Condividi tramite


Aggiungere indicatori in blocco all'intelligence sulle minacce di Microsoft Sentinel da un file CSV o JSON

In questo articolo, si aggiungeranno indicatori da un file CSV o JSON all'intelligence sulle minacce di Microsoft Sentinel. La condivisione di intelligence sulle minacce avviene ancora in gran parte tramite e-mail e altri canali informali, è emerso durante un'indagine in corso. È possibile importare gli indicatori direttamente nell'intelligence sulle minacce di Microsoft Sentinel, in modo da poter inoltrare rapidamente le minacce emergenti al team. È possibile rendere disponibili le minacce per alimentare altre analisi, ad esempio la produzione di avvisi di sicurezza, eventi imprevisti e risposte automatizzate.

Importante

Questa funzionalità è attualmente disponibile solo in anteprima. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

È necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel per archiviare gli indicatori delle minacce.

Selezionare un modello di importazione per gli indicatori

Aggiungere più indicatori all'intelligence sulle minacce con un file CSV o JSON appositamente creato. Scaricare i modelli di file per acquisire familiarità con i campi e il relativo mapping ai dati disponibili. Esaminare i campi obbligatori per ogni tipo di modello per convalidare i dati prima dell'importazione.

  1. Per Microsoft Sentinel nel portale di Azure, in Gestione delle minacce, selezionare Intelligence sulle minacce.

    Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione delle minacce>Intelligence sulle minacce.

  2. Selezionare Importa>Importa usando un file.

  3. Nel menu a discesa Formato di file selezionare CSV o JSON.

    Screenshot che mostra il menu a discesa per caricare un file CSV o JSON, scegliere un modello da scaricare e specificare un'origine.

  4. Dopo aver scelto un modello di caricamento in blocco, selezionare il collegamento Scarica modello.

  5. Valutare la possibilità di raggruppare gli indicatori in base all'origine perché ogni caricamento di file ne richiede uno.

I modelli forniscono tutti i campi necessari per creare un singolo indicatore valido, inclusi i campi obbligatori e i parametri di convalida. Replicare tale struttura per popolare indicatori aggiuntivi in un file. Per altre informazioni sui modelli, vedere Informazioni sui modelli di importazione.

Caricare il file dell'indicatore

  1. Modificare il nome del file dal modello predefinito, ma mantenere l'estensione del file come .csv o .json. Quando si crea un nome file univoco, è più semplice monitorare le importazioni dal riquadro Gestisci importazioni di file.

  2. Trascinare il file degli indicatori nella sezione Caricare un file oppure cercare il file usando il collegamento.

  3. Immettere un'origine per gli indicatori nella casella di testo Origine. Questo valore viene stampato su tutti gli indicatori inclusi nel file. Visualizzare questa proprietà come campo SourceSystem. L'origine viene visualizzata anche nel riquadro Gestisci importazioni di file. Per altre informazioni, vedere Usare gli indicatori delle minacce.

  4. Scegliere come si vuole che Microsoft Sentinel gestisca le voci di indicatore non valide selezionando uno dei pulsanti nella parte inferiore del riquadro Importa usando un file:

    • Importare solo gli indicatori validi e lasciare da parte eventuali indicatori non validi dal file.
    • Non importare indicatori se un singolo indicatore nel file non è valido.

    Screenshot che mostra il menu a discesa per caricare un file CSV o JSON, scegliere un modello e specificare un'origine evidenziando il pulsante Importa.

  5. Selezionare Importa.

Gestire le importazioni di file

Monitorare le importazioni e visualizzare i report degli errori per le importazioni parzialmente importate o non riuscite.

  1. Selezionare Importa>Gestisci importazioni di file.

    Screenshot che mostra l'opzione di menu per gestire le importazioni di file.

  2. Esaminare lo stato dei file importati e il numero di voci di indicatore non valide. Il conteggio degli indicatori valido viene aggiornato dopo l'elaborazione del file. Attendere il completamento dell'importazione per ottenere il conteggio aggiornato degli indicatori validi.

    Screenshot che mostra il riquadro Gestisci importazioni di file con dati di inserimento di esempio. Le colonne mostrano l'ordinamento in base al numero importato con varie origini.

  3. Visualizzare e ordinare le importazioni selezionando Origine, Nome del file indicatore, numero Importato, numero Totale di indicatori in ogni file o data di Creazione.

  4. Selezionare l'anteprima del file di errore o scaricare il file di errore contenente gli errori relativi agli indicatori non validi.

Microsoft Sentinel mantiene lo stato dell'importazione di file per 30 giorni. Il file effettivo e il file di errore associato vengono mantenuti nel sistema per 24 ore. Dopo 24 ore il file e il file di errore vengono eliminati, ma tutti gli indicatori inseriti continuano a essere visualizzati in intelligence sulle minacce.

Informazioni sui modelli di importazione

Esaminare ogni modello per assicurarsi che gli indicatori vengano importati correttamente. Assicurarsi di fare riferimento alle istruzioni nel file del modello e alle indicazioni supplementari seguenti.

Struttura del modello CSV

  1. Nel menu a discesa Tipo di indicatore selezionare CSV. Scegliere quindi tra le opzioni Indicatori file o Tutti gli altri tipi di indicatori.

    Il modello CSV richiede più colonne per supportare il tipo di indicatore di file perché questi ultimi possono avere più tipi hash come MD5 e SHA256. Tutti gli altri tipi di indicatore, ad esempio gli indirizzi IP, richiedono solo il tipo osservabile e il valore osservabile.

  2. Le intestazioni di colonna per il modello CSV Tutti gli altri tipi di indicatori includono campi come threatTypes, uno o più tags, confidence e tlpLevel. Il protocollo TLP (Traffic Light Protocol) è un titolo di riservatezza che consente di prendere decisioni sulla condivisione di intelligence sulle minacce.

  3. Sono necessari solo i campi validFrom, observableType e observableValue.

  4. Eliminare l'intera prima riga dal modello per rimuovere i commenti prima del caricamento.

    La dimensione massima del file per un'importazione di file CSV è di 50 MB.

Ecco un indicatore di nome di dominio di esempio che usa il modello CSV:

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

Struttura del modello JSON

  1. È disponibile un solo modello JSON per tutti i tipi di indicatore. Il modello JSON si basa sul formato STIX 2.1.

  2. L'elemento pattern supporta i tipi di indicatore di file, ipv4-addr, ipv6-addr, domain-name, url, user-account, email-addr e windows-registry-key.

  3. Rimuovere i commenti del modello prima del caricamento.

  4. Chiudere l'ultimo indicatore nella matrice usando il } senza una virgola.

    La dimensione massima del file per un'importazione di file JSON è di 250 MB.

Ecco un indicatore ipv4-addr di esempio che usa il modello JSON:

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

Questo articolo ha illustrato come rafforzare manualmente l'intelligence sulle minacce importando gli indicatori raccolti in file flat. Per altre informazioni su come gli indicatori alimentano altre analisi in Microsoft Sentinel, vedere gli articoli seguenti: