Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Impor inteligensi ancaman untuk digunakan di Microsoft Azure Sentinel dengan API unggahan. Baik Anda menggunakan platform inteligensi ancaman atau aplikasi kustom, gunakan dokumen ini sebagai referensi tambahan untuk instruksi di Menyambungkan TIP Anda dengan API unggahan. Menginstal konektor data tidak diperlukan untuk menyambungkan ke API. Inteligensi ancaman yang dapat Anda impor mencakup indikator kompromi dan objek domain STIX lainnya.
Penting
API ini saat ini dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Ekspresi Informasi Ancaman Terstruktur (STIX) adalah bahasa untuk mengekspresikan ancaman cyber dan informasi yang dapat diamati. Dukungan yang ditingkatkan untuk objek domain berikut disertakan dengan API unggahan:
- Indikator
- pola serangan
- pelaku ancaman
- identitas
- hubungan
Untuk informasi selengkapnya, lihat Pengantar STIX.
Catatan
API indikator unggahan sebelumnya sekarang warisan. Jika Anda perlu mereferensikan API tersebut saat bertransisi ke API unggahan baru ini, lihat API indikator unggahan warisan.
Panggil API
Panggilan ke API unggahan memiliki lima komponen:
- URI permintaan
- Header pesan permintaan HTTP
- Isi pesan permintaan HTTP
- Secara opsional memproses header pesan respons HTTP
- Secara opsional memproses isi pesan respons HTTP
Mendaftarkan aplikasi klien Anda dengan ID Microsoft Entra
Untuk mengautentikasi ke Microsoft Sentinel, permintaan ke API unggahan memerlukan token akses Microsoft Entra yang valid. Untuk informasi selengkapnya tentang pendaftaran aplikasi, lihat Mendaftarkan aplikasi dengan platform identitas Microsoft atau lihat langkah-langkah dasar sebagai bagian dari Menyambungkan inteligensi ancaman dengan mengunggah penyiapan API.
API ini mengharuskan aplikasi Microsoft Entra panggilan diberikan peran kontributor Microsoft Azure Sentinel di tingkat ruang kerja.
Membuat permintaan
Bagian ini mencakup tiga dari lima komponen pertama yang dibahas sebelumnya. Anda harus terlebih dahulu memperoleh token akses dari ID Microsoft Entra, yang Anda gunakan untuk merakit header pesan permintaan Anda.
Memperoleh token akses
Dapatkan token akses Microsoft Entra dengan autentikasi OAuth 2.0. V1.0 dan V2.0 adalah token yang valid yang diterima oleh API.
Versi token (v1.0 atau v2.0) yang diterima ditentukan oleh accessTokenAcceptedVersion properti dalam manifes aplikasi API yang dipanggil aplikasi Anda. Jika accessTokenAcceptedVersion diatur ke 1, maka aplikasi Anda menerima token v1.0.
Gunakan Microsoft Authentication Library (MSAL) untuk memperoleh token akses v1.0 atau v2.0. Gunakan token akses untuk membuat header otorisasi yang berisi token pembawa.
Misalnya, permintaan ke API unggahan menggunakan elemen berikut untuk mengambil token akses dan membuat header otorisasi, yang digunakan di setiap permintaan:
- POSTING
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token
Header untuk menggunakan Aplikasi Microsoft Entra:
- grant_type: "client_credentials"
- client_id: {ID Klien Microsoft Entra App}
- client_secret atau client_certificate: {secrets of the Microsoft Entra App}
- ruang lingkup:
"https://management.azure.com/.default"
Jika accessTokenAcceptedVersion dalam manifes aplikasi diatur ke 1, aplikasi Anda menerima token akses v1.0 meskipun memanggil titik akhir token v2.
Nilai sumber daya/cakupan adalah audiens token. API ini hanya menerima audiens berikut:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
Merakit pesan permintaan
URI Permintaan
Penerapan versi API: api-version=2024-02-01-preview
Titik akhir: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
Metode: POST
Header permintaan
Authorization: Berisi token pembawa OAuth2
Content-Type: application/json
Isi permintaan
Objek JSON untuk isi berisi bidang berikut:
| Nama bidang | Jenis Data | Deskripsi |
|---|---|---|
sourcesystem (diperlukan) |
string | Identifikasi nama sistem sumber Anda. Nilai Microsoft Sentinel dibatasi. |
stixobjects (diperlukan) |
array | Array objek STIX dalam format STIX 2.0 atau 2.1 |
Buat array objek STIX menggunakan spesifikasi format STIX. Beberapa spesifikasi properti STIX diperluas di sini untuk kenyamanan Anda dengan tautan ke bagian dokumen STIX yang relevan. Perhatikan juga beberapa properti, meskipun valid untuk STIX, tidak memiliki properti skema objek yang sesuai di Microsoft Sentinel.
Peringatan
Jika Anda menggunakan Aplikasi Logika Microsoft Sentinel untuk menyambungkan ke API unggahan, perhatikan ada tiga tindakan inteligensi ancaman yang tersedia. Hanya gunakan Inteligensi Ancaman - Unggah Objek STIX (Pratinjau). Dua lainnya akan gagal dengan titik akhir ini dan bidang isi JSON.
Contoh pesan permintaan
Berikut adalah contoh fungsi PowerShell yang menggunakan sertifikat yang ditandatangani sendiri yang diunggah ke pendaftaran aplikasi Entra untuk menghasilkan token akses dan header otorisasi:
function Test-UploadApi {
<#
.SYNOPSIS
requires Powershell module MSAL.PS version 4.37 or higher
https://www.powershellgallery.com/packages/MSAL.PS/
.EXAMPLE
Test-Api -API UploadApi -WorkspaceName "workspacename" -ResourceGroupName "rgname" -AppId "00001111-aaaa-2222-bbbb-3333cccc4444" -TenantName "contoso.onmicrosoft.com" -FilePath "C:\Users\user\Documents\stixobjects.json"
#>
[CmdletBinding()]
param (
[Parameter(Mandatory = $true)]
[string]$TenantName,
[Parameter(Mandatory = $true)]
[string]$CertThumbprint,
[Parameter(Mandatory = $true)]
[string]$AppId,
[Parameter(Mandatory = $true)]
[string]$WorkspaceId,
[Parameter(Mandatory = $true)]
[string]$FilePath
)
$Scope = "https://management.azure.com/.default"
# Connection details for getting initial token with self-signed certificate from local store
$connectionDetails = @{
'TenantId' = $TenantName
'ClientId' = $AppId
'ClientCertificate' = Get-Item -Path "Cert:\CurrentUser\My\$CertThumbprint"
scope = $Scope
}
# Request the token
# Using Powershell module MSAL.PS https://www.powershellgallery.com/packages/MSAL.PS/
# Get-MsalToken is automatically using OAuth 2.0 token endpoint https://login.microsoftonline.com/$TenantName/oauth2/v2.0/token
# and sets auth flow to grant_type = 'client_credentials'
$token = Get-MsalToken @connectionDetails
# Create header
# Again relying on MSAL.PS which has method CreateAuthorizationHeader() getting us the bearer token
$Header = @{
'Authorization' = $token.CreateAuthorizationHeader()
}
$Uri = "https://api.ti.sentinel.azure.com/workspaces/$workspaceId/threat-intelligence-stix-objects:upload?api-version=$apiVersion"
$stixobjects = get-content -path $FilePath
if(-not $stixobjects) { Write-Host "No file found at $FilePath"; break }
$results = Invoke-RestMethod -Uri $Uri -Headers $Header -Body $stixobjects -Method POST -ContentType "application/json"
$results | ConvertTo-Json -Depth 4
}
Properti umum
Semua objek yang Anda impor dengan API unggah berbagi properti umum ini.
| Nama Properti | Tipe | Deskripsi |
|---|---|---|
id (diperlukan) |
string | ID yang digunakan untuk mengidentifikasi objek STIX. Lihat bagian 2.9 untuk spesifikasi tentang cara membuat id. Formatnya terlihat seperti indicator--<UUID> |
spec_version (opsional) |
string | Versi objek STIX. Nilai ini diperlukan dalam spesifikasi STIX, tetapi karena API ini hanya mendukung STIX 2.0 dan 2.1, ketika bidang ini tidak diatur, API default ke 2.0 |
type (diperlukan) |
string | Nilai properti ini harus merupakan objek STIX yang didukung. |
created (diperlukan) |
stempel waktu | Lihat bagian 3.2 untuk spesifikasi properti umum ini. |
created_by_ref (opsional) |
string | Properti created_by_ref menentukan properti ID entitas yang membuat objek ini. Jika atribut ini dihilangkan, sumber informasi ini tidak ditentukan. Untuk pembuat objek yang ingin tetap anonim, pertahankan nilai ini tidak terdefinisi. |
modified (diperlukan) |
stempel waktu | Lihat bagian 3.2 untuk spesifikasi properti umum ini. |
revoked (opsional) |
Boolean | Objek yang dicabut tidak lagi dianggap valid oleh pembuat objek. Mencabut objek bersifat permanen; versi objek yang akan datang dengan ini idtidak boleh dibuat.Nilai default properti ini adalah false. |
labels (opsional) |
daftar string | Properti labels menentukan sekumpulan istilah yang digunakan untuk menjelaskan objek ini. Istilah ini ditentukan pengguna atau grup kepercayaan yang ditentukan. Label ini ditampilkan sebagai Tag di Microsoft Azure Sentinel. |
confidence (opsional) |
Integer | Properti confidence mengidentifikasi keyakinan yang dimiliki pembuat dalam kebenaran data mereka. Nilai keyakinan harus berupa angka dalam rentang 0-100.Lampiran A berisi tabel pemetaan normatif ke skala keyakinan lain yang harus digunakan saat menyajikan nilai keyakinan dalam salah satu skala tersebut. Jika properti keyakinan tidak ada, maka keyakinan konten tidak ditentukan. |
lang (opsional) |
string | Properti lang mengidentifikasi bahasa isi teks dalam objek ini. Saat ada, kode bahasa harus sesuai dengan RFC5646. Jika properti tidak ada, maka bahasa kontennya adalah en (Bahasa Inggris).Properti ini harus ada jika jenis objek berisi properti teks yang dapat diterjemahkan (misalnya, nama, deskripsi). Bahasa bidang individual dalam objek ini mungkin mengambil alih lang properti dalam penandaan terperinci (lihat bagian 7.2.3). |
object_marking_refs (opsional, termasuk TLP) |
daftar string | Properti object_marking_refs menentukan daftar properti ID dari objek definisi penandaan yang berlaku untuk objek ini. Misalnya, gunakan ID definisi penandaan Protokol Lampu Lalu Lintas (TLP) untuk menunjuk sensitivitas sumber indikator. Untuk detail ID definisi penandaan apa yang akan digunakan untuk konten TLP, lihat bagian 7.2.1.4Dalam beberapa kasus, meskipun jarang, menandai definisi itu sendiri mungkin ditandai dengan panduan berbagi atau penanganan. Dalam hal ini, properti ini tidak boleh berisi referensi apa pun ke objek Definisi Penandaan yang sama (artinya, tidak boleh berisi referensi melingkar). Lihat bagian 7.2.2 untuk definisi lebih lanjut dari penandaan data. |
external_references (opsional) |
daftar objek | Properti external_references menentukan daftar referensi eksternal yang mengacu pada informasi non-STIX. Properti ini digunakan untuk menyediakan satu atau beberapa URL, deskripsi, atau ID ke rekaman di sistem lain. |
granular_markings (opsional) |
daftar penandaan granular | Properti granular_markings membantu menentukan bagian indikator secara berbeda. Misalnya, bahasa indikatornya adalah bahasa Inggris, en tetapi deskripsinya adalah Jerman, de.Dalam beberapa kasus, meskipun jarang, menandai definisi itu sendiri mungkin ditandai dengan panduan berbagi atau penanganan. Dalam hal ini, properti ini tidak boleh berisi referensi apa pun ke objek Definisi Penandaan yang sama (artinya, tidak boleh berisi referensi melingkar). Lihat bagian 7.2.3 untuk definisi lebih lanjut tentang penandaan data. |
Untuk informasi selengkapnya, lihat Properti umum STIX.
Indikator
| Nama Properti | Tipe | Deskripsi |
|---|---|---|
name (opsional) |
string | Nama yang digunakan untuk mengidentifikasi indikator. Produsen harus menyediakan properti ini untuk membantu produk dan analis memahami apa yang sebenarnya dilakukan indikator ini. |
description (opsional) |
string | Deskripsi yang memberikan detail dan konteks lebih lanjut tentang indikator, berpotensi menyertakan tujuannya dan karakteristik utamanya. Produsen harus menyediakan properti ini untuk membantu produk dan analis memahami apa yang sebenarnya dilakukan indikator ini. |
indicator_types (opsional) |
daftar string | Sekumpulan kategorisasi untuk indikator ini. Nilai untuk properti ini harus berasal dari indicator-type-ov |
pattern (diperlukan) |
string | Pola deteksi untuk indikator ini mungkin dinyatakan sebagai Pola STIX atau bahasa lain yang sesuai seperti SNORT, YARA, dll. |
pattern_type (diperlukan) |
string | Bahasa pola yang digunakan dalam indikator ini. Nilai untuk properti ini harus berasal dari jenis pola. Nilai properti ini harus cocok dengan jenis data pola yang disertakan dalam properti pola. |
pattern_version (opsional) |
string | Versi bahasa pola yang digunakan untuk data dalam properti pola, yang harus cocok dengan jenis data pola yang disertakan dalam properti pola. Untuk pola yang tidak memiliki spesifikasi formal, versi build atau kode yang diketahui bekerja dengan pola harus digunakan. Untuk bahasa pola STIX, versi spesifikasi objek menentukan nilai default. Untuk bahasa lain, nilai default harus merupakan versi terbaru dari bahasa pola pada saat pembuatan objek ini. |
valid_from (diperlukan) |
stempel waktu | Waktu dari mana indikator ini dianggap sebagai indikator yang valid dari perilaku yang terkait dengan atau diwakilinya. |
valid_until (opsional) |
stempel waktu | Waktu di mana indikator ini tidak boleh lagi dianggap sebagai indikator perilaku yang valid yang terkait dengan atau diwakilinya. Jika properti valid_until dihilangkan, maka tidak ada batasan pada waktu terbaru yang indikatornya valid. Tanda waktu ini harus lebih besar dari tanda waktu valid_from. |
kill_chain_phases (opsional) |
daftar string | Fase rantai pembunuhan yang sesuai dengan indikator ini. Nilai untuk properti ini harus berasal dari Fase Kill Chain. |
Untuk informasi selengkapnya, lihat Indikator STIX.
Pola serangan
Ikuti spesifikasi STIX untuk membuat objek STIX pola serangan. Gunakan contoh ini sebagai referensi tambahan.
Untuk informasi selengkapnya, lihat Pola serangan STIX.
Identitas
Ikuti spesifikasi STIX untuk membuat objek STIX identitas. Gunakan contoh ini sebagai referensi tambahan.
Untuk informasi selengkapnya, lihat Identitas STIX.
Pelaku ancaman
Ikuti spesifikasi STIX untuk membuat objek STIX pelaku ancaman. Gunakan contoh ini sebagai referensi tambahan.
Untuk informasi selengkapnya, lihat Pelaku ancaman STIX.
Hubungan
Ikuti spesifikasi STIX untuk membuat objek STIX hubungan. Gunakan contoh ini sebagai referensi tambahan.
Untuk informasi selengkapnya, lihat Hubungan STIX.
Memproses pesan respons
Header respons berisi kode status HTTP. Referensikan tabel ini untuk informasi selengkapnya tentang cara menginterpretasikan hasil panggilan API.
| Kode status | Deskripsi |
|---|---|
| 200 | Sukses. API mengembalikan 200 ketika satu atau beberapa objek STIX berhasil divalidasi dan diterbitkan. |
| 400 | Format buruk. Sesuatu dalam permintaan tidak diformat dengan benar. |
| 401 | Tidak Sah. |
| 404 | File tidak ditemukan. Biasanya kesalahan ini terjadi ketika ID ruang kerja tidak ditemukan. |
| 429 | Jumlah maksimum permintaan dalam satu menit telah terlampaui. |
| 500 | Kesalahan server. Biasanya kesalahan dalam layanan API atau Microsoft Sentinel. |
Isi respons adalah array pesan kesalahan dalam format JSON:
| Nama bidang | Jenis Data | Deskripsi |
|---|---|---|
| errors | Array objek kesalahan | Daftar kesalahan validasi |
Objek kesalahan
| Nama bidang | Jenis Data | Deskripsi |
|---|---|---|
| recordIndex | int | Indeks objek STIX dalam permintaan |
| errorMessages | Array string | Pesan kesalahan |
Limit pembatasan untuk API
Semua batas diterapkan per pengguna:
- 100 objek per permintaan.
- 100 permintaan per menit.
Jika ada lebih banyak permintaan daripada batas, 429 kode status http di header respons dikembalikan dengan isi respons berikut:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
Sekitar 10.000 objek per menit adalah throughput maksimum sebelum kesalahan pembatasan diterima.
Isi permintaan indikator sampel
Contoh berikut menunjukkan cara mewakili dua indikator dalam spesifikasi STIX.
Test Indicator 2 menyoroti Protokol Lampu Lalu Lintas (TLP) yang diatur ke putih dengan penandaan objek yang dipetakan, dan mengklarifikasi deskripsi dan labelnya dalam bahasa Inggris.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Isi respons sampel dengan kesalahan validasi
Jika semua objek STIX berhasil divalidasi, status HTTP 200 dikembalikan dengan isi respons kosong.
Jika validasi gagal untuk satu atau beberapa objek, isi respons dikembalikan dengan informasi lebih lanjut. Misalnya, jika Anda mengirim array dengan empat indikator, dan tiga indikator pertama bagus tetapi yang keempat tidak memiliki (bidang yang id diperlukan), maka respons kode status HTTP 200 dihasilkan bersama dengan isi berikut:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
Objek dikirim sebagai array, sehingga recordIndex dimulai di 0.
Sampel lainnya
Indikator sampel
Dalam contoh ini, indikator ditandai dengan TLP hijau dengan menggunakan marking-definition--089a6ecb-cc15-43cc-9494-767639779123 di object_marking_refs properti umum. Atribut ekstensi lainnya dan toxicityrank juga disertakan. Meskipun properti ini tidak berada dalam skema Microsoft Azure Sentinel untuk indikator, menyerap objek dengan properti ini tidak memicu kesalahan. Properti tidak direferensikan atau diindeks di ruang kerja.
Catatan
Indikator ini memiliki properti yang revoked diatur ke $true dan tanggalnya valid_until berada di masa lalu. Indikator ini as-is tidak berfungsi dalam aturan analitik dan tidak dikembalikan dalam kueri kecuali rentang waktu yang sesuai ditentukan.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Sampel pola serangan
Pola serangan ini dan objek STIX non-indikator lainnya hanya dapat dilihat di antarmuka manajemen kecuali Anda ikut serta dalam tabel STIX baru. Untuk informasi selengkapnya tentang tabel yang diperlukan untuk melihat objek seperti ini di KQL, lihat Menampilkan inteligensi ancaman Anda.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
Contoh hubungan dengan pelaku ancaman dan identitas
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
Langkah berikutnya
Untuk mempelajari selengkapnya tentang cara bekerja dengan inteligensi ancaman di Microsoft Azure Sentinel, lihat artikel berikut ini:
- Memahami inteligensi ancaman
- Bekerja dengan indikator ancaman
- Menggunakan analitik yang cocok untuk mendeteksi ancaman
- Menggunakan umpan kecerdasan dari Microsoft dan mengaktifkan konektor data MDTI