CSV veya JSON dosyasından Microsoft Sentinel tehdit bilgilerine toplu olarak gösterge ekleme
Bu nasıl yapılır kılavuzunda, CSV veya JSON dosyasındaki göstergeleri Microsoft Sentinel tehdit bilgilerine ekleyeceksiniz. Devam eden bir araştırma sırasında e-postalar ve diğer resmi olmayan kanallarda birçok tehdit bilgisi paylaşımı yine de gerçekleşir. Göstergeleri doğrudan Microsoft Sentinel tehdit bilgilerine aktarabilme özelliği, ekibiniz için yeni ortaya çıkan tehditleri hızla sosyalleştirmenize ve güvenlik uyarıları, olaylar ve otomatik yanıtlar oluşturma gibi diğer analizlerde kullanılabilir hale getirmenize olanak tanır.
Önemli
Bu özellik şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Önkoşullar
- Tehdit göstergelerinizi depolamak için Microsoft Sentinel çalışma alanında okuma ve yazma izinleriniz olmalıdır.
Göstergeleriniz için bir içeri aktarma şablonu seçin
Özel olarak hazırlanmış bir CSV veya JSON dosyasıyla tehdit bilgilerinize birden çok gösterge ekleyin. Alanlara ve sahip olduğunuz verilerle nasıl eşlediklerine aşina olmak için dosya şablonlarını indirin. İçeri aktarmadan önce verilerinizi doğrulamak için her şablon türü için gerekli alanları gözden geçirin.
Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Tehdit bilgileri'ni seçin.
Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit yönetimi>Tehdit bilgileri'ni seçin.Dosya kullanarak İçeri Aktar'ı>seçin.
Dosya Biçimi açılan menüsünden CSV veya JSON'u seçin.
Toplu karşıya yükleme şablonu seçtikten sonra Şablonu indir bağlantısını seçin.
Her dosya karşıya yükleme işlemi için bir tane gerektiğinden göstergelerinizi kaynağa göre gruplandırmayı göz önünde bulundurun.
Şablonlar, gerekli alanlar ve doğrulama parametreleri dahil olmak üzere tek bir geçerli gösterge oluşturmak için ihtiyacınız olan tüm alanları sağlar. Bir dosyadaki ek göstergeleri doldurmak için bu yapıyı çoğalt. Şablonlar hakkında daha fazla bilgi için bkz . İçeri aktarma şablonlarını anlama.
Gösterge dosyasını karşıya yükleme
Varsayılan şablondan dosya adını değiştirin, ancak dosya uzantısını .csv veya .json olarak tutun. Benzersiz bir dosya adı oluşturduğunuzda, dosya içeri aktarmalarını yönet bölmesinden içeri aktarmalarınızı izlemek daha kolaydır.
Göstergeler dosyanızı Dosya karşıya yükleme bölümüne sürükleyin veya bağlantıyı kullanarak dosyaya göz atın.
Kaynak metin kutusuna göstergeler için bir kaynak girin. Bu değer, söz konusu dosyaya dahil edilen tüm göstergelere damgalanır. Bu özelliği alan olarak
SourceSystem
görüntüleyin. Kaynak, Dosya içeri aktarmalarını yönet bölmesinde de görüntülenir. Daha fazla bilgi için bkz . Tehdit göstergeleriyle çalışma.Dosya kullanarak içeri aktar bölmesinin altındaki radyo düğmelerinden birini seçerek Microsoft Sentinel'in geçersiz gösterge girdilerini nasıl işlemesini istediğinizi seçin.
- Yalnızca geçerli göstergeleri içeri aktarın ve dosyadaki geçersiz göstergeleri bir kenara bırakın.
- Dosyadaki tek bir gösterge geçersizse hiçbir göstergeyi içeri aktarmayın.
İçeri aktar düğmesini seçin.
Dosya içeri aktarmaları yönetme
İçeri aktarmalarınızı izleyin ve kısmen içeri aktarılan veya başarısız olan içeri aktarmalar için hata raporlarını görüntüleyin.
İçeri Aktar>Dosya içeri aktarmalarını yönet'i seçin.
İçeri aktarılan dosyaların durumunu ve geçersiz gösterge girdilerinin sayısını gözden geçirin. Geçerli gösterge sayısı, dosya işlendikten sonra güncelleştirilir. Geçerli göstergelerin güncelleştirilmiş sayısını almak için içeri aktarma işleminin tamamlanmasını bekleyin.
Kaynak, gösterge dosyası Adı, İçeri Aktarılan sayısı, her dosyadaki toplam gösterge sayısı veya Oluşturma tarihi'ni seçerek içeri aktarmaları görüntüleyin ve sıralayın.
Hata dosyasının önizlemesini seçin veya geçersiz göstergeler hakkındaki hataları içeren hata dosyasını indirin.
Microsoft Sentinel, dosya içeri aktarma durumunu 30 gün boyunca korur. Gerçek dosya ve ilişkili hata dosyası 24 saat boyunca sistemde tutulur. 24 saat sonra dosya ve hata dosyası silinir, ancak alınan tüm göstergeler Tehdit Bilgileri'nde gösterilmeye devam edilir.
İçeri aktarma şablonlarını anlama
Göstergelerinizin başarıyla içeri aktarıldığından emin olmak için her şablonu gözden geçirin. Şablon dosyasındaki yönergelere ve aşağıdaki ek yönergelere başvurmayı unutmayın.
CSV şablon yapısı
CSV'yi seçtiğinizde Gösterge türü açılan menüsünden Dosya göstergeleri veya Diğer tüm gösterge türleri seçeneği arasında seçim yapın.
Dosya göstergelerinin MD5, SHA256 ve daha fazlası gibi birden çok karma türü olabileceğinden, CSV şablonunun dosya göstergesi türünü barındırmak için birden çok sütuna ihtiyacı vardır. IP adresleri gibi diğer tüm gösterge türleri yalnızca gözlemlenebilir türü ve gözlemlenebilir değeri gerektirir.
CSV tüm diğer gösterge türleri şablonunun sütun başlıkları , tek veya birden çok
tags
,confidence
vetlpLevel
gibithreatTypes
alanları içerir. Trafik Işığı Protokolü (TLP), tehdit bilgileri paylaşımıyla ilgili kararlar alınmasına yardımcı olan bir duyarlılık belirlemesidir.validFrom
Yalnızca veobservableType
observableValue
alanları gereklidir.Karşıya yüklemeden önce açıklamaları kaldırmak için şablondan ilk satırın tamamını silin.
CSV dosyası içeri aktarma işlemi için en büyük dosya boyutunun 50 MB olduğunu unutmayın.
AŞAĞıDA CSV şablonunu kullanan örnek bir etki alanı adı göstergesi verilmiştir.
threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com
JSON şablon yapısı
Tüm gösterge türleri için yalnızca bir JSON şablonu vardır. JSON şablonu STIX 2.1 biçimini temel alır.
pattern
öğesi şu gösterge türlerini destekler: file, ipv4-addr, ipv6-addr, domain-name, URL, user-account, email-addr ve windows-registry-key types.Karşıya yüklemeden önce şablon açıklamalarını kaldırın.
virgül olmadan kullanarak dizideki son göstergeyi
}
kapatın.JSON dosyası içeri aktarma işlemi için en büyük dosya boyutunun 250 MB olduğunu unutmayın.
JSON şablonunu kullanan örnek bir ipv4-addr göstergesi aşağıda verilmiştır.
[
{
"type": "indicator",
"id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
"spec_version": "2.1",
"pattern": "[ipv4-addr:value = '198.168.100.5']",
"pattern_type": "stix",
"created": "2022-07-27T12:00:00.000Z",
"modified": "2022-07-27T12:00:00.000Z",
"valid_from": "2016-07-20T12:00:00.000Z",
"name": "Sample IPv4 indicator",
"description": "This indicator implements an observation expression.",
"indicator_types": [
"anonymization",
"malicious-activity"
],
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "establish-foothold"
}
],
"labels": ["proxy","demo"],
"confidence": "95",
"lang": "",
"external_references": [],
"object_marking_refs": [],
"granular_markings": []
}
]
İlgili içerik
Bu makalede, düz dosyalarda toplanan göstergeleri içeri aktararak tehdit bilgilerinizi el ile nasıl güçlendirdiğiniz gösterilmiştir. Göstergelerin Microsoft Sentinel'deki diğer analizlere nasıl güç kaynağı olduğunu öğrenmek için bu bağlantılara göz atın.