Freigeben über

Hinzufügen von Indikatoren zu Microsoft Sentinel Threat Intelligence per Massenvorgang aus einer CSV- oder JSON-Datei

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In dieser Schrittanleitung fügen Sie Indikatoren aus einer CSV- oder JSON-Datei zu Microsoft Sentinel Threat Intelligence hinzu. Der Austausch von Threat Intelligence-Informationen erfolgt immer noch häufig über E-Mails und andere informelle Kanäle während einer laufenden Untersuchung. Die Möglichkeit, Indikatoren direkt in Microsoft Sentinel Threat Intelligence zu importieren, ermöglicht es Ihnen, neue Bedrohungen schnell an Ihr Team zu kommunizieren und für andere Analysen wie die Erstellung von Sicherheitswarnungen, Vorfällen und automatischen Reaktionen verfügbar zu machen.

Wichtig

Dieses Feature befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

  • Sie benötigen Lese- und Schreibberechtigungen für den Microsoft Azure Sentinel-Arbeitsbereich, um Ihre Bedrohungsindikatoren zu speichern.

Auswählen einer Importvorlage für Ihre Indikatoren

Fügen Sie Threat Intelligence mehrere Indikatoren mit einer speziell gestalteten CSV- oder JSON-Datei hinzu. Laden Sie die Dateivorlagen herunter, um sich mit den Feldern und deren Zuordnung zu Ihren Daten vertraut zu machen. Überprüfen Sie die Pflichtfelder für jeden Vorlagentyp, um Ihre Daten vor dem Importieren zu überprüfen.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Verwaltung von Bedrohungen die Option Threat intelligence aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Verwaltung von Bedrohungen>Threat intelligence aus.

  2. Wählen Sie Importieren>Mithilfe einer Datei importieren aus.

  3. Wählen Sie im Dropdownmenü Dateiformat die Option „CSV“ oder „JSON“ aus.

    Screenshot: Flyout-Menü zum Hochladen einer CSV- oder JSON-Datei, Auswählen einer Vorlage zum Herunterladen und Angeben einer Quelle.

  4. Wählen Sie den Link Vorlage herunterladen aus, nachdem Sie eine Vorlage für den Massenupload ausgewählt haben.

  5. Gruppieren Sie Ihre Indikatoren ggf. nach Quelle, da jeder Dateiupload eine benötigt.

Die Vorlagen stellen alle Felder bereit, die Sie zum Erstellen eines einzelnen gültigen Indikators benötigen, einschließlich Pflichtfelder und Validierungsparameter. Replizieren Sie diese Struktur, um zusätzliche Indikatoren in einer Datei aufzufüllen. Weitere Informationen zu den Vorlagen finden Sie unter Grundlegendes zu den Importvorlagen.

Hochladen der Indikatordatei

  1. Ändern Sie den Dateinamen aus der Standardvorlage, behalten Sie jedoch die Dateierweiterung „.csv“ oder „.json“ bei. Wenn Sie einen eindeutigen Dateinamen erstellen, wird es einfacher, Ihre Importe im Bereich Dateiimporte verwalten zu überwachen.

  2. Ziehen Sie die Indikatordatei in den Abschnitt Datei hochladen, oder suchen Sie über den Link nach der Datei.

  3. Geben Sie eine Quelle für die Indikatoren im Textfeld Quelle ein. Mit diesem Wert werden alle in dieser Datei enthaltenen Indikatoren versehen. Diese Eigenschaft als SourceSystem-Feld anzeigen. Die Quelle wird auch im Bereich Dateiimporte verwalten angezeigt. Weitere Informationen finden Sie unter Arbeiten mit Bedrohungsindikatoren.

  4. Wählen Sie aus, wie Microsoft Sentinel ungültige Indikatoreinträge behandeln soll, indem Sie am unteren Rand des Bereichs Mithilfe einer Datei importieren ein Optionsfeld auswählen.

    • Importieren Sie nur die gültigen Indikatoren, und lassen Sie alle ungültigen Indikatoren in der Datei aus.
    • Importieren Sie keine Indikatoren, wenn ein einzelner Indikator in der Datei ungültig ist.

    Screenshot: Flyoutmenü zum Hochladen einer CSV- oder JSON-Datei, Auswählen einer Vorlage zum Herunterladen und Angeben einer Quelle. Hervorgehobene Schaltfläche zum Importieren

  5. Wählen Sie die Schaltfläche Importieren aus.

Verwalten von Dateiimporten

Überwachen Sie Ihre Importe, und zeigen Sie Fehlerberichte für teilweise importierte oder nicht erfolgreiche Importe an.

  1. Wählen Sie Importieren>Dateiimporte verwalten aus.

    Screenshot: Menüoption zum Verwalten von Dateiimporten

  2. Überprüfen Sie den Status importierter Dateien und die Anzahl ungültiger Indikatoreinträge. Die gültige Indikatoranzahl wird aktualisiert, sobald die Datei verarbeitet wird. Warten Sie, bis der Import abgeschlossen ist, um die aktualisierte Anzahl der gültigen Indikatoren zu erhalten.

    Screenshot: Bereich „Dateiimporte verwalten“ mit Beispielerfassungsdaten. Die Spalten sind nach importierter Anzahl mit verschiedenen Quellen sortiert.

  3. Sie können Importe anzeigen und sortieren, indem Sie die Quelle, den Namen der Indikatordatei, die Anzahl der importierten Indikatoren, die gesamte Anzahl von Indikatoren in jeder Datei oder das Datum der Erstellung auswählen.

  4. Wählen Sie die Vorschau der Fehlerdatei aus, oder laden Sie die Fehlerdatei herunter, die die Fehler zu ungültigen Indikatoren enthält.

Microsoft Sentinel behält den Status des Dateiimports 30 Tage lang bei. Die tatsächliche Datei und die zugeordnete Fehlerdatei werden 24 Stunden im System gespeichert. Nach 24 Stunden werden die Datei und die Fehlerdatei gelöscht, aber die erfassten Indikatoren werden weiterhin im Menü „Threat Intelligence“ angezeigt.

Grundlegendes zu den Importvorlagen

Überprüfen Sie jede Vorlage, um sicherzustellen, dass Ihre Indikatoren erfolgreich importiert werden. Achten Sie darauf, auf die Anweisungen in der Vorlagendatei und auf die folgenden ergänzenden Anleitungen zu verweisen.

CSV-Vorlagenstruktur

  1. Wählen Sie bei Auswahl von CSV im Dropdownmenü Indikatortyp die Option Dateiindikatoren oder Alle anderen Indikatortypen aus.

    Die CSV-Vorlage muss mehrere Spalten enthalten, um den Dateiindikatortyp aufzunehmen, da Dateiindikatoren mehrere Hashtypen wie MD5, SHA256 usw. aufweisen können. Alle anderen Indikatortypen wie IP-Adressen erfordern nur den beobachtbaren Typ und den beobachtbaren Wert.

  2. Die Spaltenüberschriften für die CSV-Vorlage Alle anderen Indikatortypen enthalten Felder wie threatTypes, einzelne oder mehrere tags, confidence und tlpLevel. Traffic Light Protocol (TLP) ist eine Vertraulichkeitsbezeichnung, die Entscheidungen bezüglich der Freigabe von Threat Intelligence-Daten erleichtert.

  3. Nur die Felder validFrom, observableType und observableValue sind erforderlich.

  4. Löschen Sie die gesamte erste Zeile aus der Vorlage, um die Kommentare vor dem Upload zu entfernen.

  5. Beachten Sie, dass die maximale Dateigröße für einen CSV-Dateiimport 50 MB beträgt.

Hier sehen Sie ein Beispiel für einen Indikator vom Typ „domain-name“ unter Verwendung der CSV-Vorlage:

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

JSON-Vorlagenstruktur

  1. Es gibt nur eine JSON-Vorlage für alle Indikatortypen. Die JSON-Vorlage basiert auf dem STIX 2.1-Format.

  2. Das Element pattern unterstützt die folgenden Indikatortypen: file, ipv4-addr, ipv6-addr, domain-name, url, user-account, email-addr und windows-registry-key.

  3. Entfernen Sie die Vorlagenkommentare vor dem Hochladen.

  4. Schließen Sie den letzten Indikator im Array mit } ohne Komma.

  5. Beachten Sie, dass die maximale Dateigröße für einen JSON-Dateiimport 250 MB beträgt.

Hier sehen Sie ein Beispiel für den Indikator „ipv4-addr“ unter Verwendung der JSON-Vorlage:

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

Zugehöriger Inhalt

In diesem Artikel wurde gezeigt, wie Sie Threat Intelligence manuell optimieren, indem Sie in Flatfiles gesammelte Indikatoren importieren. Sehen Sie sich die folgenden Links an, um zu erfahren, wie Indikatoren weitere Analysen in Microsoft Sentinel unterstützen: