Agregue indicadores de forma masiva a la inteligencia sobre amenazas de Microsoft Sentinel desde un archivo CSV o JSON

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

En esta guía paso a paso, agregará indicadores de un archivo CSV o JSON a la inteligencia sobre amenazas de Microsoft Sentinel. El uso compartido de la inteligencia sobre amenazas sigue sucediendo en correos electrónicos y otros canales informales durante una investigación en curso. La capacidad de importar indicadores directamente en la inteligencia sobre amenazas de Microsoft Sentinel le permite socializar rápidamente las amenazas emergentes para su equipo y ponerlas a disposición de otros análisis, como producir alertas de seguridad, incidentes y respuestas automatizadas.

Importante

Esta característica actualmente está en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

  • Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel para almacenar los indicadores de amenazas.

Selección de una plantilla de importación para los indicadores

Agregue varios indicadores a la inteligencia sobre amenazas con un archivo CSV o JSON especialmente diseñado. Descargue las plantillas de archivo para familiarizarse con los campos y cómo se asignan a los datos que tiene. Revise los campos necesarios para cada tipo de plantilla para validar los datos antes de importarlos.

  1. Para Microsoft Sentinel en Azure portal, en Administración de amenazas, seleccione Inteligencia de amenazas.
    Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Inteligencia de amenazas.

  2. Seleccione Importar>importación mediante un archivo.

  3. Elija CSV o JSON en el menú desplegable Formato de archivo.

    Captura de pantalla del menú desplegable para cargar un archivo CSV o JSON, elegir una plantilla para descargar y especificar una fuente.

  4. Seleccione el enlace Descargar plantilla una vez que haya elegido una plantilla de carga masiva.

  5. Considere la posibilidad de agrupar los indicadores por origen, ya que cada carga de archivos requiere uno.

Las plantillas proporcionan todos los campos que necesita para crear un único indicador válido, incluidos los campos necesarios y los parámetros de validación. Replique esa estructura para rellenar indicadores adicionales en un archivo. Para obtener más información sobre las plantillas, consulte Descripción de las plantillas de importación.

Cargar el archivo de indicador

  1. Cambie el nombre de archivo del valor predeterminado de la plantilla, pero mantenga la extensión de archivo como .csv o .json. Cuando se crea un nombre de archivo único, es más fácil supervisar las importaciones desde el panel Administrar importaciones de archivos.

  2. Arrastre el archivo de indicadores a la sección Cargar un archivo o busque el archivo mediante el vínculo.

  3. Escriba un origen para los indicadores en el cuadro de texto Origen. Este valor se estampa en todos los indicadores incluidos en ese fichero. Vea esta propiedad como campo SourceSystem. La fuente también se muestra en el panel Administrar importaciones de archivos. Para obtener más información, consulte Uso de indicadores de amenazas.

  4. Elija cómo desea que Microsoft Sentinel controle entradas de indicador no válidas seleccionando uno de los botones de radio situados en la parte inferior del panel Importar mediante un archivo.

    • Importe solo los indicadores válidos y deje aparte los indicadores no válidos del archivo.
    • No importe ningún indicador si un único indicador del archivo no es válido.

    Captura de pantalla del menú flotante para subir un archivo CSV o JSON, seleccione una plantilla para descargar y especifique un origen destacando el botón de importación.

  5. Seleccione el botón importar.

Administrar importaciones de archivos

Gestione las importaciones y vea los informes de errores para las importaciones parcialmente importadas o con errores.

  1. Seleccione Importar>Administrar importaciones de archivos.

    Captura de pantalla de la opción de menú para administrar importaciones de archivos.

  2. Revise el estado de los archivos importados y el número de entradas de indicador no válidas. El recuento de indicadores válidos se actualiza una vez procesado el archivo. Espere a que finalice la importación para obtener el recuento actualizado de indicadores válidos.

    Captura de pantalla del panel Administrar importaciones de archivos con ejemplo de ingesta de datos. Las columnas muestran el orden por número de importación con varios orígenes.

  3. Para ver y ordenar las importaciones, seleccione Origen, nombre del archivo de indicador, el número importado, el número total de indicadores en cada archivo o la fecha de creación.

  4. Seleccione la vista previa del archivo de error o descargue el archivo de error que contiene los errores sobre indicadores no válidos.

Microsoft Sentinel mantiene el estado de la importación de archivos durante 30 días. El archivo real y el archivo de error asociado se mantienen en el sistema durante 24 horas. Transcurridas 24 horas, el archivo y el archivo de error se eliminan, pero los indicadores ingeridos siguen apareciendo en Inteligencia de Amenazas.

Reconocimiento de las plantillas de importación

Revise cada plantilla para asegurarse de que los indicadores se importan correctamente. Asegúrese de consultar las instrucciones del archivo de plantilla y las siguientes orientaciones complementarias.

Estructura de la plantilla CSV

  1. Elija entre la opción Indicadores de archivo o Todos los demás tipos de indicador en el menú desplegable Tipo de indicador al seleccionar CSV.

    La plantilla CSV necesita varias columnas para adaptarse al tipo de indicador de archivo, ya que los indicadores de archivo pueden tener varios tipos hash, como MD5, SHA256, etc. Todos los demás tipos de indicador, como las direcciones IP, solo requieren el tipo observable y el valor observable.

  2. Los encabezados de columna para CSV Todos los demás tipos de indicador incluyen campos como threatTypes, uno o varios tags, confidencey tlpLevel. El Protocolo del Semáforo (TLP) es una designación de confidencialidad para ayudar a tomar decisiones sobre el intercambio de información sobre amenazas.

  3. Solo los campos validFrom, observableType y observableValue son obligatorios.

  4. Elimine toda la primera fila de la plantilla para quitar los comentarios antes de cargarlos.

  5. Tenga en cuenta que el tamaño máximo de archivo para una importación de archivos CSV es de 50 MB.

Este es un ejemplo de indicador de nombre de dominio mediante la plantilla CSV.

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

Estructura de la plantilla JSON

  1. Solo hay una plantilla JSON para todos los tipos de indicador. La plantilla JSON se basa en formato STIX 2.1.

  2. El pattern elemento admite tipos de indicador de: archivo, dirección ipv4, dirección ipv6, nombre de dominio, url, cuenta de usuario, dirección de correo electrónico y tipos de clave del registro de Windows.

  3. Elimine los comentarios de la plantilla antes de cargarlos.

  4. Cierre el último indicador de la matriz utilizando el } sin una coma.

  5. Tenga en cuenta que el tamaño máximo de archivo para una importación de archivos JSON es de 250 MB.

Este es un ejemplo de indicador de dirección ipv4 mediante la plantilla JSON.

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

Contenido relacionado

En este artículo se muestra cómo reforzar manualmente la inteligencia sobre amenazas mediante la importación de indicadores recopilados en archivos planos. Consulte estos vínculos para obtener información sobre cómo los indicadores potencian otros análisis en Microsoft Sentinel.