Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Importér trusselsintelligens, der skal bruges i Microsoft Sentinel med upload-API'en. Uanset om du bruger en threat intelligence-platform eller et brugerdefineret program, kan du bruge dette dokument som en supplerende reference til vejledningen i Opret forbindelse til dit tip med upload-API'en. Det er ikke nødvendigt at installere dataconnectoren for at oprette forbindelse til API'en. Den trusselsintelligens, du kan importere, indeholder indikatorer for kompromitterede og andre STIX-domæneobjekter.
Vigtigt!
Denne API er i øjeblikket en prøveversion. De supplerende vilkår for Azure prøveversion indeholder yderligere juridiske vilkår, der gælder for Azure funktioner, der er i beta, prøveversion eller på anden måde endnu ikke er offentligt tilgængelige.
STIX (Structured Threat Information Expression) er et sprog, der bruges til at udtrykke cybertrusler og observerede oplysninger. Forbedret understøttelse af følgende domæneobjekter er inkluderet i overførsels-API'en:
- Indikator
- angrebsmønster
- trusselsaktør
- Identitet
- Forhold
Du kan få flere oplysninger under Introduktion til STIX.
Bemærk!
Den tidligere API til uploadindikatorer er nu ældre. Hvis du har brug for at referere til denne API, mens du skifter til denne nye upload-API, skal du se API til indikatorer for ældre upload.
Kald API'en
Et kald til upload-API'en har fem komponenter:
- Anmodningens URI
- HTTP-anmodningsmeddelelsesheader
- Brødtekst i HTTP-anmodningsmeddelelse
- Behandl eventuelt HTTP-svarmeddelelsesheaderen
- Behandl eventuelt HTTP-svarmeddelelsens brødtekst
Registrer dit klientprogram med Microsoft Entra ID
For at godkende til Microsoft Sentinel kræver anmodningen til upload-API'en et gyldigt Microsoft Entra adgangstoken. Du kan finde flere oplysninger om programregistrering under Registrer et program med Microsoft-identitetsplatform eller se de grundlæggende trin som en del af konfigurationen af Connect threat intelligence med upload-API.
Denne API kræver, at det kaldende Microsoft Entra program tildeles rollen Microsoft Sentinel bidragyder på arbejdsområdeniveau.
Opret anmodningen
Dette afsnit omhandler de første tre af de fem komponenter, der blev drøftet tidligere. Du skal først hente adgangstokenet fra Microsoft Entra ID, som du bruger til at samle din anmodningsmeddelelsesheader.
Hent et adgangstoken
Hent et Microsoft Entra adgangstoken med OAuth 2.0-godkendelse. V1.0 og V2.0 er gyldige tokens, der accepteres af API'en.
Den modtagne version af tokenet (v1.0 eller v2.0) bestemmes af accessTokenAcceptedVersion egenskaben i appmanifestet for den API, som dit program kalder. Hvis accessTokenAcceptedVersion er indstillet til 1, modtager dit program et v1.0-token.
Brug Microsoft Authentication Library (MSAL) til enten at hente et v1.0- eller v2.0-adgangstoken. Brug adgangstokenet til at oprette den godkendelsesheader, der indeholder ihændehavertokenet.
En anmodning til UPLOAD-API'en bruger f.eks. følgende elementer til at hente et adgangstoken og oprette godkendelsesheaderen, som bruges i hver anmodning:
- INDLÆG
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token
Overskrifter til brug af Microsoft Entra app:
- grant_type: "client_credentials"
- client_id: {Klient-id for Microsoft Entra App}
- client_secret eller client_certificate: {hemmeligheder for den Microsoft Entra app}
- Omfanget:
"https://management.azure.com/.default"
Hvis accessTokenAcceptedVersion i appmanifestet er angivet til 1, modtager dit program et v1.0-adgangstoken, selvom det kalder v2-tokenslutpunktet.
Ressource-/områdeværdien er målgruppen for tokenet. Denne API accepterer kun følgende målgrupper:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
Saml anmodningsmeddelelsen
Anmod om URI
API-versionering: api-version=2024-02-01-preview
Slutpunkt: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
Metode: POST
Anmodningsheader
Authorization: Indeholder OAuth2-ihændehavertokenet
Content-Type: application/json
Brødtekst i anmodning
JSON-objektet for brødteksten indeholder følgende felter:
| Feltnavn | Datatype | Beskrivelse |
|---|---|---|
sourcesystem (påkrævet) |
Streng | Identificer navnet på kildesystemet. Værdien Microsoft Sentinel er begrænset. |
stixobjects (påkrævet) |
Array | En matrix af STIX-objekter i STIX 2.0- eller 2.1-format |
Opret matrixen af STIX-objekter ved hjælp af STIX-formatspecifikationen. Nogle af STIX-egenskabsspecifikationerne udvides her for at gøre det nemmere for dig med links til de relevante STIX-dokumentafsnit. Bemærk også, at nogle egenskaber ikke har tilsvarende objektskemaegenskaber i Microsoft Sentinel, selvom de er gyldige for STIX.
Advarsel
Hvis du bruger en Microsoft Sentinel Logic App til at oprette forbindelse til upload-API'en, skal du være opmærksom på, at der er tre tilgængelige threat intelligence-handlinger. Brug kun Threat Intelligence – Upload STIX-objekter (prøveversion). De to andre mislykkes med dette slutpunkt og JSON-brødtekstfelterne.
Eksempelanmodningsmeddelelse
Her er et eksempel på en PowerShell-funktion, der bruger et selvsigneret certifikat, der er uploadet til en Entra appregistrering til at generere adgangstokenet og godkendelsesheaderen:
function Test-UploadApi {
<#
.SYNOPSIS
requires Powershell module MSAL.PS version 4.37 or higher
https://www.powershellgallery.com/packages/MSAL.PS/
.EXAMPLE
Test-Api -API UploadApi -WorkspaceName "workspacename" -ResourceGroupName "rgname" -AppId "00001111-aaaa-2222-bbbb-3333cccc4444" -TenantName "contoso.onmicrosoft.com" -FilePath "C:\Users\user\Documents\stixobjects.json"
#>
[CmdletBinding()]
param (
[Parameter(Mandatory = $true)]
[string]$TenantName,
[Parameter(Mandatory = $true)]
[string]$CertThumbprint,
[Parameter(Mandatory = $true)]
[string]$AppId,
[Parameter(Mandatory = $true)]
[string]$WorkspaceId,
[Parameter(Mandatory = $true)]
[string]$FilePath
)
$Scope = "https://management.azure.com/.default"
# Connection details for getting initial token with self-signed certificate from local store
$connectionDetails = @{
'TenantId' = $TenantName
'ClientId' = $AppId
'ClientCertificate' = Get-Item -Path "Cert:\CurrentUser\My\$CertThumbprint"
scope = $Scope
}
# Request the token
# Using Powershell module MSAL.PS https://www.powershellgallery.com/packages/MSAL.PS/
# Get-MsalToken is automatically using OAuth 2.0 token endpoint https://login.microsoftonline.com/$TenantName/oauth2/v2.0/token
# and sets auth flow to grant_type = 'client_credentials'
$token = Get-MsalToken @connectionDetails
# Create header
# Again relying on MSAL.PS which has method CreateAuthorizationHeader() getting us the bearer token
$Header = @{
'Authorization' = $token.CreateAuthorizationHeader()
}
$Uri = "https://api.ti.sentinel.azure.com/workspaces/$workspaceId/threat-intelligence-stix-objects:upload?api-version=$apiVersion"
$stixobjects = get-content -path $FilePath
if(-not $stixobjects) { Write-Host "No file found at $FilePath"; break }
$results = Invoke-RestMethod -Uri $Uri -Headers $Header -Body $stixobjects -Method POST -ContentType "application/json"
$results | ConvertTo-Json -Depth 4
}
Almindelige egenskaber
Alle de objekter, du importerer med upload-API'en, deler disse almindelige egenskaber.
| Egenskabsnavn | Type | Beskrivelse |
|---|---|---|
id (påkrævet) |
Streng | Et id, der bruges til at identificere STIX-objektet. Se afsnit 2.9 for at få oplysninger om, hvordan du opretter en id. Formatet ligner noget indicator--<UUID> |
spec_version (valgfrit) |
Streng | STIX-objektversion. Denne værdi er påkrævet i STIX-specifikationen, men da denne API kun understøtter STIX 2.0 og 2.1, når dette felt ikke er angivet, er API'en som standard 2.0 |
type (påkrævet) |
Streng | Værdien af denne egenskab skal være et understøttet STIX-objekt. |
created (påkrævet) |
Tidsstempel | Se afsnit 3.2 for specifikationer for denne fælles egenskab. |
created_by_ref (valgfrit) |
Streng | Egenskaben created_by_ref angiver id-egenskaben for den enhed, der oprettede dette objekt. Hvis denne attribut udelades, er kilden til disse oplysninger ikke defineret. For objektoprettere, der ønsker at forblive anonyme, skal denne værdi ikke være defineret. |
modified (påkrævet) |
Tidsstempel | Se afsnit 3.2 for specifikationer for denne fælles egenskab. |
revoked (valgfrit) |
Boolesk | Tilbagekaldte objekter anses ikke længere for at være gyldige af objektopretteren. Tilbagekaldelse af et objekt er permanent. fremtidige versioner af objektet med dette idmå ikke oprettes.Standardværdien for denne egenskab er false. |
labels (valgfrit) |
liste over strenge | Egenskaben labels angiver et sæt ord, der bruges til at beskrive dette objekt. Udtrykkene er brugerdefinerede eller tillidsgruppedefinerede. Disse mærkater vises som Mærker i Microsoft Sentinel. |
confidence (valgfrit) |
Heltal | Egenskaben confidence identificerer den tillid, som forfatteren har til korrektheden af deres data. Konfidensværdien skal være et tal i intervallet 0-100.Tillæg A indeholder en tabel over normative tilknytninger til andre tillidsskalaer, der skal bruges, når konfidensværdien præsenteres i en af disse skalaer. Hvis tillidsegenskaben ikke findes, er indholdets tillid ikke angivet. |
lang (valgfrit) |
Streng | Egenskaben lang identificerer sproget for tekstindholdet i dette objekt. Når den er til stede, skal den være en sprogkode, der er i overensstemmelse med RFC5646. Hvis egenskaben ikke findes, er en sproget i indholdet (engelsk).Denne egenskab skal være til stede, hvis objekttypen indeholder tekstegenskaber, der kan oversættes (f.eks. navn og beskrivelse). Sproget for de enkelte felter i dette objekt kan tilsidesætte egenskaben lang i granulære markeringer (se afsnit 7.2.3). |
object_marking_refs (valgfrit, herunder TLP) |
liste over strenge | Egenskaben object_marking_refs angiver en liste over id-egenskaber for markeringsdefinitionsobjekter, der gælder for dette objekt. Brug f.eks. definitions-id'et for Traffic Light Protocol (TLP) til at angive indikatorkildens følsomhed. Du kan finde flere oplysninger om, hvilke mærkningsdefinitions-id'er der skal bruges til TLP-indhold, i punkt 7.2.1.4I nogle tilfælde kan markering af definitioner i sig selv være markeret med vejledning til deling eller håndtering, selvom det er ualmindeligt. I dette tilfælde må denne egenskab ikke indeholde referencer til det samme markeringsdefinitionsobjekt (dvs. den kan ikke indeholde cirkulære referencer). Se punkt 7.2.2 for yderligere definition af datamarkeringer. |
external_references (valgfrit) |
liste over objekt | Egenskaben external_references angiver en liste over eksterne referencer, der henviser til oplysninger, der ikke er STIX-oplysninger. Denne egenskab bruges til at levere en eller flere URL-adresser, beskrivelser eller id'er til poster i andre systemer. |
granular_markings (valgfrit) |
liste over kornet markering | Egenskaben granular_markings hjælper med at definere dele af indikatoren forskelligt. Indikatorsproget er f.eks. engelsk, en men beskrivelsen er tysk, de.I nogle tilfælde kan markering af definitioner i sig selv være markeret med vejledning til deling eller håndtering, selvom det er ualmindeligt. I dette tilfælde må denne egenskab ikke indeholde referencer til det samme markeringsdefinitionsobjekt (dvs. den kan ikke indeholde cirkulære referencer). Se afsnit 7.2.3 for yderligere definition af datamarkeringer. |
Du kan få flere oplysninger under Almindelige STIX-egenskaber.
Indikator
| Egenskabsnavn | Type | Beskrivelse |
|---|---|---|
name (valgfrit) |
Streng | Et navn, der bruges til at identificere indikatoren. Producenter skal levere denne egenskab for at hjælpe produkter og analytikere med at forstå, hvad denne indikator rent faktisk gør. |
description (valgfrit) |
Streng | En beskrivelse, der indeholder flere oplysninger og kontekst om indikatoren, herunder eventuelt formålet med den og dens nøgleegenskaber. Producenter skal levere denne egenskab for at hjælpe produkter og analytikere med at forstå, hvad denne indikator rent faktisk gør. |
indicator_types (valgfrit) |
liste over strenge | Et sæt kategoriser for denne indikator. Værdierne for denne egenskab skal komme fra indikatortype-ov |
pattern (påkrævet) |
Streng | Registreringsmønsteret for denne indikator kan udtrykkes som et STIX-mønster eller et andet passende sprog, f.eks SNORT, YARA osv. |
pattern_type (påkrævet) |
Streng | Det mønstersprog, der bruges i denne indikator. Værdien for denne egenskab skal komme fra mønstertyper. Værdien af denne egenskab skal svare til den type mønsterdata, der er inkluderet i mønsteregenskaben. |
pattern_version (valgfrit) |
Streng | Den version af mønstersproget, der bruges til dataene i mønsteregenskaben, som skal matche den type mønsterdata, der er inkluderet i mønsteregenskaben. For mønstre, der ikke har en formel specifikation, skal det build eller den kodeversion, som mønsteret er kendt for at arbejde med, bruges. For STIX-mønstersproget bestemmer specifikationsversionen af objektet standardværdien. For andre sprog skal standardværdien være den nyeste version af mønstersproget på tidspunktet for objektets oprettelse. |
valid_from (påkrævet) |
Tidsstempel | Det tidspunkt, hvorfra denne indikator anses for at være en gyldig indikator for de funktionsmåder, den er relateret til eller repræsenterer. |
valid_until (valgfrit) |
Tidsstempel | Det tidspunkt, hvor denne indikator ikke længere skal betragtes som en gyldig indikator for de funktionsmåder, den er relateret til eller repræsenterer. Hvis egenskaben valid_until udelades, er der ingen begrænsning på det seneste tidspunkt, som indikatoren er gyldig for. Dette tidsstempel skal være større end det valid_from tidsstempel. |
kill_chain_phases (valgfrit) |
liste over streng | De kill chain-faser, som denne indikator svarer til. Værdien for denne egenskab skal komme fra Kill Chain Phase. |
Du kan få flere oplysninger under STIX-indikator.
Angrebsmønster
Følg STIX-specifikationerne for at oprette et STIX-objekt med et angrebsmønster. Brug dette eksempel som en ekstra reference.
Du kan få flere oplysninger under STIX-angrebsmønster.
Identitet
Følg STIX-specifikationerne for oprettelse af et STIX-identitetsobjekt. Brug dette eksempel som en ekstra reference.
Du kan få flere oplysninger under STIX-identitet.
Trusselsskuespiller
Følg STIX-specifikationerne for oprettelse af et STIX-objekt til trusselsaktører. Brug dette eksempel som en ekstra reference.
Du kan få flere oplysninger under STIX-trusselsskuespiller.
Forhold
Følg STIX-specifikationerne for at oprette et STIX-objekt for relationen. Brug dette eksempel som en ekstra reference.
Du kan få flere oplysninger under STIX-relation.
Behandl svarmeddelelsen
Svarheaderen indeholder en HTTP-statuskode. Se denne tabel for at få flere oplysninger om, hvordan du fortolker API-opkaldsresultatet.
| Statuskode | Beskrivelse |
|---|---|
| 200 | Succes. API'en returnerer 200, når et eller flere STIX-objekter valideres og publiceres. |
| 400 | Ugyldigt format. Noget i anmodningen er ikke formateret korrekt. |
| 401 | Uautoriseret. |
| 404 | Filen blev ikke fundet. Normalt forekommer denne fejl, når arbejdsområde-id'et ikke blev fundet. |
| 429 | Det maksimale antal anmodninger i et minut er overskredet. |
| 500 | Serverfejl. Normalt en fejl i API'en eller Microsoft Sentinel-tjenesterne. |
Brødteksten i svaret er en matrix af fejlmeddelelser i JSON-format:
| Feltnavn | Datatype | Beskrivelse |
|---|---|---|
| Fejl | Matrix af fejlobjekter | Liste over valideringsfejl |
Error-objekt
| Feltnavn | Datatype | Beskrivelse |
|---|---|---|
| recordIndex | Int | Indeks for STIX-objekterne i anmodningen |
| errorMessages | Matrix af strenge | Fejlmeddelelser |
Begrænsningsgrænser for API'en
Alle grænser anvendes pr. bruger:
- 100 objekter pr. anmodning.
- 100 anmodninger pr. minut.
Hvis der er flere anmodninger end grænsen, returneres en 429 HTTP-statuskode i svarheaderen med følgende brødtekst:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
Ca. 10.000 objekter pr. minut er det maksimale gennemløb, før der modtages en begrænsningsfejl.
Brødtekst for eksempelindikatoranmodning
I følgende eksempel kan du se, hvordan du repræsenterer to indikatorer i STIX-specifikationen.
Test Indicator 2 fremhæver Traffic Light Protocol (TLP) indstillet til hvid med den tilknyttede objektmarkering, og tydeliggør dens beskrivelse og mærkater er på engelsk.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Brødtekst i eksempelsvar med valideringsfejl
Hvis alle STIX-objekter valideres korrekt, returneres en HTTP 200-status med en tom svartekst.
Hvis valideringen mislykkes for et eller flere objekter, returneres svarteksten med flere oplysninger. Hvis du f.eks. sender en matrix med fire indikatorer, og de første tre er gode, men den fjerde ikke har et id (et obligatorisk felt), genereres der et HTTP-statuskode 200-svar sammen med følgende brødtekst:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
Objekterne sendes som en matrix, så recordIndex begynder ved 0.
Andre eksempler
Eksempelindikator
I dette eksempel er indikatoren markeret med den grønne TLP ved hjælp marking-definition--089a6ecb-cc15-43cc-9494-767639779123 af i den object_marking_refs fælles egenskab. Flere udvidelsesattributter for toxicity og rank er også inkluderet. Selvom disse egenskaber ikke findes i Microsoft Sentinel skema for indikatorer, udløser indtagelse af et objekt med disse egenskaber ikke en fejl. Der refereres ganske enkelt ikke til eller indekseres egenskaberne i arbejdsområdet.
Bemærk!
Denne indikator har egenskaben revoked angivet til $true , og dens valid_until dato er tidligere. Denne indikator fungerer ikke i analyseregler, som den er, og den returneres ikke i forespørgsler, medmindre der er angivet et passende tidsinterval.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Eksempel på angrebsmønster
Dette angrebsmønster og andre STIX-objekter, der ikke er indikatorobjekter, kan kun ses i administrationsgrænsefladen, medmindre du tilmelder dig de nye STIX-tabeller. Du kan få flere oplysninger om de tabeller, der kræves for at få vist objekter som denne i KQL, under Få vist din trusselsintelligens.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
Eksempelrelation med trusselsaktør og identitet
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
Næste trin
Du kan få mere at vide om, hvordan du arbejder med trusselsintelligens i Microsoft Sentinel, i følgende artikler:
- Forstå trusselsintelligens
- Arbejd med trusselsindikatorer
- Brug matchende analyser til at registrere trusler
- Anvend intelligence-feedet fra Microsoft, og aktivér MDTI-dataconnectoren