Compartir a través de

Agregue indicadores de forma masiva a la inteligencia sobre amenazas de Microsoft Sentinel desde un archivo CSV o JSON

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

En este artículo, agregará indicadores de un archivo CSV o JSON a la inteligencia sobre amenazas de Microsoft Sentinel. El uso compartido de inteligencia sobre amenazas sigue sucediendo en correos electrónicos y otros canales informales durante una investigación en curso. Tiene la posibilidad de importar indicadores directamente a la inteligencia sobre amenazas de Microsoft Sentinel para poder retransmitir rápidamente las amenazas emergentes a su equipo. Las amenazas están disponibles para impulsar otros análisis, como generar alertas de seguridad, incidentes y respuestas automatizadas.

Importante

Esta funcionalidad actualmente está en su versión preliminar. Consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer más términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel para almacenar los indicadores de amenazas.

Selección de una plantilla de importación para los indicadores

Agregue varios indicadores a la inteligencia sobre amenazas con un archivo CSV o JSON especialmente diseñado. Descargue las plantillas de archivo para familiarizarse con los campos y cómo se asignan a los datos que tiene. Revise los campos necesarios para cada tipo de plantilla para validar los datos antes de importarlos.

  1. Para Microsoft Sentinel en Azure portal, en Administración de amenazas, seleccione Inteligencia de amenazas.

    Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Inteligencia de amenazas.

  2. Seleccione Importar>importación mediante un archivo.

  3. En el menú desplegable Formato de archivo, seleccione CSV o JSON.

    Recorte de pantalla que muestra el menú desplegable para cargar un archivo CSV o JSON, elegir una plantilla para descargar y especificar un origen.

  4. Después de elegir una plantilla de carga masiva, seleccione el vínculo Descargar plantilla.

  5. Considere la posibilidad de agrupar los indicadores por origen porque cada carga de archivos requiere uno.

Las plantillas proporcionan todos los campos que necesita para crear un único indicador válido, incluidos los campos necesarios y los parámetros de validación. Replique esa estructura para rellenar más indicadores en un archivo. Para obtener más información sobre las plantillas, consulte Descripción de las plantillas de importación.

Cargar el archivo de indicador

  1. Cambie el nombre de archivo del valor predeterminado de la plantilla, pero mantenga la extensión de archivo como .csv o .json. Cuando se crea un nombre de archivo único, es más fácil supervisar las importaciones desde el panel Administrar importaciones de archivos.

  2. Arrastre el archivo de indicadores a la sección Cargar un archivo o busque el archivo mediante el vínculo.

  3. Escriba un origen para los indicadores en el cuadro de texto Origen. Este valor se estampa en todos los indicadores incluidos en ese fichero. Vea esta propiedad como campo SourceSystem. La fuente también se muestra en el panel Administrar importaciones de archivos. Para obtener más información, consulte Uso de indicadores de amenazas.

  4. Elija cómo desea que Microsoft Sentinel controle entradas de indicador no válidas seleccionando uno de los botones situados en la parte inferior del panel Importar mediante un archivo:

    • Importe solo los indicadores válidos y deje aparte los indicadores no válidos del archivo.
    • No importe ningún indicador si un único indicador del archivo no es válido.

    Recorte de pantalla que muestra el menú desplegable para cargar un archivo CSV o JSON, elegir una plantilla y especificar un origen en el que se resalta el botón Importar.

  5. Seleccione importar.

Administrar importaciones de archivos

Gestione las importaciones y vea los informes de errores para las importaciones parcialmente importadas o con errores.

  1. Seleccione Importar>Administrar importaciones de archivos.

    Recorte de pantalla que muestra la opción de menú para administrar las importaciones de archivos.

  2. Revise el estado de los archivos importados y el número de entradas de indicador no válidas. El recuento de indicadores válidos se actualiza después de procesar el archivo. Espere a que finalice la importación para obtener el recuento actualizado de indicadores válidos.

    Recorte de pantalla que muestra el panel Administrar importaciones de archivos con datos de ingesta de ejemplo. Las columnas se muestran ordenadas por número importado con varios orígenes.

  3. Para ver y ordenar las importaciones, seleccione Origen, el nombre del archivo de indicador, el número importado, el número total de indicadores en cada archivo o la fecha de creación.

  4. Seleccione la vista previa del archivo de error o descargue el archivo de error que contiene los errores sobre indicadores no válidos.

Microsoft Sentinel mantiene el estado de la importación de archivos durante 30 días. El archivo real y el archivo de error asociado se mantienen en el sistema durante 24 horas. Transcurridas 24 horas, el archivo y el archivo de error se eliminan, pero los indicadores ingeridos siguen apareciendo en inteligencia sobre amenazas.

Reconocimiento de las plantillas de importación

Revise cada plantilla para asegurarse de que los indicadores se importan correctamente. Asegúrese de consultar las instrucciones del archivo de plantilla y las siguientes orientaciones complementarias.

Estructura de la plantilla CSV

  1. En el menú desplegable Tipo indicador, seleccione CSV. A continuación, elija entre las opciones Indicadores de archivo o Todos los demás tipos de indicador.

    La plantilla CSV necesita varias columnas para adaptarse al tipo de indicador de archivo, ya que los indicadores de archivo pueden tener varios tipos hash, como MD5 y SHA256. Todos los demás tipos de indicador, como las direcciones IP, solo requieren el tipo observable y el valor observable.

  2. Los encabezados de columna para CSV Todos los demás tipos de indicador incluyen campos como threatTypes, uno o varios tags, confidencey tlpLevel. El Protocolo del Semáforo (TLP) es una designación de confidencialidad para ayudar a tomar decisiones sobre el intercambio de información sobre amenazas.

  3. Solo se requieren los campos validFrom, observableType y observableValue.

  4. Elimine toda la primera fila de la plantilla para quitar los comentarios antes de cargarlos.

    El tamaño máximo de archivo para una importación de archivos CSV es de 50 MB.

Este es un indicador de nombre de dominio de ejemplo que usa la plantilla CSV:

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

Estructura de la plantilla JSON

  1. Solo hay una plantilla JSON para todos los tipos de indicador. La plantilla JSON se basa en el formato STIX 2.1.

  2. El elemento pattern admite tipos de indicador de file, ipv4-addr, ipv6-addr, domain-name, url, user-account, email-addr y windows-registry-key.

  3. Elimine los comentarios de la plantilla antes de cargarlos.

  4. Cierre el último indicador de la matriz utilizando el } sin una coma.

    El tamaño máximo de archivo para una importación de archivos JSON es de 250 MB.

Este es un indicador de ipv4-addr de ejemplo que usa la plantilla JSON:

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

Contenido relacionado

En este artículo, ha obtenido información sobre cómo reforzar manualmente la inteligencia sobre amenazas mediante la importación de indicadores recopilados en archivos planos. Para obtener más información sobre cómo los indicadores potencian otros análisis en Microsoft Sentinel, consulte los siguientes artículos: