Udostępnij za pośrednictwem

Zbiorcze dodawanie wskaźników do analizy zagrożeń usługi Microsoft Sentinel z pliku CSV lub JSON

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W tym przewodniku z instrukcjami dodasz wskaźniki z pliku CSV lub JSON do analizy zagrożeń usługi Microsoft Sentinel. Wiele udostępniania analizy zagrożeń nadal odbywa się w wiadomościach e-mail i innych kanałach nieformalnych podczas trwającego dochodzenia. Możliwość importowania wskaźników bezpośrednio do analizy zagrożeń w usłudze Microsoft Sentinel umożliwia szybkie łączenie się z pojawiającymi się zagrożeniami dla zespołu i udostępnianie ich innym analizom, takim jak tworzenie alertów zabezpieczeń, incydentów i automatycznych odpowiedzi.

Ważne

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Usługa Microsoft Sentinel jest dostępna jako część ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Usługa Microsoft Sentinel w portalu usługi Defender jest teraz obsługiwana do użytku produkcyjnego. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

  • Aby przechowywać wskaźniki zagrożeń, musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.

Wybieranie szablonu importu dla wskaźników

Dodaj wiele wskaźników do analizy zagrożeń za pomocą specjalnie spreparowanego pliku CSV lub JSON. Pobierz szablony plików, aby zapoznać się z polami i sposobem mapowania ich na posiadane dane. Przed zaimportowaniem przejrzyj wymagane pola dla każdego typu szablonu, aby zweryfikować dane.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Analiza zagrożeń.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Threat Management>Threat Intelligence.

  2. Wybierz pozycję Importuj import>przy użyciu pliku.

  3. Wybierz plik CSV lub plik JSON z menu rozwijanego Format pliku.

    Zrzut ekranu przedstawiający menu wysuwane w celu przekazania pliku CSV lub pliku JSON, wybrania szablonu do pobrania i określenia źródła.

  4. Po wybraniu szablonu zbiorczego wybierz link Pobierz szablon .

  5. Rozważ grupowanie wskaźników według źródła, ponieważ każde przekazywanie plików wymaga jednego.

Szablony zawierają wszystkie pola potrzebne do utworzenia jednego prawidłowego wskaźnika, w tym wymagane pola i parametry walidacji. Zreplikuj strukturę, aby wypełnić dodatkowe wskaźniki w jednym pliku. Aby uzyskać więcej informacji na temat szablonów, zobacz Omówienie szablonów importu.

Przekazywanie pliku wskaźnika

  1. Zmień domyślną nazwę pliku z szablonu, ale zachowaj rozszerzenie pliku jako .csv lub .json. Podczas tworzenia unikatowej nazwy pliku łatwiej jest monitorować importy z okienka Zarządzanie importowaniem plików.

  2. Przeciągnij plik wskaźników do sekcji Przekaż plik lub wyszukaj plik przy użyciu linku.

  3. Wprowadź źródło wskaźników w polu tekstowym Źródło . Ta wartość jest oznaczana wszystkimi wskaźnikami zawartymi w tym pliku. Wyświetl tę właściwość jako SourceSystem pole. Źródło jest również wyświetlane w okienku Zarządzanie importowaniem plików. Aby uzyskać więcej informacji, zobacz Praca ze wskaźnikami zagrożeń.

  4. Wybierz sposób obsługi nieprawidłowych wpisów wskaźnika przez usługę Microsoft Sentinel, wybierając jeden z przycisków radiowych w dolnej części okienka Importuj przy użyciu pliku .

    • Zaimportuj tylko prawidłowe wskaźniki i pozostaw wszelkie nieprawidłowe wskaźniki z pliku.
    • Nie importuj żadnych wskaźników, jeśli pojedynczy wskaźnik w pliku jest nieprawidłowy.

    Zrzut ekranu przedstawiający menu wysuwane w celu przekazania pliku CSV lub pliku JSON, wybrania szablonu do pobrania i określenia źródła z wyróżnionym przyciskiem Importuj.

  5. Wybieranie przycisku importu.

Zarządzanie importami plików

Monitoruj importy i wyświetlaj raporty o błędach dotyczące częściowo zaimportowanych lub nieudanych importów.

  1. Wybierz pozycję Importuj zarządzaj>importami plików.

    Zrzut ekranu przedstawiający opcję menu do zarządzania importami plików.

  2. Przejrzyj stan zaimportowanych plików i liczbę nieprawidłowych wpisów wskaźnika. Prawidłowa liczba wskaźników jest aktualizowana po przetworzeniu pliku. Poczekaj na zakończenie importowania, aby uzyskać zaktualizowaną liczbę prawidłowych wskaźników.

    Zrzut ekranu przedstawiający okienko Zarządzanie importowaniem plików z przykładowymi danymi pozyskiwania. Kolumny pokazują posortowane według zaimportowanej liczby z różnymi źródłami.

  3. Wyświetl i sortuj importy, wybierając pozycję Źródło, nazwę pliku wskaźnika, liczbę zaimportowaną, łączną liczbę wskaźników w każdym pliku lub datę utworzenia.

  4. Wybierz podgląd pliku błędu lub pobierz plik błędu zawierający błędy dotyczące nieprawidłowych wskaźników.

Usługa Microsoft Sentinel utrzymuje stan importowania plików przez 30 dni. Rzeczywisty plik i skojarzony plik błędu są przechowywane w systemie przez 24 godziny. Po upływie 24 godzin plik i plik błędu zostaną usunięte, ale wszystkie pozyskane wskaźniki nadal będą wyświetlane w narzędziu Threat Intelligence.

Omówienie szablonów importu

Przejrzyj każdy szablon, aby upewnić się, że wskaźniki zostały pomyślnie zaimportowane. Pamiętaj, aby zapoznać się z instrukcjami w pliku szablonu i poniższymi dodatkowymi wskazówkami.

Struktura szablonu CSV

  1. Wybierz opcję Wskaźniki pliku lub Wszystkie inne typy wskaźników z menu rozwijanego Typ wskaźnika po wybraniu pliku CSV.

    Szablon CSV wymaga wielu kolumn, aby uwzględnić typ wskaźnika pliku, ponieważ wskaźniki plików mogą mieć wiele typów skrótów, takich jak MD5, SHA256 i nie tylko. Wszystkie inne typy wskaźników, takie jak adresy IP, wymagają tylko obserwowanego typu i zauważalnej wartości.

  2. Nagłówki kolumn dla szablonu CSV Wszystkie inne typy wskaźników zawierają pola, takie jak threatTypes, pojedynczy lub wielokrotny tags, confidencei tlpLevel. Traffic Light Protocol (TLP) to oznaczenie poufności ułatwiające podejmowanie decyzji dotyczących udostępniania analizy zagrożeń.

  3. validFromobservableType Wymagane są tylko pola i observableValue .

  4. Usuń cały pierwszy wiersz z szablonu, aby usunąć komentarze przed przekazaniem.

  5. Pamiętaj, że maksymalny rozmiar pliku dla importu plików CSV wynosi 50 MB.

Oto przykładowy wskaźnik nazwy domeny przy użyciu szablonu CSV.

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

Struktura szablonu JSON

  1. Istnieje tylko jeden szablon JSON dla wszystkich typów wskaźników. Szablon JSON jest oparty na formacie STIX 2.1.

  2. Element pattern obsługuje typy wskaźników: file, ipv4-addr, ipv6-addr, domain-name, url, user-account, email-addr i windows-registry-key.

  3. Usuń komentarze szablonu przed przekazaniem.

  4. Zamknij ostatni wskaźnik w tablicy przy użyciu } przecinka bez przecinka.

  5. Pamiętaj, że maksymalny rozmiar pliku dla importowania pliku JSON wynosi 250 MB.

Oto przykładowy wskaźnik ipv4-addr przy użyciu szablonu JSON.

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

Powiązana zawartość

W tym artykule pokazano, jak ręcznie wzmocnić analizę zagrożeń, importując wskaźniki zebrane w plikach prostych. Zapoznaj się z tymi linkami, aby dowiedzieć się, jak wskaźniki zasilają inne analizy w usłudze Microsoft Sentinel.