Dela via

Lägga till indikatorer i grupp i Microsoft Sentinel-hotinformation från en CSV- eller JSON-fil

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

I den här guiden lägger du till indikatorer från en CSV- eller JSON-fil i Microsoft Sentinel-hotinformation. En hel del delning av hotinformation sker fortfarande över e-postmeddelanden och andra informella kanaler under en pågående undersökning. Möjligheten att importera indikatorer direkt till Microsoft Sentinel-hotinformation gör att du snabbt kan socialisera nya hot för ditt team och göra dem tillgängliga för att driva andra analyser, till exempel skapa säkerhetsaviseringar, incidenter och automatiserade svar.

Viktigt!

Den här funktionen är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

  • Du måste ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan för att lagra dina hotindikatorer.

Välj en importmall för dina indikatorer

Lägg till flera indikatorer i hotinformationen med en särskilt utformad CSV- eller JSON-fil. Ladda ned filmallarna för att bekanta dig med fälten och hur de mappas till de data du har. Granska de obligatoriska fälten för varje malltyp för att verifiera dina data innan du importerar.

  1. För Microsoft Sentinel i Azure-portalen går du till Hothantering och väljer Hotinformation.
    För Microsoft Sentinel i Defender-portalen väljer du Hotinformation om Hothantering i>Microsoft Sentinel>.

  2. Välj Importera>import med hjälp av en fil.

  3. Välj CSV eller JSON i listrutan Filformat .

    Skärmbild av den utfällbara menyn för att ladda upp en CSV- eller JSON-fil, välja en mall att ladda ned och ange en källa.

  4. Välj länken Ladda ned mall när du har valt en mall för massuppladdning.

  5. Överväg att gruppera dina indikatorer efter källa eftersom varje filuppladdning kräver en.

Mallarna innehåller alla fält som du behöver för att skapa en enda giltig indikator, inklusive obligatoriska fält och valideringsparametrar. Replikera den strukturen för att fylla i ytterligare indikatorer i en fil. Mer information om mallarna finns i Förstå importmallarna.

Ladda upp indikatorfilen

  1. Ändra filnamnet från standardmallen, men behåll filnamnstillägget som .csv eller .json. När du skapar ett unikt filnamn är det enklare att övervaka dina importer från fönstret Hantera filimporter .

  2. Dra din indikatorfil till avsnittet Ladda upp en fil eller bläddra efter filen med hjälp av länken.

  3. Ange en källa för indikatorerna i textrutan Källa . Det här värdet är stämplat på alla indikatorer som ingår i filen. Visa den här egenskapen som SourceSystem fält. Källan visas också i fönstret Hantera filimporter . Mer information finns i Arbeta med hotindikatorer.

  4. Välj hur du vill att Microsoft Sentinel ska hantera ogiltiga indikatorposter genom att välja en av alternativknapparna längst ned i fönstret Importera med hjälp av ett filfönster .

    • Importera endast giltiga indikatorer och utelämna eventuella ogiltiga indikatorer från filen.
    • Importera inga indikatorer om en enskild indikator i filen är ogiltig.

    Skärmbild av den utfällbara menyn för att ladda upp en CSV- eller JSON-fil, välj en mall att ladda ned och ange en källa som markerar knappen Importera.

  5. Klicka på knappen Importera.

Hantera filimporter

Övervaka importen och visa felrapporter för delvis importerade eller misslyckade importer.

  1. Välj Importera>hantera filimporter.

    Skärmbild av menyalternativet för att hantera filimporter.

  2. Granska statusen för importerade filer och antalet ogiltiga indikatorposter. Det giltiga indikatorantalet uppdateras när filen har bearbetats. Vänta tills importen har slutförts för att få det uppdaterade antalet giltiga indikatorer.

    Skärmbild av fönstret Hantera filimporter med exempeldata för inmatning. Kolumnerna visas sorterade efter importerat tal med olika källor.

  3. Visa och sortera importer genom att välja Källa, indikatorfilNamn, numret Importerat, Totalt antal indikatorer i varje fil eller datumet Skapad.

  4. Välj förhandsgranskningen av felfilen eller ladda ned felfilen som innehåller felen om ogiltiga indikatorer.

Microsoft Sentinel behåller statusen för filimporten i 30 dagar. Den faktiska filen och den associerade felfilen underhålls i systemet i 24 timmar. Efter 24 timmar tas filen och felfilen bort, men alla inmatade indikatorer fortsätter att visas i Hotinformation.

Förstå importmallarna

Granska varje mall för att se till att dina indikatorer har importerats. Se till att referera till anvisningarna i mallfilen och följande kompletterande vägledning.

CSV-mallstruktur

  1. Välj mellan alternativet Filindikatorer eller Alla andra indikatortyper i listrutan Indikatortyp när du väljer CSV.

    CSV-mallen behöver flera kolumner för att hantera filindikatortypen eftersom filindikatorer kan ha flera hash-typer som MD5, SHA256 med mera. Alla andra indikatortyper som IP-adresser kräver bara den observerbara typen och det observerbara värdet.

  2. Kolumnrubrikerna för mallen CSV Alla andra indikatortyper innehåller fält som threatTypes, enstaka eller flera tags, confidenceoch tlpLevel. Traffic Light Protocol (TLP) är en känslighetsbeteckning som hjälper dig att fatta beslut om delning av hotinformation.

  3. Endast fälten validFrom, observableType och observableValue krävs.

  4. Ta bort hela den första raden från mallen för att ta bort kommentarerna före uppladdningen.

  5. Tänk på att den maximala filstorleken för en CSV-filimport är 50 MB.

Här är ett exempel på en indikator för domännamn med hjälp av CSV-mallen.

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

JSON-mallstruktur

  1. Det finns bara en JSON-mall för alla indikatortyper. JSON-mallen baseras på STIX 2.1-format.

  2. Elementet pattern stöder indikatortyperna: fil, ipv4-addr, ipv6-addr, domännamn, URL, användarkonto, e-posttillägg och windows-registry-key-types.

  3. Ta bort mallkommentarna innan du laddar upp.

  4. Stäng den sista indikatorn i matrisen med hjälp av } ett kommatecken.

  5. Tänk på att den maximala filstorleken för en JSON-filimport är 250 MB.

Här är ett exempel på en ipv4-addr-indikator med hjälp av JSON-mallen.

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

Relaterat innehåll

Den här artikeln har visat hur du manuellt stärker hotinformationen genom att importera indikatorer som samlats in i flata filer. Kolla in de här länkarna för att lära dig hur indikatorer driver andra analyser i Microsoft Sentinel.