ověřeny, vrátí se stav HTTP 200 s prázdným textem odpovědi.
Pokud ověření jednoho nebo více objektů selže, vrátí se text odpovědi s dalšími informacemi. Pokud například odešlete pole se čtyřmi indikátory a první tři jsou dobré, ale čtvrtý pole nemá id (povinné pole), vygeneruje se spolu s následujícím textem odpověď stavového kódu HTTP 200:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
Objekty jsou odeslány jako pole, takže recordIndex začíná na 0.
Další ukázky
Ukázkový indikátor
V tomto příkladu je indikátor označen zeleným TLP pomocí marking-definition--089a6ecb-cc15-43cc-9494-767639779123 společné object_marking_refs vlastnosti. K dispozici jsou i další atributy toxicityrank rozšíření. Přestože tyto vlastnosti nejsou ve schématu Microsoft Sentinelu pro indikátory, ingestování objektu s těmito vlastnostmi neaktivuje chybu. Na vlastnosti se v pracovním prostoru jednoduše neodkazují ani neindexují.
Poznámka:
Tento indikátor má vlastnost nastavenou revoked$true na a její valid_until datum je v minulosti. Tento indikátor as-is nefunguje v analytických pravidlech a nevrací se v dotazech, pokud není zadaný odpovídající časový rozsah.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Vzor ukázkového útoku
Tento vzor útoku a všechny ostatní objekty STIX, které nejsou indikátory, se dají zobrazit pouze v rozhraní pro správu, pokud se nerozhodnete k novým tabulkám STIX. Další informace o tabulkách potřebných k zobrazení objektů, jako je tento v KQL, najdete v tématu Zobrazení analýzy hrozeb.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
Ukázkový vztah s objektem actor hrozby a identitou
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
Další kroky
Další informace o tom, jak pracovat s analýzou hrozeb v Microsoft Sentinelu, najdete v následujících článcích:
- Vysvětlení analýzy hrozeb
- Práce s indikátory hrozeb
- Použití odpovídající analýzy k detekci hrozeb
- Využití informačního kanálu inteligentních funkcí od Microsoftu a povolení datového konektoru MDTI