Zbiorcze dodawanie wskaźników do analizy zagrożeń usługi Microsoft Sentinel z pliku CSV lub JSON
W tym przewodniku z instrukcjami dodasz wskaźniki z pliku CSV lub JSON do analizy zagrożeń usługi Microsoft Sentinel. Wiele udostępniania analizy zagrożeń nadal odbywa się w wiadomościach e-mail i innych kanałach nieformalnych podczas trwającego dochodzenia. Możliwość importowania wskaźników bezpośrednio do analizy zagrożeń w usłudze Microsoft Sentinel umożliwia szybkie łączenie się z pojawiającymi się zagrożeniami dla zespołu i udostępnianie ich innym analizom, takim jak tworzenie alertów zabezpieczeń, incydentów i automatycznych odpowiedzi.
Ważne
Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Usługa Microsoft Sentinel jest dostępna jako część ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Usługa Microsoft Sentinel w portalu usługi Defender jest teraz obsługiwana do użytku produkcyjnego. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wymagania wstępne
- Aby przechowywać wskaźniki zagrożeń, musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.
Wybieranie szablonu importu dla wskaźników
Dodaj wiele wskaźników do analizy zagrożeń za pomocą specjalnie spreparowanego pliku CSV lub JSON. Pobierz szablony plików, aby zapoznać się z polami i sposobem mapowania ich na posiadane dane. Przed zaimportowaniem przejrzyj wymagane pola dla każdego typu szablonu, aby zweryfikować dane.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Analiza zagrożeń.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Threat Management>Threat Intelligence.Wybierz pozycję Importuj import>przy użyciu pliku.
Wybierz plik CSV lub plik JSON z menu rozwijanego Format pliku.
Po wybraniu szablonu zbiorczego wybierz link Pobierz szablon .
Rozważ grupowanie wskaźników według źródła, ponieważ każde przekazywanie plików wymaga jednego.
Szablony zawierają wszystkie pola potrzebne do utworzenia jednego prawidłowego wskaźnika, w tym wymagane pola i parametry walidacji. Zreplikuj strukturę, aby wypełnić dodatkowe wskaźniki w jednym pliku. Aby uzyskać więcej informacji na temat szablonów, zobacz Omówienie szablonów importu.
Przekazywanie pliku wskaźnika
Zmień domyślną nazwę pliku z szablonu, ale zachowaj rozszerzenie pliku jako .csv lub .json. Podczas tworzenia unikatowej nazwy pliku łatwiej jest monitorować importy z okienka Zarządzanie importowaniem plików.
Przeciągnij plik wskaźników do sekcji Przekaż plik lub wyszukaj plik przy użyciu linku.
Wprowadź źródło wskaźników w polu tekstowym Źródło . Ta wartość jest oznaczana wszystkimi wskaźnikami zawartymi w tym pliku. Wyświetl tę właściwość jako
SourceSystem
pole. Źródło jest również wyświetlane w okienku Zarządzanie importowaniem plików. Aby uzyskać więcej informacji, zobacz Praca ze wskaźnikami zagrożeń.Wybierz sposób obsługi nieprawidłowych wpisów wskaźnika przez usługę Microsoft Sentinel, wybierając jeden z przycisków radiowych w dolnej części okienka Importuj przy użyciu pliku .
- Zaimportuj tylko prawidłowe wskaźniki i pozostaw wszelkie nieprawidłowe wskaźniki z pliku.
- Nie importuj żadnych wskaźników, jeśli pojedynczy wskaźnik w pliku jest nieprawidłowy.
Wybieranie przycisku importu.
Zarządzanie importami plików
Monitoruj importy i wyświetlaj raporty o błędach dotyczące częściowo zaimportowanych lub nieudanych importów.
Wybierz pozycję Importuj zarządzaj>importami plików.
Przejrzyj stan zaimportowanych plików i liczbę nieprawidłowych wpisów wskaźnika. Prawidłowa liczba wskaźników jest aktualizowana po przetworzeniu pliku. Poczekaj na zakończenie importowania, aby uzyskać zaktualizowaną liczbę prawidłowych wskaźników.
Wyświetl i sortuj importy, wybierając pozycję Źródło, nazwę pliku wskaźnika, liczbę zaimportowaną, łączną liczbę wskaźników w każdym pliku lub datę utworzenia.
Wybierz podgląd pliku błędu lub pobierz plik błędu zawierający błędy dotyczące nieprawidłowych wskaźników.
Usługa Microsoft Sentinel utrzymuje stan importowania plików przez 30 dni. Rzeczywisty plik i skojarzony plik błędu są przechowywane w systemie przez 24 godziny. Po upływie 24 godzin plik i plik błędu zostaną usunięte, ale wszystkie pozyskane wskaźniki nadal będą wyświetlane w narzędziu Threat Intelligence.
Omówienie szablonów importu
Przejrzyj każdy szablon, aby upewnić się, że wskaźniki zostały pomyślnie zaimportowane. Pamiętaj, aby zapoznać się z instrukcjami w pliku szablonu i poniższymi dodatkowymi wskazówkami.
Struktura szablonu CSV
Wybierz opcję Wskaźniki pliku lub Wszystkie inne typy wskaźników z menu rozwijanego Typ wskaźnika po wybraniu pliku CSV.
Szablon CSV wymaga wielu kolumn, aby uwzględnić typ wskaźnika pliku, ponieważ wskaźniki plików mogą mieć wiele typów skrótów, takich jak MD5, SHA256 i nie tylko. Wszystkie inne typy wskaźników, takie jak adresy IP, wymagają tylko obserwowanego typu i zauważalnej wartości.
Nagłówki kolumn dla szablonu CSV Wszystkie inne typy wskaźników zawierają pola, takie jak
threatTypes
, pojedynczy lub wielokrotnytags
,confidence
itlpLevel
. Traffic Light Protocol (TLP) to oznaczenie poufności ułatwiające podejmowanie decyzji dotyczących udostępniania analizy zagrożeń.validFrom
observableType
Wymagane są tylko pola iobservableValue
.Usuń cały pierwszy wiersz z szablonu, aby usunąć komentarze przed przekazaniem.
Pamiętaj, że maksymalny rozmiar pliku dla importu plików CSV wynosi 50 MB.
Oto przykładowy wskaźnik nazwy domeny przy użyciu szablonu CSV.
threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com
Struktura szablonu JSON
Istnieje tylko jeden szablon JSON dla wszystkich typów wskaźników. Szablon JSON jest oparty na formacie STIX 2.1.
Element
pattern
obsługuje typy wskaźników: file, ipv4-addr, ipv6-addr, domain-name, url, user-account, email-addr i windows-registry-key.Usuń komentarze szablonu przed przekazaniem.
Zamknij ostatni wskaźnik w tablicy przy użyciu
}
przecinka bez przecinka.Pamiętaj, że maksymalny rozmiar pliku dla importowania pliku JSON wynosi 250 MB.
Oto przykładowy wskaźnik ipv4-addr przy użyciu szablonu JSON.
[
{
"type": "indicator",
"id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
"spec_version": "2.1",
"pattern": "[ipv4-addr:value = '198.168.100.5']",
"pattern_type": "stix",
"created": "2022-07-27T12:00:00.000Z",
"modified": "2022-07-27T12:00:00.000Z",
"valid_from": "2016-07-20T12:00:00.000Z",
"name": "Sample IPv4 indicator",
"description": "This indicator implements an observation expression.",
"indicator_types": [
"anonymization",
"malicious-activity"
],
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "establish-foothold"
}
],
"labels": ["proxy","demo"],
"confidence": "95",
"lang": "",
"external_references": [],
"object_marking_refs": [],
"granular_markings": []
}
]
Powiązana zawartość
W tym artykule pokazano, jak ręcznie wzmocnić analizę zagrożeń, importując wskaźniki zebrane w plikach prostych. Zapoznaj się z tymi linkami, aby dowiedzieć się, jak wskaźniki zasilają inne analizy w usłudze Microsoft Sentinel.