Aracılığıyla paylaş

CSV veya JSON dosyasından Microsoft Sentinel tehdit bilgilerine toplu olarak gösterge ekleme

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Bu nasıl yapılır kılavuzunda, CSV veya JSON dosyasındaki göstergeleri Microsoft Sentinel tehdit bilgilerine ekleyeceksiniz. Devam eden bir araştırma sırasında e-postalar ve diğer resmi olmayan kanallarda birçok tehdit bilgisi paylaşımı yine de gerçekleşir. Göstergeleri doğrudan Microsoft Sentinel tehdit bilgilerine aktarabilme özelliği, ekibiniz için yeni ortaya çıkan tehditleri hızla sosyalleştirmenize ve güvenlik uyarıları, olaylar ve otomatik yanıtlar oluşturma gibi diğer analizlerde kullanılabilir hale getirmenize olanak tanır.

Önemli

Bu özellik şu anda ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

  • Tehdit göstergelerinizi depolamak için Microsoft Sentinel çalışma alanında okuma ve yazma izinleriniz olmalıdır.

Göstergeleriniz için bir içeri aktarma şablonu seçin

Özel olarak hazırlanmış bir CSV veya JSON dosyasıyla tehdit bilgilerinize birden çok gösterge ekleyin. Alanlara ve sahip olduğunuz verilerle nasıl eşlediklerine aşina olmak için dosya şablonlarını indirin. İçeri aktarmadan önce verilerinizi doğrulamak için her şablon türü için gerekli alanları gözden geçirin.

  1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Tehdit bilgileri'ni seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit yönetimi>Tehdit bilgileri'ni seçin.

  2. Dosya kullanarak İçeri Aktar'ı>seçin.

  3. Dosya Biçimi açılan menüsünden CSV veya JSON'u seçin.

    CSV veya JSON dosyasını karşıya yüklemek, indirmek üzere bir şablon seçmek ve bir kaynak belirtmek için menü açılır penceresinin ekran görüntüsü.

  4. Toplu karşıya yükleme şablonu seçtikten sonra Şablonu indir bağlantısını seçin.

  5. Her dosya karşıya yükleme işlemi için bir tane gerektiğinden göstergelerinizi kaynağa göre gruplandırmayı göz önünde bulundurun.

Şablonlar, gerekli alanlar ve doğrulama parametreleri dahil olmak üzere tek bir geçerli gösterge oluşturmak için ihtiyacınız olan tüm alanları sağlar. Bir dosyadaki ek göstergeleri doldurmak için bu yapıyı çoğalt. Şablonlar hakkında daha fazla bilgi için bkz . İçeri aktarma şablonlarını anlama.

Gösterge dosyasını karşıya yükleme

  1. Varsayılan şablondan dosya adını değiştirin, ancak dosya uzantısını .csv veya .json olarak tutun. Benzersiz bir dosya adı oluşturduğunuzda, dosya içeri aktarmalarını yönet bölmesinden içeri aktarmalarınızı izlemek daha kolaydır.

  2. Göstergeler dosyanızı Dosya karşıya yükleme bölümüne sürükleyin veya bağlantıyı kullanarak dosyaya göz atın.

  3. Kaynak metin kutusuna göstergeler için bir kaynak girin. Bu değer, söz konusu dosyaya dahil edilen tüm göstergelere damgalanır. Bu özelliği alan olarak SourceSystem görüntüleyin. Kaynak, Dosya içeri aktarmalarını yönet bölmesinde de görüntülenir. Daha fazla bilgi için bkz . Tehdit göstergeleriyle çalışma.

  4. Dosya kullanarak içeri aktar bölmesinin altındaki radyo düğmelerinden birini seçerek Microsoft Sentinel'in geçersiz gösterge girdilerini nasıl işlemesini istediğinizi seçin.

    • Yalnızca geçerli göstergeleri içeri aktarın ve dosyadaki geçersiz göstergeleri bir kenara bırakın.
    • Dosyadaki tek bir gösterge geçersizse hiçbir göstergeyi içeri aktarmayın.

    CSV veya JSON dosyasını karşıya yüklemek, indirmek üzere bir şablon seçmek ve İçeri Aktar düğmesini vurgulayan bir kaynak belirtmek için menü açılır penceresinin ekran görüntüsü.

  5. İçeri aktar düğmesini seçin.

Dosya içeri aktarmaları yönetme

İçeri aktarmalarınızı izleyin ve kısmen içeri aktarılan veya başarısız olan içeri aktarmalar için hata raporlarını görüntüleyin.

  1. İçeri Aktar>Dosya içeri aktarmalarını yönet'i seçin.

    Dosya içeri aktarmaları yönetmek için menü seçeneğinin ekran görüntüsü.

  2. İçeri aktarılan dosyaların durumunu ve geçersiz gösterge girdilerinin sayısını gözden geçirin. Geçerli gösterge sayısı, dosya işlendikten sonra güncelleştirilir. Geçerli göstergelerin güncelleştirilmiş sayısını almak için içeri aktarma işleminin tamamlanmasını bekleyin.

    Örnek alma verilerini içeren dosya içeri aktarmalarını yönet bölmesinin ekran görüntüsü. Sütunlar, çeşitli kaynaklarla içeri aktarılan sayıya göre sıralanmış olarak gösterilir.

  3. Kaynak, gösterge dosyası Adı, İçeri Aktarılan sayısı, her dosyadaki toplam gösterge sayısı veya Oluşturma tarihi'ni seçerek içeri aktarmaları görüntüleyin ve sıralayın.

  4. Hata dosyasının önizlemesini seçin veya geçersiz göstergeler hakkındaki hataları içeren hata dosyasını indirin.

Microsoft Sentinel, dosya içeri aktarma durumunu 30 gün boyunca korur. Gerçek dosya ve ilişkili hata dosyası 24 saat boyunca sistemde tutulur. 24 saat sonra dosya ve hata dosyası silinir, ancak alınan tüm göstergeler Tehdit Bilgileri'nde gösterilmeye devam edilir.

İçeri aktarma şablonlarını anlama

Göstergelerinizin başarıyla içeri aktarıldığından emin olmak için her şablonu gözden geçirin. Şablon dosyasındaki yönergelere ve aşağıdaki ek yönergelere başvurmayı unutmayın.

CSV şablon yapısı

  1. CSV'yi seçtiğinizde Gösterge türü açılan menüsünden Dosya göstergeleri veya Diğer tüm gösterge türleri seçeneği arasında seçim yapın.

    Dosya göstergelerinin MD5, SHA256 ve daha fazlası gibi birden çok karma türü olabileceğinden, CSV şablonunun dosya göstergesi türünü barındırmak için birden çok sütuna ihtiyacı vardır. IP adresleri gibi diğer tüm gösterge türleri yalnızca gözlemlenebilir türü ve gözlemlenebilir değeri gerektirir.

  2. CSV tüm diğer gösterge türleri şablonunun sütun başlıkları , tek veya birden çok tags, confidenceve tlpLevelgibi threatTypesalanları içerir. Trafik Işığı Protokolü (TLP), tehdit bilgileri paylaşımıyla ilgili kararlar alınmasına yardımcı olan bir duyarlılık belirlemesidir.

  3. validFromYalnızca ve observableTypeobservableValue alanları gereklidir.

  4. Karşıya yüklemeden önce açıklamaları kaldırmak için şablondan ilk satırın tamamını silin.

  5. CSV dosyası içeri aktarma işlemi için en büyük dosya boyutunun 50 MB olduğunu unutmayın.

AŞAĞıDA CSV şablonunu kullanan örnek bir etki alanı adı göstergesi verilmiştir.

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

JSON şablon yapısı

  1. Tüm gösterge türleri için yalnızca bir JSON şablonu vardır. JSON şablonu STIX 2.1 biçimini temel alır.

  2. pattern öğesi şu gösterge türlerini destekler: file, ipv4-addr, ipv6-addr, domain-name, URL, user-account, email-addr ve windows-registry-key types.

  3. Karşıya yüklemeden önce şablon açıklamalarını kaldırın.

  4. virgül olmadan kullanarak dizideki son göstergeyi } kapatın.

  5. JSON dosyası içeri aktarma işlemi için en büyük dosya boyutunun 250 MB olduğunu unutmayın.

JSON şablonunu kullanan örnek bir ipv4-addr göstergesi aşağıda verilmiştır.

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

İlgili içerik

Bu makalede, düz dosyalarda toplanan göstergeleri içeri aktararak tehdit bilgilerinizi el ile nasıl güçlendirdiğiniz gösterilmiştir. Göstergelerin Microsoft Sentinel'deki diğer analizlere nasıl güç kaynağı olduğunu öğrenmek için bu bağlantılara göz atın.