你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
导入威胁情报以在 Microsoft Sentinel 中使用上传 API。 无论你使用的是威胁情报平台还是自定义应用程序,都请使用本文档作为对使用 上传 API 连接 TIP 中的说明的补充参考。 无需安装数据连接器即可连接到 API。 可以导入的威胁情报包括泄露指示器和其他 STIX 域对象。
重要
此 API 目前为预览版。 Azure预览版补充条款包括适用于处于 beta 版、预览版或其他尚未正式发布的Azure功能的其他法律条款。
结构化威胁信息表达式 (STIX) 是一种用于表达网络威胁和可观测信息的语言。 上传 API 中包括对以下域对象的增强支持:
- 指标
- 攻击模式
- 威胁参与者
- 身份
- 关系
有关详细信息,请参阅 STIX 简介。
注意
以前的上传指示器 API 现在是旧版。 如果在转换为此新的上传 API 时需要引用该 API,请参阅 旧版上传指示器 API。
调用 API
对上传 API 的调用有五个组件:
- 请求 URI
- HTTP 请求消息标头
- HTTP 请求消息正文
- (可选)处理 HTTP 响应消息标头
- (可选)处理 HTTP 响应消息正文
使用 Microsoft Entra ID 注册客户端应用程序
若要向Microsoft Sentinel进行身份验证,对上传 API 的请求需要有效的Microsoft Entra访问令牌。 有关应用程序注册的详细信息,请参阅使用 Microsoft 标识平台注册应用程序或查看使用上传 API 连接威胁情报设置的一部分的基本步骤。
此 API 要求向调用Microsoft Entra应用程序授予工作区级别的Microsoft Sentinel 参与者角色。
创建请求
本部分介绍前面讨论的五个组件中的前三个。 首先需要从 Microsoft Entra ID 获取访问令牌,该令牌用于组合请求消息标头。
获取访问令牌
使用 OAuth 2.0 身份验证获取Microsoft Entra访问令牌。 V1.0 和 V2.0 是 API 接受的有效令牌。
) 收到的令牌 (v1.0 或 v2.0 的版本由 accessTokenAcceptedVersion 应用程序正在调用的 API 的应用清单 中的 属性确定。 如果 accessTokenAcceptedVersion 设置为 1,则应用程序会收到 v1.0 令牌。
使用 Microsoft 身份验证库 (MSAL) 获取 v1.0 或 v2.0 访问令牌。 使用访问令牌创建包含持有者令牌的授权标头。
例如,对上传 API 的请求使用以下元素来检索访问令牌并创建授权标头,该标头用于每个请求:
- 发布
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token
用于使用 Microsoft Entra 应用的标头:
- grant_type:“client_credentials”
- client_id: {Microsoft Entra App 的客户端 ID}
- client_secret或client_certificate:{Microsoft Entra应用的机密}
- 范围:
"https://management.azure.com/.default"
如果在 accessTokenAcceptedVersion 应用清单中设置为 1,则即使应用程序调用 v2 令牌终结点,应用程序也会接收 v1.0 访问令牌。
资源/范围值是令牌的受众。 此 API 仅接受以下受众:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
汇编请求消息
请求 URI
API 版本控制: api-version=2024-02-01-preview
端点: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
方法: POST
请求标头
Authorization:包含 OAuth2 持有者令牌
Content-Type: application/json
请求正文
正文的 JSON 对象包含以下字段:
| 字段名 | 数据类型 | 说明 |
|---|---|---|
sourcesystem 需要 () |
string | 标识源系统名称。 该值 Microsoft Sentinel 受到限制。 |
stixobjects 需要 () |
数组 | 采用 STIX 2.0 或 2.1 格式的 STIX 对象的数组 |
使用 STIX 格式规范创建 STIX 对象的数组。 为了方便起见,此处扩展了一些 STIX 属性规范,并提供了指向相关 STIX 文档部分的链接。 另请注意,某些属性虽然对 STIX 有效,但在 Microsoft Sentinel 中没有相应的对象架构属性。
警告
如果使用 Microsoft Sentinel 逻辑应用连接到上传 API,请注意有三种威胁情报操作可用。 仅使用 威胁情报 - 上传 STIX 对象 (预览版) 。 其他两个将失败,并显示此终结点和 JSON 正文字段。
示例请求消息
下面是一个示例 PowerShell 函数,它使用上传到Entra应用注册的自签名证书来生成访问令牌和授权标头:
function Test-UploadApi {
<#
.SYNOPSIS
requires Powershell module MSAL.PS version 4.37 or higher
https://www.powershellgallery.com/packages/MSAL.PS/
.EXAMPLE
Test-Api -API UploadApi -WorkspaceName "workspacename" -ResourceGroupName "rgname" -AppId "00001111-aaaa-2222-bbbb-3333cccc4444" -TenantName "contoso.onmicrosoft.com" -FilePath "C:\Users\user\Documents\stixobjects.json"
#>
[CmdletBinding()]
param (
[Parameter(Mandatory = $true)]
[string]$TenantName,
[Parameter(Mandatory = $true)]
[string]$CertThumbprint,
[Parameter(Mandatory = $true)]
[string]$AppId,
[Parameter(Mandatory = $true)]
[string]$WorkspaceId,
[Parameter(Mandatory = $true)]
[string]$FilePath
)
$Scope = "https://management.azure.com/.default"
# Connection details for getting initial token with self-signed certificate from local store
$connectionDetails = @{
'TenantId' = $TenantName
'ClientId' = $AppId
'ClientCertificate' = Get-Item -Path "Cert:\CurrentUser\My\$CertThumbprint"
scope = $Scope
}
# Request the token
# Using Powershell module MSAL.PS https://www.powershellgallery.com/packages/MSAL.PS/
# Get-MsalToken is automatically using OAuth 2.0 token endpoint https://login.microsoftonline.com/$TenantName/oauth2/v2.0/token
# and sets auth flow to grant_type = 'client_credentials'
$token = Get-MsalToken @connectionDetails
# Create header
# Again relying on MSAL.PS which has method CreateAuthorizationHeader() getting us the bearer token
$Header = @{
'Authorization' = $token.CreateAuthorizationHeader()
}
$Uri = "https://api.ti.sentinel.azure.com/workspaces/$workspaceId/threat-intelligence-stix-objects:upload?api-version=$apiVersion"
$stixobjects = get-content -path $FilePath
if(-not $stixobjects) { Write-Host "No file found at $FilePath"; break }
$results = Invoke-RestMethod -Uri $Uri -Headers $Header -Body $stixobjects -Method POST -ContentType "application/json"
$results | ConvertTo-Json -Depth 4
}
通用属性
使用上传 API 导入的所有对象共享这些通用属性。
| 属性名 | 类型 | 说明 |
|---|---|---|
id 需要 () |
string | 用于标识 STIX 对象的 ID。 有关如何创建 id的规范,请参阅 2.9 部分。 格式类似于 indicator--<UUID> |
spec_version(可选) |
string | STIX 对象版本。 此值在 STIX 规范中是必需的,但由于此 API 仅支持 STIX 2.0 和 2.1,因此如果未设置此字段,则 API 默认为 2.0 |
type 需要 () |
string | 此属性的值 必须是 受支持的 STIX 对象。 |
created 需要 () |
时间 戳 | 有关此公共属性的规范,请参阅 第 3.2 节。 |
created_by_ref(可选) |
string | created_by_ref 属性指定创建此对象的实体的 ID 属性。 如果省略此属性,则未定义此信息的源。 对于希望保持匿名的对象创建者,请保持此值未定义。 |
modified 需要 () |
时间 戳 | 有关此公共属性的规范,请参阅 第 3.2 节。 |
revoked(可选) |
boolean | 撤销的对象不再被对象创建者视为有效。 撤消对象是永久性的;不得创建具有此id对象的未来版本。此属性的默认值为 false。 |
labels(可选) |
字符串列表 | 属性 labels 指定用于描述此对象的一组术语。 术语由用户定义或信任组定义。 这些标签在 Microsoft Sentinel 中显示为标记。 |
confidence(可选) |
integer | 属性 confidence 标识创建者对其数据正确性的置信度。 置信度值 必须是 0-100 范围内的数字。附录 A 包含到其他置信度刻度的规范映射表,在在其中一个刻度中呈现置信度值时 必须使用 这些标度。 如果置信度属性不存在,则未指定内容的置信度。 |
lang(可选) |
string | 属性 lang 标识此 对象中文本内容的语言。 如果存在,则它 必须是 符合 RFC5646的语言代码。 如果该属性不存在,则内容 en 的语言 (英语) 。如果对象类型包含可翻译的文本属性 (例如名称、说明) , 则此属性应 存在。 此对象中各个字段的语言 可能会 以精细标记替代 lang 属性 (请参阅第 7.2.3 节) 。 |
object_marking_refs (可选,包括 TLP) |
字符串列表 | 属性 object_marking_refs 指定应用于此对象的标记定义对象的 ID 属性列表。 例如,使用交通灯协议 (TLP) 标记定义 ID 来指定指示器源的敏感度。 有关用于 TLP 内容的标记定义 ID 的详细信息,请参阅第 7.2.1.4 节在某些情况下,虽然不常见,但标记定义本身可能会使用共享或处理指南进行标记。 在这种情况下,此属性 不得 包含对同一标记定义对象的任何引用, (即,它不能包含任何循环引用) 。 有关数据标记的进一步定义,请参阅第 7.2.2 节。 |
external_references(可选) |
对象列表 | 属性 external_references 指定引用非 STIX 信息的外部引用列表。 此属性用于向其他系统中的记录提供一个或多个 URL、说明或 ID。 |
granular_markings(可选) |
粒度标记列表 | 属性 granular_markings 有助于以不同的方式定义指示器的各个部分。 例如,指示器语言为英语, en 但说明为德语 de。在某些情况下,虽然不常见,但标记定义本身可能会使用共享或处理指南进行标记。 在这种情况下,此属性 不得 包含对同一标记定义对象的任何引用, (即,它不能包含任何循环引用) 。 有关数据标记的进一步定义,请参阅第 7.2.3 节。 |
有关详细信息,请参阅 STIX 通用属性。
指标
| 属性名 | 类型 | 说明 |
|---|---|---|
name(可选) |
string | 用于标识指示器的名称。 制作者 应 提供此属性来帮助产品和分析师了解此指标的实际用途。 |
description(可选) |
string | 提供有关指标的更多详细信息和上下文(可能包括其用途和关键特征)的说明。 制作者 应 提供此属性来帮助产品和分析师了解此指标的实际用途。 |
indicator_types(可选) |
字符串列表 | 此指标的一组分类。 此属性的值 应 来自 indicator-type-ov |
pattern 需要 () |
string | 此指示器的检测模式 可以 表示为 STIX 模式 或其他适当的语言,例如 SNORT、YARA 等。 |
pattern_type 需要 () |
string | 此指示器中使用的模式语言。 此属性的值 应 来自 模式类型。 此属性的值 必须与 模式属性中包含的模式数据类型匹配。 |
pattern_version(可选) |
string | 用于模式属性中数据的模式语言版本,该版本 必须与 模式属性中包含的模式数据类型匹配。 对于没有正式规范的模式, 应 使用该模式已知的内部版本或代码版本。 对于 STIX 模式语言,对象的规范版本确定默认值。 对于其他语言,默认值 应 为创建此对象时模式语言的最新版本。 |
valid_from 需要 () |
时间 戳 | 此指示器被视为它与或表示相关的行为的有效指示器的时间。 |
valid_until(可选) |
时间 戳 | 此指标不再被视为它与 或 表示相关的行为的有效指示器的时间。 如果省略 valid_until 属性,则指标的最近有效时间没有约束。 此时间戳 必须 大于valid_from时间戳。 |
kill_chain_phases(可选) |
字符串列表 | 此指标对应的终止链阶段。 此属性的值 应 来自 终止链阶段。 |
有关详细信息,请参阅 STIX 指示器。
攻击模式
遵循 STIX 规范来创建攻击模式 STIX 对象。 使用此示例作为额外的参考。
有关详细信息,请参阅 STIX 攻击模式。
标识
按照 STIX 规范创建标识 STIX 对象。 使用此示例作为额外的参考。
有关详细信息,请参阅 STIX 标识。
威胁参与者
遵循 STIX 规范来创建威胁参与者 STIX 对象。 使用此示例作为额外的参考。
有关详细信息,请参阅 STIX 威胁参与者。
关系
按照 STIX 规范创建关系 STIX 对象。 使用此示例作为额外的参考。
有关详细信息,请参阅 STIX 关系。
处理响应消息
响应标头包含 HTTP 状态代码。 有关如何解释 API 调用结果的详细信息,请参阅此表。
| 状态代码 | 说明 |
|---|---|
| 200 | 成功。 成功验证并发布一个或多个 STIX 对象时,API 返回 200。 |
| 400 | 格式不正确。 请求中的某些内容格式不正确。 |
| 401 | 未经授权。 |
| 404 | 找不到文件。 通常,当找不到工作区 ID 时,会发生此错误。 |
| 429 | 已超出一分钟内的最大请求数。 |
| 500 | 服务器错误。 通常是 API 或Microsoft Sentinel服务中的错误。 |
响应正文是 JSON 格式的错误消息数组:
| 字段名 | 数据类型 | 说明 |
|---|---|---|
| 错误 | 错误对象数组 | 验证错误列表 |
Error 对象
| 字段名 | 数据类型 | 说明 |
|---|---|---|
| recordIndex | int | 请求中的 STIX 对象的索引 |
| errorMessages | 字符串数组 | 错误消息 |
API 的限制
所有限制均按用户应用:
- 每个请求 100 个对象。
- 每分钟 100 个请求。
如果请求数超过限制, 429 响应标头中的 http 状态代码将使用以下响应正文返回:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
每分钟大约 10,000 个对象是收到限制错误之前的最大吞吐量。
示例指示器请求正文
以下示例演示如何在 STIX 规范中表示两个指示器。
Test Indicator 2 突出显示了交通灯协议 (TLP) 设置为白色,并带有映射对象标记,并阐明其说明和标签为英文。
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
包含验证错误的示例响应正文
如果成功验证了所有 STIX 对象,则返回 HTTP 200 状态,响应正文为空。
如果一个或多个对象的验证失败,则返回响应正文以及详细信息。 例如,如果发送包含四个指示器的数组,并且前三个指标良好,但第四个 id 没有 (必填字段) ,则会生成 HTTP 状态代码 200 响应以及以下正文:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
对象作为数组发送,因此 从 recordIndex 开始 0。
其他示例
示例指示器
在此示例中,在公共属性中使用 object_marking_refs 使用 绿色 TLP marking-definition--089a6ecb-cc15-43cc-9494-767639779123 标记指示器。 还包含 和 rank 的toxicity更多扩展属性。 尽管这些属性不在指示器Microsoft Sentinel架构中,但引入具有这些属性的对象不会触发错误。 这些属性根本不在工作区中引用或编制索引。
注意
此指示器的 revoked 属性设置为 $true ,并且其 valid_until 日期处于过去状态。 此指标在分析规则中不起作用,除非指定了适当的时间范围,否则不会在查询中返回。
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
示例攻击模式
除非选择加入新的 STIX 表,否则只能在管理界面中查看此攻击模式和任何其他非指标 STIX 对象。 有关在 KQL 中查看此类对象所需的表的详细信息,请参阅 查看威胁情报。
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
与威胁参与者和标识的示例关系
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
后续步骤
若要详细了解如何在 Microsoft Sentinel 中使用威胁情报,请参阅以下文章:
- 了解威胁情报
- 使用威胁指示器
- 使用匹配分析检测威胁
- 利用来自Microsoft的智能源并 启用 MDTI 数据连接器