Поделиться через

Массовое добавление индикаторов в аналитику угроз Microsoft Sentinel из файла в формате CSV или JSON

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В этом практическом руководстве вы добавите индикаторы из файла в формате CSV или JSON в аналитику угроз Microsoft Sentinel. Обмен данными для аналитики угроз во время расследований пока еще часто выполняется по электронной почте и другим неофициальным каналам. Возможность импортировать индикаторы напрямую в аналитику угроз Microsoft Sentinel позволяет быстро информировать коллег о возникающих угрозах и предоставлять им богатые аналитические возможности, включая создание оповещений системы безопасности, инцидентов и автоматизированных ответов.

Внимание

Эта функция сейчас доступна в режиме предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Microsoft Sentinel доступен в составе единой платформы операций безопасности на портале Microsoft Defender. Microsoft Sentinel на портале Defender теперь поддерживается для использования в рабочей среде. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

  • Также вам нужны разрешения на чтение и запись в рабочей области Microsoft Sentinel для хранения индикаторов угроз.

Выбор шаблона для импорта индикаторов

Добавьте несколько индикаторов в аналитику угроз с помощью специального файла в формате CSV или JSON. Скачайте шаблоны файлов, чтобы ознакомиться с полями этого формата и правильно сопоставить их с имеющимися данными. Изучите обязательные поля для каждого типа шаблона, чтобы проверять данные перед импортом.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите аналитику угроз.
    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat management>Threat Intelligence.

  2. Щелкните Импорт>Импорт с помощью файла.

  3. Выберите формат CSV или JSON в раскрывающемся меню Формат файла.

    Снимок экрана: всплывающее меню для отправки CSV-файла или JSON, выбор шаблона для скачивания и указание источника.

  4. Выбрав шаблона массовой отправки, щелкните ссылку Скачать шаблон.

  5. По возможности группируйте индикаторы по источникам, так как их нужно указывать для каждой отправки файла.

Шаблоны содержат все поля, необходимые для создания одного допустимого индикатора, включая обязательные поля и параметры проверки. Скопируйте эту структуру, если вам нужно добавить в тот же файл дополнительные индикаторы. Дополнительные сведения о шаблонах см. в разделе Общие сведения о шаблонах импорта.

Отправка файла с индикаторами

  1. Измените имя шаблона на понятное имя файла, сохранив расширение файла .csv или .json. При создании уникального имени файла проще отслеживать импорт из области "Управление импортами файлов".

  2. Перетащите файл с индикаторами в раздел Отправить файл или найдите его, нажав ссылку для просмотра файлов.

  3. Введите источник индикаторов в текстовое поле Источник. Это значение помечено на всех индикаторах, включенных в этот файл. Просмотрите SourceSystem это свойство как поле. Источник также отображается в области "Управление импортом файлов". Дополнительные сведения см. в статье "Работа с индикаторами угроз".

  4. С помощью переключателей в нижней части окна Импорт с помощью файла выберите, как Microsoft Sentinel должен обрабатывать недопустимые записи индикаторов.

    • Импортировать только допустимые индикаторы, отбрасывая любые недопустимые индикаторы из файла.
    • Не импортировать ни один индикатор, если хотя бы один индикатор в файле является недопустимым.

    Снимок экрана: раскрывающееся меню для выбора формата файла CSV или JSON, выбора шаблона для скачивания и указания источника, где выделен а кнопка

  5. Выберите кнопку Импорт.

Управление импортом файлов

Отслеживайте импорты и просматривайте отчеты об ошибках при неудачном или частично удачном импорте.

  1. Щелкните Импортировать>Управление импортом файлов.

    Снимок экрана: пункт меню для управления импортами файлов.

  2. Просмотрите состояние импортированных файлов и количество недопустимых записей индикаторов. Допустимое количество индикаторов обновляется после обработки файла. Дождитесь завершения импорта, чтобы получить обновленное количество допустимых индикаторов.

    Снимок экрана: панель управления импортами файлов с примером данных для приема. В столбцах отображаются данные, отсортированные по количеству импортированных данных из разных источников.

  3. Просмотрите и отсортируйте импорты, нажав Источник, Имя (файлы с индикаторами), Импортировано (количество записей), Всего (общее количество индикаторов в каждом файле) или Создано (дата создания).

  4. Откройте предварительный просмотр файла ошибок или скачайте файл с ошибками о недопустимых индикаторах.

Microsoft Sentinel сохраняет состояние для импорта файла в течение 30 дней. Использованный файл и связанный с ним файл ошибок хранятся в системе в течение 24 часов. Через 24 часа файл и файл ошибки удаляются, но все индикаторы приема продолжают отображаться в аналитике угроз.

Общие сведения о шаблонах импорта

Просмотрите каждый шаблон и убедитесь, что индикаторы успешно импортированы. Обязательно ознакомьтесь с инструкциями в файле шаблона и приведенными ниже дополнительными рекомендациями.

Структура шаблона CSV

  1. Выберите один из вариантов Файловые индикаторы или Все другие типы индикаторов в раскрывающемся меню Тип индикатора после выбора варианта CSV.

    Шаблон в формате CSV должен содержать несколько столбцов файлового типа индикатора, так как файловые индикаторы могут содержать несколько типов хэша (MD5, SHA256 и так далее). Для других типов индикаторов, например по IP-адресам, требуется только наблюдаемый тип и наблюдаемое значение.

  2. Заголовки столбцов для шаблона CSV-файла для индикаторов других типов содержат такие поля, как threatTypes, один или несколько tags, confidence и tlpLevel. Протокол TLP — это назначение конфиденциальности, помогающий принимать решения о совместном использовании аналитики угроз.

  3. Обязательными являются только поля validFrom, observableType и observableValue.

  4. Перед отправкой удалите из шаблона всю первую строку, которая содержит комментарии.

  5. Помните, что максимальный размер CSV-файла для импорта составляет 50 МБ.

Ниже приведен пример индикатора по доменным именам на основе шаблона CSV.

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

Структура шаблона JSON

  1. Существует только один шаблон JSON для всех типов индикаторов. Шаблон JSON основан на формате STIX 2.1.

  2. Элемент pattern поддерживает следующие типы индикаторов: file, ipv4-addr, ipv6-addr, domain-name, url, user-account, email-addr и windows-registry-key.

  3. Удалите комментарии из шаблона перед отправкой.

  4. Закройте последний индикатор в массиве с помощью } запятой.

  5. Помните, что максимальный размер JSON-файла для импорта составляет 250 МБ.

Ниже приведен пример индикатора ipv4-addr на основе шаблона JSON.

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

Связанный контент

В этой статье вы узнали, как вручную улучшить аналитику угроз путем импорта индикаторов из неструктурированных файлов. Следующие ссылки помогут вам узнать, как индикаторы помогают в работе с другими аналитическими данными в Microsoft Sentinel.