Массовое добавление индикаторов в аналитику угроз Microsoft Sentinel из файла в формате CSV или JSON
В этом практическом руководстве вы добавите индикаторы из файла в формате CSV или JSON в аналитику угроз Microsoft Sentinel. Обмен данными для аналитики угроз во время расследований пока еще часто выполняется по электронной почте и другим неофициальным каналам. Возможность импортировать индикаторы напрямую в аналитику угроз Microsoft Sentinel позволяет быстро информировать коллег о возникающих угрозах и предоставлять им богатые аналитические возможности, включая создание оповещений системы безопасности, инцидентов и автоматизированных ответов.
Внимание
Эта функция сейчас доступна в режиме предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Microsoft Sentinel доступен в составе единой платформы операций безопасности на портале Microsoft Defender. Microsoft Sentinel на портале Defender теперь поддерживается для использования в рабочей среде. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Необходимые компоненты
- Также вам нужны разрешения на чтение и запись в рабочей области Microsoft Sentinel для хранения индикаторов угроз.
Выбор шаблона для импорта индикаторов
Добавьте несколько индикаторов в аналитику угроз с помощью специального файла в формате CSV или JSON. Скачайте шаблоны файлов, чтобы ознакомиться с полями этого формата и правильно сопоставить их с имеющимися данными. Изучите обязательные поля для каждого типа шаблона, чтобы проверять данные перед импортом.
Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите аналитику угроз.
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat management>Threat Intelligence.Щелкните Импорт>Импорт с помощью файла.
Выберите формат CSV или JSON в раскрывающемся меню Формат файла.
Выбрав шаблона массовой отправки, щелкните ссылку Скачать шаблон.
По возможности группируйте индикаторы по источникам, так как их нужно указывать для каждой отправки файла.
Шаблоны содержат все поля, необходимые для создания одного допустимого индикатора, включая обязательные поля и параметры проверки. Скопируйте эту структуру, если вам нужно добавить в тот же файл дополнительные индикаторы. Дополнительные сведения о шаблонах см. в разделе Общие сведения о шаблонах импорта.
Отправка файла с индикаторами
Измените имя шаблона на понятное имя файла, сохранив расширение файла .csv или .json. При создании уникального имени файла проще отслеживать импорт из области "Управление импортами файлов".
Перетащите файл с индикаторами в раздел Отправить файл или найдите его, нажав ссылку для просмотра файлов.
Введите источник индикаторов в текстовое поле Источник. Это значение помечено на всех индикаторах, включенных в этот файл. Просмотрите
SourceSystem
это свойство как поле. Источник также отображается в области "Управление импортом файлов". Дополнительные сведения см. в статье "Работа с индикаторами угроз".С помощью переключателей в нижней части окна Импорт с помощью файла выберите, как Microsoft Sentinel должен обрабатывать недопустимые записи индикаторов.
- Импортировать только допустимые индикаторы, отбрасывая любые недопустимые индикаторы из файла.
- Не импортировать ни один индикатор, если хотя бы один индикатор в файле является недопустимым.
Выберите кнопку Импорт.
Управление импортом файлов
Отслеживайте импорты и просматривайте отчеты об ошибках при неудачном или частично удачном импорте.
Щелкните Импортировать>Управление импортом файлов.
Просмотрите состояние импортированных файлов и количество недопустимых записей индикаторов. Допустимое количество индикаторов обновляется после обработки файла. Дождитесь завершения импорта, чтобы получить обновленное количество допустимых индикаторов.
Просмотрите и отсортируйте импорты, нажав Источник, Имя (файлы с индикаторами), Импортировано (количество записей), Всего (общее количество индикаторов в каждом файле) или Создано (дата создания).
Откройте предварительный просмотр файла ошибок или скачайте файл с ошибками о недопустимых индикаторах.
Microsoft Sentinel сохраняет состояние для импорта файла в течение 30 дней. Использованный файл и связанный с ним файл ошибок хранятся в системе в течение 24 часов. Через 24 часа файл и файл ошибки удаляются, но все индикаторы приема продолжают отображаться в аналитике угроз.
Общие сведения о шаблонах импорта
Просмотрите каждый шаблон и убедитесь, что индикаторы успешно импортированы. Обязательно ознакомьтесь с инструкциями в файле шаблона и приведенными ниже дополнительными рекомендациями.
Структура шаблона CSV
Выберите один из вариантов Файловые индикаторы или Все другие типы индикаторов в раскрывающемся меню Тип индикатора после выбора варианта CSV.
Шаблон в формате CSV должен содержать несколько столбцов файлового типа индикатора, так как файловые индикаторы могут содержать несколько типов хэша (MD5, SHA256 и так далее). Для других типов индикаторов, например по IP-адресам, требуется только наблюдаемый тип и наблюдаемое значение.
Заголовки столбцов для шаблона CSV-файла для индикаторов других типов содержат такие поля, как
threatTypes
, один или несколькоtags
,confidence
иtlpLevel
. Протокол TLP — это назначение конфиденциальности, помогающий принимать решения о совместном использовании аналитики угроз.Обязательными являются только поля
validFrom
,observableType
иobservableValue
.Перед отправкой удалите из шаблона всю первую строку, которая содержит комментарии.
Помните, что максимальный размер CSV-файла для импорта составляет 50 МБ.
Ниже приведен пример индикатора по доменным именам на основе шаблона CSV.
threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com
Структура шаблона JSON
Существует только один шаблон JSON для всех типов индикаторов. Шаблон JSON основан на формате STIX 2.1.
Элемент
pattern
поддерживает следующие типы индикаторов: file, ipv4-addr, ipv6-addr, domain-name, url, user-account, email-addr и windows-registry-key.Удалите комментарии из шаблона перед отправкой.
Закройте последний индикатор в массиве с помощью
}
запятой.Помните, что максимальный размер JSON-файла для импорта составляет 250 МБ.
Ниже приведен пример индикатора ipv4-addr на основе шаблона JSON.
[
{
"type": "indicator",
"id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
"spec_version": "2.1",
"pattern": "[ipv4-addr:value = '198.168.100.5']",
"pattern_type": "stix",
"created": "2022-07-27T12:00:00.000Z",
"modified": "2022-07-27T12:00:00.000Z",
"valid_from": "2016-07-20T12:00:00.000Z",
"name": "Sample IPv4 indicator",
"description": "This indicator implements an observation expression.",
"indicator_types": [
"anonymization",
"malicious-activity"
],
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "establish-foothold"
}
],
"labels": ["proxy","demo"],
"confidence": "95",
"lang": "",
"external_references": [],
"object_marking_refs": [],
"granular_markings": []
}
]
Связанный контент
В этой статье вы узнали, как вручную улучшить аналитику угроз путем импорта индикаторов из неструктурированных файлов. Следующие ссылки помогут вам узнать, как индикаторы помогают в работе с другими аналитическими данными в Microsoft Sentinel.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по