Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как добавить индикаторы из объектов CSV или STIX из JSON-файла в Microsoft Sentinel аналитику угроз. Так как обмен аналитикой угроз по-прежнему происходит через электронную почту и другие неофициальные каналы во время текущего исследования, возможность быстро импортировать эти сведения в Microsoft Sentinel важна для передачи новых угроз вашей команде. Эти обнаруженные угрозы становятся доступными для других аналитических средств, таких как создание оповещений системы безопасности, инцидентов и автоматизированных ответов.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 г. многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье Время перемещения: портал Azure списания Microsoft Sentinel для повышения безопасности.
Предварительные условия
Для хранения аналитики угроз необходимо иметь разрешения на чтение и запись в рабочей области Microsoft Sentinel.
Выбор шаблона импорта для аналитики угроз
Добавьте несколько объектов аналитики угроз с помощью специально созданного CSV- или JSON-файла. Скачайте шаблоны файлов, чтобы ознакомиться с полями и способами их сопоставления с имеющимися у вас данными. Перед импортом просмотрите обязательные поля для каждого типа шаблона, чтобы проверить данные.
Для Microsoft Sentinel в портал Azure в разделе Управление угрозами выберите Аналитика угроз.
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat management>Threat Intelligence.
Выберите Импорт>с помощью файла.
В раскрывающемся меню Формат файла выберите CSV или JSON.
Примечание.
Шаблон CSV поддерживает только индикаторы. Шаблон JSON поддерживает индикаторы и другие объекты STIX, такие как субъекты угроз, шаблоны атак, удостоверения и связи. Дополнительные сведения о создании поддерживаемых объектов STIX в JSON см. в справочнике по API отправки.
Выбрав шаблон массовой отправки, щелкните ссылку Скачать шаблон .
Рассмотрите возможность группировки аналитики угроз по источнику, так как для каждой отправки файла требуется один.
Шаблоны предоставляют все поля, необходимые для создания единого допустимого индикатора, включая обязательные поля и параметры проверки. Реплицируйте структуру, чтобы заполнить больше индикаторов в одном файле, или добавьте объекты STIX в JSON-файл. Дополнительные сведения о шаблонах см. в статье Общие сведения о шаблонах импорта.
Отправка файла аналитики угроз
Измените имя файла с шаблона по умолчанию, но оставьте расширение файла .csv или .json. При создании уникального имени файла проще отслеживать импорт на панели Управление импортом файлов .
Перетащите файл аналитики массовых угроз в раздел Отправка файла или найдите файл по ссылке.
Введите источник для аналитики угроз в текстовом поле Источник . Это значение помечено на всех индикаторах, включенных в этот файл. Просмотрите это свойство как
SourceSystemполе. Источник также отображается в области Управление импортом файлов . Дополнительные сведения см. в статье Работа с индикаторами угроз.Выберите, как Microsoft Sentinel обрабатывать недопустимые записи, нажав одну из кнопок в нижней части области Импорт с помощью файла:
- Импортируйте только допустимые записи и оставьте в стороне все недопустимые записи из файла.
- Не импортируйте записи, если один объект в файле недопустим.
Нажмите Импорт.
Управление импортом файлов
Отслеживайте импорт и просматривайте отчеты об ошибках на наличие частично импортированных или неудачных импортов.
Выберите Импорт Управление>импортом файлов.
Проверьте состояние импортированных файлов и количество недопустимых записей. Допустимое число записей обновляется после обработки файла. Дождитесь завершения импорта, чтобы получить обновленное количество допустимых записей.
Для просмотра и сортировки импорта выберите Источник, Имя файла аналитики угроз, Число импортированных данных, Общее количество записей в каждом файле или Дата создания .
Выберите предварительный просмотр файла ошибки или скачайте файл ошибки, содержащий ошибки о недопустимых записях.
Microsoft Sentinel сохраняет состояние импорта файла в течение 30 дней. Фактический файл и связанный с ним файл ошибки хранятся в системе в течение 24 часов. Через 24 часа файл и файл об ошибке удаляются, но все данные о приеме индикаторов продолжают отображаться в аналитике угроз.
Общие сведения о шаблонах импорта
Просмотрите каждый шаблон, чтобы убедиться, что аналитика угроз успешно импортирована. Обязательно ознакомьтесь с инструкциями в файле шаблона и приведенными ниже дополнительными рекомендациями.
Структура шаблона CSV
В раскрывающемся меню Тип индикатора выберите CSV. Затем выберите один из вариантов Индикаторы файла или Все другие типы индикаторов .
Шаблону CSV требуется несколько столбцов для размещения типа индикатора файла, так как индикаторы файлов могут иметь несколько типов хэша, таких как MD5 и SHA256. Для всех других типов индикаторов, таких как IP-адреса, требуется только наблюдаемый тип и наблюдаемое значение.
Заголовки столбцов для шаблона CSV Все остальные типы индикаторов включают такие поля, как
threatTypes, один или несколькоtags,confidenceиtlpLevel. Протокол светофора (TLP) — это обозначение конфиденциальности, помогающий принимать решения об обмене аналитикой угроз.validFromОбязательны только поля ,observableTypeиobservableValue.Удалите всю первую строку из шаблона, чтобы удалить комментарии перед отправкой.
Максимальный размер файла для импорта CSV-файла составляет 50 МБ.
Ниже приведен пример индикатора доменного имени, использующего шаблон CSV:
threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com
Структура шаблона JSON
Существует только один шаблон JSON для всех типов объектов STIX. Шаблон JSON основан на формате STIX 2.1.
Элемент
typeподдерживаетindicator,attack-pattern,identity,threat-actorиrelationship.Для индикаторов
patternэлемент поддерживает типы индикаторовfile,ipv4-addr,ipv6-addr,domain-name,urluser-account,email-addrиwindows-registry-key.Удалите примечания шаблона перед отправкой.
Закройте последний объект в массиве с помощью
}без запятой.Максимальный размер файла для импорта JSON-файла составляет 250 МБ.
Ниже приведен пример ipv4-addr индикатора с attack-pattern использованием формата JSON-файла:
[
{
"type": "indicator",
"id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
"spec_version": "2.1",
"pattern": "[ipv4-addr:value = '198.168.100.5']",
"pattern_type": "stix",
"created": "2022-07-27T12:00:00.000Z",
"modified": "2022-07-27T12:00:00.000Z",
"valid_from": "2016-07-20T12:00:00.000Z",
"name": "Sample IPv4 indicator",
"description": "This indicator implements an observation expression.",
"indicator_types": [
"anonymization",
"malicious-activity"
],
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "establish-foothold"
}
],
"labels": ["proxy","demo"],
"confidence": "95",
"lang": "",
"external_references": [],
"object_marking_refs": [],
"granular_markings": []
},
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
Связанные материалы
Из этой статьи вы узнали, как вручную повысить аналитику угроз путем импорта индикаторов и других объектов STIX, собранных в неструктурированных файлах. Дополнительные сведения о том, как аналитика угроз обеспечивает другие возможности аналитики в Microsoft Sentinel, см. в следующих статьях: