Compartilhar via

Adicionar indicadores em massa à inteligência contra ameaças do Microsoft Sentinel de um arquivo CSV ou JSON

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Neste guia de instruções, você adicionará indicadores de um arquivo CSV ou JSON à inteligência contra ameaças do Microsoft Sentinel. Em grande medida o compartilhamento de inteligência contra ameaças ainda acontece entre e-mails e outros canais informais durante uma investigação em andamento. A capacidade de importar indicadores diretamente para a inteligência contra ameaças do Microsoft Sentinel permite socializar rapidamente as ameaças emergentes para sua equipe e disponibilizá-las para alimentar outras análises, como a produção de alertas de segurança, incidentes e respostas automatizadas.

Importante

Esse recurso está em VERSÃO PRÉVIA no momento. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

O Microsoft Sentinel agora está em disponibilidade geral dentro da plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

  • Você precisa ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel para armazenar seus indicadores de ameaça.

Selecionar um modelo de importação para seus indicadores

Adicione vários indicadores à inteligência contra ameaças com um arquivo CSV ou JSON criado especialmente. Baixe os modelos de arquivo para se familiarizar com os campos e como eles são mapeados para os dados que você tem. Examine os campos necessários para cada tipo de modelo para validar seus dados antes da importação.

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Inteligência contra ameaças.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de ameaças>Inteligência contra ameaças.

  2. Selecione Importar>Importar usando um arquivo.

  3. Escolha CSV ou JSON no menu suspenso Formato de Arquivo.

    Captura de tela do submenu do menu para fazer upload de um arquivo CSV ou JSON, escolher um modelo para download e especificar uma fonte.

  4. Selecione o link Baixar modelo depois de escolher um modelo de upload em massa.

  5. Considere agrupar seus indicadores por origem, pois cada upload de arquivo requer uma.

Os modelos fornecem todos os campos necessários para criar um único indicador válido, incluindo campos necessários e parâmetros de validação. Replique essa estrutura para preencher indicadores adicionais em um arquivo. Para obter mais informações sobre os modelos, veja Entenda os modelos de importação.

Carregar arquivo de indicadores

  1. Altere o nome do arquivo de modelo padrão, mas mantenha a extensão de arquivo como .csv ou .json. Ao criar um nome de arquivo exclusivo, é mais fácil monitorar as importações no painel Gerenciar importações de arquivos.

  2. Arraste o arquivo de indicadores para a seção Carregar um arquivo ou procure o arquivo usando o link.

  3. Insira uma origem para os indicadores na caixa de texto Origem. Este valor está marcado em todos os indicadores incluídos no arquivo. Exiba essa propriedade como o campo SourceSystem. A fonte também é exibida no painel Gerenciar importações de arquivos. Para obter mais informações, veja Trabalhar com indicadores de ameaça.

  4. Escolha como deseja que o Microsoft Sentinel lide com entradas de indicadores inválidas selecionando um dos botões de opção na parte inferior do painel Importar usando um arquivo.

    • Importe apenas os indicadores válidos e exclua os indicadores inválidos do arquivo.
    • Não importe nenhum indicador se um algum indicador no arquivo for inválido.

    Captura de tela do submenu para carregar um arquivo CSV ou JSON, escolher um modelo para baixar e especificar uma origem realçando o botão Importar.

  5. Selecione o botão Importar.

Gerenciar importações de arquivo

Monitore suas importações e exiba relatórios de erros para importações parciais ou com falha.

  1. Selecione Importar>Gerenciar importações de arquivo.

    Captura de tela da opção de menu para gerenciar importações de arquivos.

  2. Examine o status dos arquivos importados e o número de entradas de indicadores inválidas. A contagem de indicadores válidos é atualizada assim que o arquivo é processado. Aguarde a conclusão da importação para obter a contagem atualizada de indicadores válidos.

    Captura de tela do painel de gerenciamento de importações de arquivos com dados de ingestão de exemplo. As colunas são exibidas classificadas por número importado com várias origens.

  3. Exiba e classifique as importações selecionando Origem, Nome do arquivo de indicadores, o número de Importados, o número Total de indicadores em cada arquivo ou a data Criação.

  4. Selecione a visualização do arquivo de erros ou baixe o arquivo de erros que contém os erros sobre indicadores inválidos.

O Microsoft Sentinel mantém o status da importação de arquivos por 30 dias. O arquivo real e o arquivo de erros associados são mantidos no sistema por 24 horas. Após 24 horas, o arquivo e o arquivo de erros são excluídos, mas quaisquer indicadores ingeridos continuam a aparecer na inteligência contra ameaças.

Entender os modelos de importação

Examine cada modelo para confirmar se seus indicadores foram importados com êxito. Consulte as instruções no arquivo de modelo e as orientações complementares a seguir.

Estrutura do modelo CSV

  1. Escolha entre os Indicadores de arquivo ou a opção Todos os outros tipos de indicador no menu suspenso Tipo de indicador ao selecionar CSV.

    O modelo CSV precisa de várias colunas para acomodar o tipo dos indicadores de arquivo porque os indicadores de arquivo podem ter vários tipos de hash, como MD5, SHA256 e muito mais. Todos os outros tipos de indicadores, como endereços IP, exigem apenas o tipo observável e o valor observável.

  2. Os títulos de coluna do modelo CSV Todos os outros tipos de indicador incluem campos como threatTypes, tags único ou múltiplo, confidencee tlpLevel. TLP (Traffic Light Protocol) é uma designação de sensibilidade para ajudar a tomar decisões sobre compartilhamentos da inteligência sobre ameaças.

  3. Somente os campos validFrom, observableType e observableValue são obrigatórios.

  4. Exclua a primeira linha inteira do modelo para remover os comentários antes do upload.

  5. Tenha em mente que o tamanho máximo do arquivo para uma importação de CSV é de 50 MB.

Veja a seguir um indicador de nome de domínio de exemplo usando o modelo CSV.

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

Estrutura do modelo JSON

  1. Há apenas um modelo JSON para todos os tipos de indicador. O modelo JSON se baseia no formato STIX 2.1.

  2. O elemento pattern dá suporte a tipos de indicadores: arquivo, ipv4-addr, ipv6-addr, domain-name, url, user-account, email-addr e tipos windows-registry-key.

  3. Remova os comentários do modelo antes do upload.

  4. Feche o último indicador da matriz usando } sem vírgula.

  5. Tenha em mente que o tamanho máximo do arquivo para uma importação de JSON é de 250 MB.

Veja um exemplo de indicador ipv4-addr usando o modelo JSON.

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

Conteúdo relacionado

Este artigo mostrou como reforçar manualmente sua inteligência contra ameaças importando indicadores reunidos em arquivos simples. Confira esses links para saber como os indicadores alimentam outras análises no Microsoft Sentinel.