Jelzők tömeges hozzáadása a Microsoft Sentinel fenyegetésfelderítéséhez CSV- vagy JSON-fájlból
Ebben az útmutatóban egy CSV- vagy JSON-fájlból származó jelzőket fog hozzáadni a Microsoft Sentinel fenyegetésfelderítéséhez. Egy folyamatban lévő vizsgálat során továbbra is sok fenyegetésfelderítési megosztás történik e-mailekben és más informális csatornákon. A mutatók közvetlenül a Microsoft Sentinel fenyegetésfelderítésbe való importálásával gyorsan szocializálhatja a csapat újonnan megjelenő fenyegetéseit, és elérhetővé teheti őket más elemzések, például biztonsági riasztások, incidensek és automatizált válaszok előállításához.
Fontos
Ez a funkció jelenleg előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is támogatott. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Előfeltételek
- A fenyegetésjelzők tárolásához olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.
Válassza ki a mutatóihoz tartozó importálási sablont
Adjon hozzá több jelzőt a fenyegetésintelligencia-intelligenciához egy speciálisan kialakított CSV- vagy JSON-fájllal. Töltse le a fájlsablonokat, hogy megismerkedjen a mezőkkel és a meglévő adatokkal való megfeleltetés módjával. Az importálás előtt tekintse át az egyes sablontípusokhoz szükséges mezőket az adatok ellenőrzéséhez.
Az Azure Portalon a Microsoft Sentinel esetében válassza a Fenyegetéskezelés területen a Fenyegetésintelligencia lehetőséget.
A Microsoft Sentinel számára a Defender portálon válassza a Microsoft Sentinel>fenyegetéskezelési>fenyegetésfelderítést.Válassza az Importálás importálása>fájl használatával lehetőséget.
Válassza a CSV-t vagy a JSON-t a Fájlformátum legördülő menüben.
A tömeges feltöltési sablon kiválasztása után válassza a Sablon letöltése hivatkozást.
Fontolja meg a mutatók forrás szerinti csoportosítását, mivel minden fájlfeltöltéshez szükség van rá.
A sablonok biztosítják az összes mezőt, amely egyetlen érvényes mutató létrehozásához szükséges, beleértve a szükséges mezőket és az érvényesítési paramétereket. Replikálja ezt a struktúrát, hogy további mutatókat töltjön fel egy fájlban. A sablonokról további információt az importálási sablonok ismertetése című témakörben talál.
A mutatófájl feltöltése
Módosítsa a fájlnevet a sablon alapértelmezett értékéről, de a fájlkiterjesztést hagyja .csv vagy .json. Egyedi fájlnév létrehozásakor egyszerűbben figyelheti az importálásokat a Fájlimportálás kezelése panelen.
Húzza a mutatófájlt a Fájl feltöltése szakaszba, vagy keresse meg a fájlt a hivatkozással.
A Forrás szövegmezőben adja meg a mutatók forrását. Ez az érték az adott fájlban szereplő összes mutatóra lesz bélyegzve. Tekintse meg ezt a tulajdonságot
SourceSystemmezőként. A forrás a Fájlimportálás kezelése panelen is megjelenik. További információ: Fenyegetésjelzőkkel végzett munka.Válassza ki, hogy a Microsoft Sentinel hogyan kezelje az érvénytelen jelzőbejegyzéseket az Importálás ablaktábla alján található egyik választógomb kiválasztásával .
- Csak az érvényes jelzőket importálja, és hagyja figyelmen kívül a fájl érvénytelen mutatóit.
- Ne importáljon semmilyen jelzőt, ha a fájl egyetlen mutatója érvénytelen.
Válassza az Importálás gombot.
Fájlimportálás kezelése
Figyelje az importálásokat, és tekintse meg a részlegesen importált vagy meghiúsult importálások hibajelentéseit.
Válassza a Fájlimportálás importálása>lehetőséget.
Tekintse át az importált fájlok állapotát és az érvénytelen jelzőbejegyzések számát. Az érvényes mutatószám a fájl feldolgozása után frissül. Várja meg, amíg az importálás befejeződik, és megkapja az érvényes mutatók frissített számát.
Az importálások megtekintéséhez és rendezéséhez válassza a Forrás, a mutatófájl neve, az Importált szám, az egyes fájlokban lévő mutatók teljes száma vagy a Létrehozás dátuma lehetőséget.
Válassza ki a hibafájl előnézetét, vagy töltse le az érvénytelen jelzőkkel kapcsolatos hibákat tartalmazó hibafájlt.
A Microsoft Sentinel 30 napig megőrzi a fájlimportálás állapotát. A rendszer 24 órán át megőrzi a tényleges fájlt és a hozzá tartozó hibafájlt. 24 óra elteltével a fájl és a hibafájl törlődik, de a betöltött jelzők továbbra is megjelennek a fenyegetésfelderítésben.
Az importálási sablonok ismertetése
Tekintse át az egyes sablonokat, és győződjön meg arról, hogy a mutatók importálása sikeresen megtörtént. Mindenképpen hivatkozzon a sablonfájl utasításaira és az alábbi kiegészítő útmutatásra.
CSV-sablonstruktúra
A CSV kiválasztásakor válasszon a Fájljelzők vagy a Minden más mutatótípus lehetőség közül a Mutatótípus legördülő menüben.
A CSV-sablonnak több oszlopra van szüksége a fájljelző típusának elhelyezéséhez, mivel a fájljelzők több kivonattípussal is rendelkezhetnek, például MD5, SHA256 és egyebek. Minden más jelzőtípus, például az IP-címek csak a megfigyelhető típust és a megfigyelhető értéket igénylik.
A CSV oszlopfejlécei Minden más mutatótípus sablon olyan mezőket tartalmaz, mint
threatTypesaz egy vagy többtags,confidenceéstlpLevel. A Traffic Light Protocol (TLP) egy bizalmassági megjelölés, amely segít döntéseket hozni a fenyegetésintelligencia-megosztásról.Csak a
validFrom,observableTypeésobservableValuea mezők szükségesek.A feltöltés előtt törölje a teljes első sort a sablonból a megjegyzések eltávolításához.
Ne feledje, hogy a CSV-fájlok importálásának maximális mérete 50 MB.
Íme egy példa tartománynév-mutatóra a CSV-sablon használatával.
threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com
JSON-sablonstruktúra
Az összes mutatótípushoz csak egy JSON-sablon tartozik. A JSON-sablon STIX 2.1 formátumon alapul.
Az
patternelem támogatja a következő típusú jelzőtípusokat: fájl, ipv4-addr, ipv6-addr, domain-name, URL, user-account, email-addr és windows-registry-key types.A feltöltés előtt távolítsa el a sablon megjegyzéseit.
Zárja be az utolsó mutatót a tömbben
}vessző nélkül.Ne feledje, hogy egy JSON-fájlimportálás maximális fájlmérete 250 MB.
Íme egy példa az ipv4-addr mutatóra a JSON-sablon használatával.
[
{
"type": "indicator",
"id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
"spec_version": "2.1",
"pattern": "[ipv4-addr:value = '198.168.100.5']",
"pattern_type": "stix",
"created": "2022-07-27T12:00:00.000Z",
"modified": "2022-07-27T12:00:00.000Z",
"valid_from": "2016-07-20T12:00:00.000Z",
"name": "Sample IPv4 indicator",
"description": "This indicator implements an observation expression.",
"indicator_types": [
"anonymization",
"malicious-activity"
],
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "establish-foothold"
}
],
"labels": ["proxy","demo"],
"confidence": "95",
"lang": "",
"external_references": [],
"object_marking_refs": [],
"granular_markings": []
}
]
Kapcsolódó tartalom
Ez a cikk bemutatja, hogyan erősítheti meg manuálisan a fenyegetésintelligencia-adatokat a lapos fájlokban összegyűjtött mutatók importálásával. Ezeket a hivatkozásokat a Microsoft Sentinel egyéb elemzéseinek teljesítménymutatóiról is megismerheti.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: