通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

从 CSV 或 JSON 文件批量将指示器添加到 Microsoft Sentinel 威胁情报

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本文介绍如何将 CSV 或 JSON 文件中的指标添加到 Microsoft Sentinel 威胁情报中。 一项正在进行的调查中显示,电子邮件和其他非正式渠道中仍存在威胁情报共享。 你可以直接将指标导入 Microsoft Sentinel 威胁情报,以便快速地将新出现的威胁传达给团队。 你可以提供威胁来支持其他分析,例如生成安全警报、事件和自动响应。

重要

此功能目前以预览版提供。 有关 beta 版本、预览版或其他尚未正式发布的版本的 Azure 功能所适用的更多法律条款,请参阅 Microsoft Azure 预览版的补充使用条款

Microsoft Sentinel 现已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

先决条件

必须拥有 Microsoft Sentinel 工作区的读取和写入权限,才能存储威胁指标。

为指示器选择导入模板

使用特制的 CSV 或 JSON 文件向威胁情报添加多个指示器。 下载文件模板以熟悉字段及其映射到所拥有数据的方式。 请查看每个模板类型的必填字段以验证数据,然后再导入它。

  1. 对于 Azure 门户中的 Microsoft Sentinel,请在“威胁管理”下选择“威胁情报”

    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“威胁管理”>“威胁情报”

  2. 选择“导入”>“使用文件导入”。

  3. 在“文件格式”下拉菜单上选择“CSV”或“JSON”

    屏幕截图显示下拉菜单,该菜单用于上传 CSV 或 JSON 文件、选择要下载的模板以及指定源。

  4. 选择批量上传模板后,选择“下载模板”链接。

  5. 请考虑按源对指标进行分组,因为每次文件上传都需要一个源。

这些模板提供创建单个有效指示器所需的所有字段,包括必填字段和验证参数。 复制该结构以在一个文件中填充其他指标。 有关模板的详细信息,请参阅了解导入模板

上传指示器文件

  1. 更改默认模板的文件名,但将文件扩展名保留为 .csv 或 .json。 创建唯一文件名时,从“管理文件导入”窗格监视导入会更加容易

  2. 将指标文件拖到“上传文件”部分或使用链接浏览文件

  3. 在“源”文本框中输入指示器的源。 此值标记在该文件中包含的所有指示器上。 将此属性视为 SourceSystem 字段。 源也显示在“管理文件导入”窗格中。 有关详细信息,请参阅使用威胁指标

  4. 通过选择“使用文件导入”窗格底部的一个按钮,选择希望 Microsoft Sentinel 处理无效指标条目的方式

    • 仅导入有效指示器,并保留文件中的任何无效指示器。
    • 如果文件中的单个指示器无效,请不要导入任何指示器。

    屏幕截图显示下拉菜单,该菜单用于上传 CSV 或 JSON 文件、选择模板以及指定突出显示“导入”按钮的源。

  5. 选择“导入” 。

管理文件导入

监视导入并查看部分导入或失败导入的错误报告。

  1. 选择“导入”>“管理文件导入”。

    屏幕截图显示用于管理文件导入的菜单选项。

  2. 查看导入文件的状态以及无效指示器条目的数量。 处理文件后,将更新有效的指标计数。 请等待导入完成以获取更新的有效指标计数。

    屏幕截图显示包含示例引入数据的“管理文件导入”窗格。其中的列显示了按不同来源导入的数量排序的结果。

  3. 通过选择“源”、“指标文件名”、“导入的数量”、“每个文件中的指标总数”或“创建日期”查看导入的条目并进行排序

  4. 选择错误文件的预览,或下载包含有关无效指标错误的错误文件。

Microsoft Sentinel 会将文件导入的状态保留 30 天。 实际文件和关联的错误文件会在系统中保留 24 小时。 24 小时后,系统会删除实际文件和错误文件,但所有引入的指标将继续显示在“威胁情报”中。

了解导入模板

查看每个模板以确保成功导入指标。 请务必参考模板文件中的说明和以下补充指南。

CSV 模板结构

  1. 在“指标类型”下拉菜单上选择“CSV”。 然后选择“文件指标”或“所有其他指标类型”选项

    CSV 模板需要多个列来容纳文件指标类型,因为文件指标可能具有多种哈希类型,例如 MD5 和 SHA256。 所有其他指示器类型(如 IP 地址)只需要可观测的类型和可观测的值。

  2. CSV“所有其他指示器类型”模板的列标题包含字段,例如 threatTypes、单个或多个 tagsconfidence 以及 tlpLevel。 交通灯协议 (TLP) 是一个敏感度指定值,可以帮助做出有关威胁情报共享的决策。

  3. 仅需要 validFromobservableTypeobservableValue 字段。

  4. 从模板中删除整个第一行以在上传之前删除批注。

    CSV 文件导入的最大文件大小为 50 MB。

下面是使用 CSV 模板的示例域名指标:

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

JSON 模板结构

  1. 所有指标类型只有一个 JSON 模板。 JSON 模板基于 STIX 2.1 格式。

  2. pattern 元素支持 fileipv4-addripv6-addrdomain-nameurluser-accountemail-addrwindows-registry-key 指标类型。

  3. 在上传之前删除模板注释。

  4. 使用不带逗号的 } 关闭数组中的最后一个指标。

    JSON 文件导入的最大文件大小为 250 MB。

下面是使用 JSON 模板的示例 ipv4-addr 指标:

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

相关内容

本文介绍了如何通过导入平面文件中收集的指标来手动增强威胁情报。 若要详细了解如何在 Microsoft Sentinel 中使用指标来支持其他分析,请参阅以下文章: