Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Importieren Sie Threat Intelligence zur Verwendung in Microsoft Sentinel mit der Upload-API. Unabhängig davon, ob Sie eine Threat Intelligence-Plattform oder eine benutzerdefinierte Anwendung verwenden, verwenden Sie dieses Dokument als zusätzlichen Verweis auf die Anweisungen unter Verbinden Ihres TIP mit der Upload-API. Die Installation des Datenconnectors ist nicht erforderlich, um eine Verbindung mit der API herzustellen. Die Threat Intelligence, die Sie importieren können, umfasst Gefährdungsindikatoren und andere STIX-Domänenobjekte.
Wichtig
Diese API befindet sich derzeit in der VORSCHAU. Die zusätzlichen Azure-Vorschaubedingungen enthalten zusätzliche rechtliche Bestimmungen, die für Azure Features gelten, die sich in der Betaversion, Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
Structured Threat Information Expression (STIX) ist eine Sprache zum Ausdrücken von Cyberbedrohungen und beobachtbaren Informationen. Die Upload-API enthält erweiterte Unterstützung für die folgenden Domänenobjekte:
- Indikator
- Angriffsmuster
- Bedrohungsakteur
- Identität
- Beziehung
Weitere Informationen finden Sie unter Einführung in STIX.
Hinweis
Die vorherige API für Uploadindikatoren ist jetzt Legacy. Wenn Sie beim Übergang zu dieser neuen Upload-API auf diese API verweisen müssen, lesen Sie Legacy-Uploadindikatoren-API.
Aufrufen der API
Ein Aufruf der Upload-API umfasst fünf Komponenten:
- Der Anforderungs-URI
- HTTP-Anforderungsnachrichtenheader
- Text der HTTP-Anforderungsnachricht
- Optionales Verarbeiten des HTTP-Antwortnachrichtenheaders
- Optionales Verarbeiten des HTTP-Antwortnachrichtentexts
Registrieren Ihrer Clientanwendung bei Microsoft Entra ID
Um sich bei Microsoft Sentinel zu authentifizieren, erfordert die Anforderung an die Upload-API ein gültiges Microsoft Entra Zugriffstoken. Weitere Informationen zur Anwendungsregistrierung finden Sie unter Registrieren einer Anwendung beim Microsoft Identity Platform oder in den grundlegenden Schritten im Rahmen des Setups zum Verbinden von Threat Intelligence mit Upload-API.
Für diese API muss der aufrufenden Microsoft Entra Anwendung die rolle Microsoft Sentinel Mitwirkender auf Arbeitsbereichsebene zugewiesen werden.
Erstellen der Anforderung
In diesem Abschnitt werden die ersten drei der fünf zuvor erläuterten Komponenten behandelt. Zuerst müssen Sie das Zugriffstoken von Microsoft Entra ID abrufen, mit dem Sie ihren Anforderungsnachrichtenheader zusammenstellen.
Abrufen eines Zugriffstokens
Rufen Sie ein Microsoft Entra-Zugriffstoken mit OAuth 2.0-Authentifizierung ab. V1.0 und V2.0 sind gültige Token, die von der API akzeptiert werden.
Die Version des empfangenen Tokens (v1.0 oder v2.0) wird durch die accessTokenAcceptedVersion -Eigenschaft im App-Manifest der API bestimmt, die ihre Anwendung aufruft. Wenn accessTokenAcceptedVersion auf 1 festgelegt ist, empfängt Ihre Anwendung ein v1.0-Token.
Verwenden Sie die Microsoft Authentication Library (MSAL), um ein v1.0- oder v2.0-Zugriffstoken abzurufen. Verwenden Sie das Zugriffstoken, um den Autorisierungsheader zu erstellen, der das Bearertoken enthält.
Beispielsweise verwendet eine Anforderung an die Upload-API die folgenden Elemente, um ein Zugriffstoken abzurufen und den Autorisierungsheader zu erstellen, der in jeder Anforderung verwendet wird:
- POST
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token
Header für die Verwendung von Microsoft Entra App:
- grant_type: "client_credentials"
- client_id: {Client-ID der Microsoft Entra-App}
- client_secret oder client_certificate: {Geheimnisse der Microsoft Entra-App}
- Umfang:
"https://management.azure.com/.default"
Wenn accessTokenAcceptedVersion im App-Manifest auf 1 festgelegt ist, empfängt Ihre Anwendung ein v1.0-Zugriffstoken, obwohl sie den v2-Tokenendpunkt aufruft.
Der Ressourcen-/Bereichswert ist die Zielgruppe des Tokens. Diese API akzeptiert nur die folgenden Zielgruppen:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
Zusammenstellen der Anforderungsnachricht
Anforderungs-URI
API-Versionsverwaltung: api-version=2024-02-01-preview
Endpunkt: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
Methode: POST
Anforderungsheader
Authorization: Enthält das OAuth2-Bearertoken.
Content-Type: application/json
Anforderungstext
Das JSON-Objekt für den Text enthält die folgenden Felder:
| Feldname | Datentyp | Beschreibung |
|---|---|---|
sourcesystem (erforderlich) |
string | Identifizieren Sie den Namen Ihres Quellsystems. Der Wert Microsoft Sentinel ist eingeschränkt. |
stixobjects (erforderlich) |
Array | Ein Array von STIX-Objekten im STIX 2.0- oder 2.1-Format |
Erstellen Sie das Array von STIX-Objekten mithilfe der STIX-Formatspezifikation. Einige der STIX-Eigenschaftenspezifikationen werden hier zur Vereinfachung um Links zu den relevanten STIX-Dokumentabschnitten erweitert. Beachten Sie außerdem, dass einige Eigenschaften zwar für STIX gültig sind, aber nicht über entsprechende Objektschemaeigenschaften in Microsoft Sentinel verfügen.
Warnung
Wenn Sie eine Microsoft Sentinel Logik-App verwenden, um eine Verbindung mit der Upload-API herzustellen, beachten Sie, dass drei Threat Intelligence-Aktionen verfügbar sind. Verwenden Sie nur Threat Intelligence – STIX-Objekte hochladen (Vorschau). Die anderen beiden fehler mit diesem Endpunkt und JSON-Textfeldern.
Beispielanforderungsnachricht
Hier sehen Sie eine PowerShell-Beispielfunktion, die ein selbstsigniertes Zertifikat verwendet, das in eine Entra App-Registrierung hochgeladen wurde, um das Zugriffstoken und den Autorisierungsheader zu generieren:
function Test-UploadApi {
<#
.SYNOPSIS
requires Powershell module MSAL.PS version 4.37 or higher
https://www.powershellgallery.com/packages/MSAL.PS/
.EXAMPLE
Test-Api -API UploadApi -WorkspaceName "workspacename" -ResourceGroupName "rgname" -AppId "00001111-aaaa-2222-bbbb-3333cccc4444" -TenantName "contoso.onmicrosoft.com" -FilePath "C:\Users\user\Documents\stixobjects.json"
#>
[CmdletBinding()]
param (
[Parameter(Mandatory = $true)]
[string]$TenantName,
[Parameter(Mandatory = $true)]
[string]$CertThumbprint,
[Parameter(Mandatory = $true)]
[string]$AppId,
[Parameter(Mandatory = $true)]
[string]$WorkspaceId,
[Parameter(Mandatory = $true)]
[string]$FilePath
)
$Scope = "https://management.azure.com/.default"
# Connection details for getting initial token with self-signed certificate from local store
$connectionDetails = @{
'TenantId' = $TenantName
'ClientId' = $AppId
'ClientCertificate' = Get-Item -Path "Cert:\CurrentUser\My\$CertThumbprint"
scope = $Scope
}
# Request the token
# Using Powershell module MSAL.PS https://www.powershellgallery.com/packages/MSAL.PS/
# Get-MsalToken is automatically using OAuth 2.0 token endpoint https://login.microsoftonline.com/$TenantName/oauth2/v2.0/token
# and sets auth flow to grant_type = 'client_credentials'
$token = Get-MsalToken @connectionDetails
# Create header
# Again relying on MSAL.PS which has method CreateAuthorizationHeader() getting us the bearer token
$Header = @{
'Authorization' = $token.CreateAuthorizationHeader()
}
$Uri = "https://api.ti.sentinel.azure.com/workspaces/$workspaceId/threat-intelligence-stix-objects:upload?api-version=$apiVersion"
$stixobjects = get-content -path $FilePath
if(-not $stixobjects) { Write-Host "No file found at $FilePath"; break }
$results = Invoke-RestMethod -Uri $Uri -Headers $Header -Body $stixobjects -Method POST -ContentType "application/json"
$results | ConvertTo-Json -Depth 4
}
Allgemeine Eigenschaften
Alle Objekte, die Sie mit der Upload-API importieren, verwenden diese gemeinsamen Eigenschaften.
| Eigenschaftenname | Typ | Beschreibung |
|---|---|---|
id (erforderlich) |
string | Eine ID, die zum Identifizieren des STIX-Objekts verwendet wird. In Abschnitt 2.9 finden Sie Spezifikationen zum Erstellen eines id. Das Format sieht in etwa wie folgt aus: indicator--<UUID> |
spec_version (optional) |
string | STIX-Objektversion. Dieser Wert ist in der STIX-Spezifikation erforderlich, aber da diese API nur STIX 2.0 und 2.1 unterstützt, wird die API standardmäßig auf festgelegt, wenn dieses Feld nicht festgelegt ist. 2.0 |
type (erforderlich) |
string | Der Wert dieser Eigenschaft muss ein unterstütztes STIX-Objekt sein. |
created (erforderlich) |
Timestamp | In Abschnitt 3.2 finden Sie Spezifikationen dieser gemeinsamen Eigenschaft. |
created_by_ref (optional) |
string | Die created_by_ref-Eigenschaft gibt die ID-Eigenschaft der Entität an, die dieses Objekt erstellt hat. Wenn dieses Attribut nicht angegeben wird, ist die Quelle dieser Informationen nicht definiert. Für Objektersteller, die anonym bleiben möchten, behalten Sie diesen Wert undefiniert bei. |
modified (erforderlich) |
Timestamp | In Abschnitt 3.2 finden Sie Spezifikationen dieser gemeinsamen Eigenschaft. |
revoked (optional) |
Boolescher Wert | Widerrufene Objekte werden vom Objektersteller nicht mehr als gültig betrachtet. Das Widerrufen eines Objekts ist dauerhaft; zukünftige Versionen des Objekts mit diesem iddürfen nicht erstellt werden.Der Standardwert dieser Eigenschaft ist false. |
labels (optional) |
Liste der Zeichenfolgen | Die labels -Eigenschaft gibt einen Satz von Begriffen an, die zum Beschreiben dieses Objekts verwendet werden. Die Begriffe sind benutzerdefinierte oder vertrauensgruppendefiniert. Diese Bezeichnungen werden in Microsoft Sentinel als Tags angezeigt. |
confidence (optional) |
ganze Zahl | Die confidence -Eigenschaft identifiziert die Zuverlässigkeit, die der Ersteller in die Richtigkeit seiner Daten hat. Der Konfidenzwert muss eine Zahl im Bereich von 0 bis 100 sein.Anhang A enthält eine Tabelle mit normativen Zuordnungen zu anderen Konfidenzskalen, die bei der Darstellung des Konfidenzwerts in einer dieser Skalierungen verwendet werden müssen . Wenn die Konfidenzeigenschaft nicht vorhanden ist, ist die Konfidenz des Inhalts nicht angegeben. |
lang (optional) |
string | Die lang -Eigenschaft identifiziert die Sprache des Textinhalts in diesem Objekt. Wenn vorhanden, muss es sich um einen Sprachcode sein, der RFC5646 entspricht. Wenn die Eigenschaft nicht vorhanden ist, ist en die Sprache des Inhalts (Englisch).Diese Eigenschaft sollte vorhanden sein, wenn der Objekttyp übersetzbare Texteigenschaften (z. B. Name, Beschreibung) enthält. Die Sprache einzelner Felder in diesem Objekt kann die lang Eigenschaft in präzisen Markierungen überschreiben (siehe Abschnitt 7.2.3). |
object_marking_refs (optional, einschließlich TLP) |
Liste der Zeichenfolgen | Die object_marking_refs -Eigenschaft gibt eine Liste der ID-Eigenschaften von Markierungsdefinitionsobjekten an, die für dieses Objekt gelten. Verwenden Sie beispielsweise die Markierungs-ID des Traffic Light Protocol (TLP), um die Empfindlichkeit der Indikatorquelle anzugeben. Ausführliche Informationen dazu, welche Kennzeichnungsdefinitions-IDs für TLP-Inhalte verwendet werden sollen, finden Sie in Abschnitt 7.2.1.4.In einigen Fällen, obwohl ungewöhnlich, können Markierungsdefinitionen selbst mit Freigabe- oder Behandlungsanleitungen gekennzeichnet werden. In diesem Fall darf diese Eigenschaft keine Verweise auf dasselbe Marking Definition-Objekt enthalten (d.a. es darf keine Zirkelverweise enthalten). Weitere Definitionen von Datenmarkierungen finden Sie in Abschnitt 7.2.2 . |
external_references (optional) |
Objektliste | Die external_references -Eigenschaft gibt eine Liste externer Verweise an, die auf Nicht-STIX-Informationen verweist. Diese Eigenschaft wird verwendet, um eine oder mehrere URLs, Beschreibungen oder IDs für Datensätze in anderen Systemen bereitzustellen. |
granular_markings (optional) |
Liste der granularen Markierungen | Die granular_markings -Eigenschaft hilft dabei, Teile des Indikators unterschiedlich zu definieren. Die Indikatorsprache ist z. B. Englisch, en aber die Beschreibung ist Deutsch, de.In einigen Fällen, obwohl ungewöhnlich, können Markierungsdefinitionen selbst mit Freigabe- oder Behandlungsanleitungen gekennzeichnet werden. In diesem Fall darf diese Eigenschaft keine Verweise auf dasselbe Marking Definition-Objekt enthalten (d.a. es darf keine Zirkelverweise enthalten). Weitere Definitionen von Datenmarkierungen finden Sie in Abschnitt 7.2.3 . |
Weitere Informationen finden Sie unter ALLGEMEINE STIX-Eigenschaften.
Indikator
| Eigenschaftenname | Typ | Beschreibung |
|---|---|---|
name (optional) |
string | Ein Name, der zum Identifizieren des Indikators verwendet wird. Produzenten sollten diese Eigenschaft bereitstellen, um Produkten und Analysten zu helfen, zu verstehen, was dieser Indikator tatsächlich bewirkt. |
description (optional) |
string | Eine Beschreibung, die weitere Details und Kontext zum Indikator enthält, einschließlich seines Zwecks und seiner wichtigsten Merkmale. Produzenten sollten diese Eigenschaft bereitstellen, um Produkten und Analysten zu helfen, zu verstehen, was dieser Indikator tatsächlich bewirkt. |
indicator_types (optional) |
Liste der Zeichenfolgen | Ein Satz von Kategorisierungen für diesen Indikator. Die Werte für diese Eigenschaft sollten von indikator-type-ov stammen. |
pattern (erforderlich) |
string | Das Erkennungsmuster für diesen Indikator kann als STIX-Muster oder eine andere geeignete Sprache wie SNORT, YARA usw. ausgedrückt werden. |
pattern_type (erforderlich) |
string | Die in diesem Indikator verwendete Mustersprache. Der Wert für diese Eigenschaft sollte von Mustertypen stammen. Der Wert dieser Eigenschaft muss mit dem Typ der Musterdaten übereinstimmen, die in der Mustereigenschaft enthalten sind. |
pattern_version (optional) |
string | Die Version der Mustersprache, die für die Daten in der Mustereigenschaft verwendet wird, die mit dem Typ der Musterdaten übereinstimmen muss , die in der Mustereigenschaft enthalten sind. Für Muster, die keine formale Spezifikation aufweisen, sollte die Build- oder Codeversion verwendet werden, mit der das Muster bekannt ist. Für die STIX-Mustersprache bestimmt die Spezifikationsversion des Objekts den Standardwert. Für andere Sprachen sollte der Standardwert die neueste Version der Mustersprache zum Zeitpunkt der Erstellung dieses Objekts sein. |
valid_from (erforderlich) |
Timestamp | Die Zeit, ab der dieser Indikator als gültiger Indikator für das Verhalten betrachtet wird, mit dem er in Beziehung steht oder darstellt. |
valid_until (optional) |
Timestamp | Der Zeitpunkt, zu dem dieser Indikator nicht mehr als gültiger Indikator für das Verhalten angesehen werden sollte, mit dem er in Beziehung steht oder darstellt. Wenn die valid_until -Eigenschaft nicht angegeben wird, gibt es keine Einschränkung für die letzte Zeit, für die der Indikator gültig ist. Dieser Zeitstempel muss größer als der valid_from Zeitstempel sein. |
kill_chain_phases (optional) |
Liste der Zeichenfolgen | Die Kill Chain-Phasen, denen dieser Indikator entspricht. Der Wert für diese Eigenschaft sollte aus der Kill Chain-Phase stammen. |
Weitere Informationen finden Sie unter STIX-Indikator.
Angriffsmuster
Befolgen Sie die STIX-Spezifikationen zum Erstellen eines STIX-Objekts mit Angriffsmuster. Verwenden Sie dieses Beispiel als zusätzlichen Verweis.
Weitere Informationen finden Sie unter STIX-Angriffsmuster.
Identität
Befolgen Sie die STIX-Spezifikationen zum Erstellen eines STIX-Identitätsobjekts. Verwenden Sie dieses Beispiel als zusätzlichen Verweis.
Weitere Informationen finden Sie unter STIX-Identität.
Bedrohungsakteur
Befolgen Sie die STIX-Spezifikationen zum Erstellen eines STIX-Objekts für den Bedrohungsakteur. Verwenden Sie dieses Beispiel als zusätzlichen Verweis.
Weitere Informationen finden Sie unter STIX-Bedrohungsakteur.
Beziehung
Befolgen Sie die STIX-Spezifikationen zum Erstellen eines STIX-Beziehungsobjekts. Verwenden Sie dieses Beispiel als zusätzlichen Verweis.
Weitere Informationen finden Sie unter STIX-Beziehung.
Verarbeiten der Antwortnachricht
Der Antwortheader enthält einen HTTP-status Code. Weitere Informationen zum Interpretieren des API-Aufrufergebnisses finden Sie in dieser Tabelle.
| Statuscode | Beschreibung |
|---|---|
| 200 | Erfolg. Die API gibt 200 zurück, wenn mindestens ein STIX-Objekt erfolgreich überprüft und veröffentlicht wurde. |
| 400 | Ungültiges Format. Etwas in der Anforderung ist nicht ordnungsgemäß formatiert. |
| 401 | Unbefugt. |
| 404 | Die Datei wurde nicht gefunden. In der Regel tritt dieser Fehler auf, wenn die Arbeitsbereichs-ID nicht gefunden wird. |
| 429 | Die maximale Anzahl von Anforderungen in einer Minute wurde überschritten. |
| 500 | Serverfehler. In der Regel ein Fehler in der API oder Microsoft Sentinel Diensten. |
Der Antworttext ist ein Array von Fehlermeldungen im JSON-Format:
| Feldname | Datentyp | Beschreibung |
|---|---|---|
| errors | Array von Fehlerobjekten | Liste der Validierungsfehler |
Error-Objekt
| Feldname | Datentyp | Beschreibung |
|---|---|---|
| recordIndex | int | Index der STIX-Objekte in der Anforderung |
| errorMessages | Array aus Zeichenfolgen | Fehlermeldungen |
Drosselungsgrenzwerte für die API
Alle Grenzwerte werden pro Benutzer angewendet:
- 100 Objekte pro Anforderung.
- 100 Anforderungen pro Minute.
Wenn mehr Anforderungen als der Grenzwert vorhanden sind, wird ein 429 HTTP-status-Code im Antwortheader mit dem folgenden Antworttext zurückgegeben:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
Ungefähr 10.000 Objekte pro Minute sind der maximale Durchsatz, bevor ein Drosselungsfehler empfangen wird.
Beispiel für den Anforderungstext eines Indikators
Das folgende Beispiel zeigt, wie zwei Indikatoren in der STIX-Spezifikation dargestellt werden.
Test Indicator 2 hebt das auf Weiß festgelegte Traffic Light Protocol (TLP) mit der zugeordneten Objektmarkierung hervor, und die Beschreibung und Die Bezeichnungen sind in englischer Sprache.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Beispielantworttext mit Überprüfungsfehler
Wenn alle STIX-Objekte erfolgreich überprüft wurden, wird ein HTTP 200-status mit einem leeren Antworttext zurückgegeben.
Wenn die Überprüfung für ein oder mehrere Objekte fehlschlägt, wird der Antworttext mit weiteren Informationen zurückgegeben. Wenn Sie z. B. ein Array mit vier Indikatoren senden und die ersten drei gut sind, aber das vierte nicht id (ein erforderliches Feld) enthält, wird eine HTTP-status Code 200-Antwort zusammen mit dem folgenden Text generiert:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
Die -Objekte werden als Array gesendet, sodass bei recordIndex beginnt 0.
Weitere Beispiele
Beispielindikator
In diesem Beispiel wird der Indikator mit dem grünen TLP gekennzeichnet, indem marking-definition--089a6ecb-cc15-43cc-9494-767639779123 in der object_marking_refs gemeinsamen Eigenschaft verwendet wird. Weitere Erweiterungsattribute von toxicity und rank sind ebenfalls enthalten. Obwohl diese Eigenschaften nicht im Microsoft Sentinel Schema für Indikatoren enthalten sind, löst das Erfassen eines Objekts mit diesen Eigenschaften keinen Fehler aus. Auf die Eigenschaften wird im Arbeitsbereich einfach nicht verwiesen oder indiziert.
Hinweis
Für diesen Indikator ist die revoked -Eigenschaft auf $true festgelegt, und sein valid_until Datum liegt in der Vergangenheit. Dieser Indikator funktioniert unverändert nicht in Analyseregeln und wird nicht in Abfragen zurückgegeben, es sei denn, es wird ein geeigneter Zeitbereich angegeben.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Beispiel für angriffsmuster
Dieses Angriffsmuster und alle anderen NICHT-Indikator-STIX-Objekte können nur in der Verwaltungsschnittstelle angezeigt werden, es sei denn, Sie verwenden die neuen STIX-Tabellen. Weitere Informationen zu den Tabellen, die zum Anzeigen von Objekten wie dieser in KQL erforderlich sind, finden Sie unter Anzeigen Ihrer Bedrohungsintelligenz.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
Beispielbeziehung mit Bedrohungsakteur und Identität
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
Nächste Schritte
Weitere Informationen zum Arbeiten mit Threat Intelligence in Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Grundlegendes zu Threat Intelligence
- Arbeiten mit Bedrohungsindikatoren
- Verwenden von Abgleichsanalysen zum Erkennen von Bedrohungen
- Verwenden des Intelligence-Feeds von Microsoft und Aktivieren des MDTI-Datenconnectors