Uhkatietojen lisääminen joukkona Microsoft Sentinel CSV- tai JSON-tiedostosta

Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Tässä artikkelissa näytetään, miten voit lisätä ilmaisimia CSV- tai STIX-objekteista JSON-tiedostosta uhkatietojen Microsoft Sentinel. Koska uhkatietojen jakaminen tapahtuu edelleen sähköpostiviestien ja muiden epävirallisten kanavien välillä meneillään olevan tutkimuksen aikana, kyky tuoda nämä tiedot nopeasti Microsoft Sentinel on tärkeää, jotta uudet uhat voidaan välittää tiimillesi. Nämä tunnistetut uhat ovat sitten käytettävissä muissa analytiikassa, kuten suojaushälytysten, tapausten ja automatisoitujen vastausten tuottamisessa.

Tärkeää

31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa. Heinäkuusta 2025 alkaen monet uudet asiakkaat lisätään automaattisesti ja ohjataan Defender-portaaliin.

Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta. Lisätietoja on kohdassa Siirron aika: Microsoft Sentinel käytöstä poistamisen Azure-portaali suojauksen lisäämiseksi.

Ennakkovaatimukset

Sinulla on oltava Microsoft Sentinel työtilan luku- ja kirjoitusoikeudet, jotta voit tallentaa uhkatiedot.

Valitse uhkien hallinnan tuontimalli

Lisää useita uhkatieto-objekteja erityisesti laaditulla CSV- tai JSON-tiedostolla. Lataa tiedostomallit, jotta opit tuntemaan kentät ja niiden yhdistämistavan tietoihin, joita sinulla on. Tarkista kunkin mallityypin pakolliset kentät ja vahvista tietosi ennen niiden tuomista.

Microsoft Sentinel Azure-portaali kohdassa Uhkien hallinta, valitse Uhkien hallinta.

Jos haluat Microsoft Sentinel Defender-portaalissa, valitse Microsoft Sentinel>Uhkien hallinta Uhkien hallinta>.
Valitse Tuo tuonti>käyttäen tiedostoa.
- Defender-portaali
- Azure-portaali
Valitse avattavasta Tiedostomuoto-valikostaCSV tai JSON.

Huomautus

CSV-malli tukee vain ilmaisimia. JSON-malli tukee ilmaisimia ja muita STIX-objekteja, kuten uhkatoimijoita, hyökkäysmalleja, käyttäjätietoja ja suhteita. Lisätietoja tuettujen STIX-objektien luomisesta JSON:ssä on kohdassa Ohjelmointirajapinnan latausviittaus.
Kun olet valinnut joukkolataamismallin, valitse Lataa malli -linkki.
Harkitse uhkatietojen ryhmittelyä lähteen mukaan, koska jokainen tiedoston lataus edellyttää sellaista.

Mallit tarjoavat kaikki kentät, joita tarvitset luodaksesi yhden kelvollisen ilmaisimen, mukaan lukien pakolliset kentät ja vahvistusparametrit. Replikoi tämä rakenne, jotta voit täyttää enemmän ilmaisimia yhdessä tiedostossa, tai lisää STIX-objekteja JSON-tiedostoon. Lisätietoja malleista on artikkelissa Tutustu tuontimalleihin.

Lataa uhkien tiedustelutiedosto

Muuta tiedoston nimi mallin oletusarvosta, mutta säilytä tiedostotunniste .csv tai .json. Kun luot yksilöllisen tiedostonimen, tuontia on helpompi valvoa Tiedostojen tuontien hallinta - ruudussa.
Vedä uhkien joukkotietotiedostoSi Lataa tiedosto -osaan tai etsi tiedosto linkin avulla.
Kirjoita uhkatietojen lähde Lähde-tekstiruutuun. Tämä arvo leimataan kaikkiin tiedostoon sisältyviin ilmaisimiin. Näytä tämä ominaisuus kenttänä SourceSystem . Lähde näkyy myös Tiedostojen tuontien hallinta -ruudussa. Lisätietoja on artikkelissa Uhkia kuvaavan indikaattorien käsitteleminen.
Valitse, miten haluat Microsoft Sentinel käsitellä virheellisiä merkintöjä, valitsemalla jonkin painikkeen Tuo-ruudun alareunasta tiedostoruudun avulla:
- Tuo vain kelvolliset merkinnät ja jätä pois virheelliset merkinnät tiedostosta.
- Älä tuo merkintöjä, jos tiedoston yksittäinen objekti on virheellinen.
Valitse Tuo.

Tiedostojen tuontien hallinta

Valvo tuontia ja tarkastele osittain tuotujen tai epäonnistuneiden tuontien virheraportteja.

Valitse Tuo>Tiedostojen tuontien hallinta.
Tarkista tuotujen tiedostojen tila ja virheellisten merkintöjen määrä. Kelvollinen merkintämäärä päivitetään tiedoston käsittelyn jälkeen. Odota tuonnin päättymistä, jotta saat päivitettyjen merkintöjen määrän.
Tarkastele ja lajittele tuonnit valitsemalla Lähde, uhkatietotiedoston nimi, Tuotu-numero, kunkin tiedoston merkintöjen kokonaismäärä tai Luontipäivämäärä .
Valitse virhetiedoston esikatselu tai lataa virhetiedosto, joka sisältää virheellisiä merkintöjä koskevat virheet.

Microsoft Sentinel säilyttää tiedoston tuonnin tilan 30 päivän ajan. Todellista tiedostoa ja siihen liittyvää virhetiedostoa säilytetään järjestelmässä 24 tuntia. 24 tunnin kuluttua tiedosto ja virhetiedosto poistetaan, mutta kaikki sisäänotetut ilmaisimet näkyvät edelleen uhkatietoina.

Tutustu tuontimalleihin

Tarkista kukin malli varmistaaksesi, että uhkatiedot tuodaan onnistuneesti. Muista viitata mallitiedoston ohjeisiin ja seuraaviin lisäohjeisiin.

CSV-mallirakenne

Valitse avattavasta Ilmaisintyyppi-valikostaCSV. Valitse sitten Tiedosto-ilmaisimet tai Kaikki muut ilmaisintyypit -vaihtoehdot.

CSV-malli tarvitsee useita sarakkeita tiedostoilmaisimen tyypin mukaan, koska tiedostoilmaisimissa voi olla useita hajautusarvotyyppejä, kuten MD5 ja SHA256. Kaikki muut ilmaisintyypit, kuten IP-osoitteet, edellyttävät vain havaittavaa tyyppiä ja havaittavaa arvoa.
CSV-mallin sarakeotsikot Kaikki muut ilmaisintyypit sisältävät kenttiä, kuten threatTypes, yksi tai useita tags, confidenceja tlpLevel. TLP (Traffic Light Protocol) on luottamuksellisuusmääritys, joka auttaa tekemään päätöksiä uhkien tiedustelutietojen jakamisesta.
Vain -, observableType- validFromja observableValue -kentät ovat pakollisia.
Poista mallin koko ensimmäinen rivi ja poista kommentit ennen lataamista.

CSV-tiedoston tuonnin suurin sallittu tiedostokoko on 50 Mt.

Tässä on esimerkki toimialuenimen ilmaisimesta, joka käyttää CSV-mallia:

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

JSON-mallirakenne

Kaikille STIX-objektityypeille on vain yksi JSON-malli. JSON-malli perustuu STIX 2.1 -muotoon.
- type elementti tukee seuraavia: indicator, attack-pattern, identity, threat-actorja relationship.
Ilmaisimet-elementti pattern tukee ilmaisintyyppejä : file, ipv4-addr, ipv6-addr, domain-name, url, , user-account, email-addrja windows-registry-key.
Poista mallin kommentit ennen lataamista.
Sulje matriisin viimeinen objekti käyttämällä kohdetta } ilman pilkkua.

JSON-tiedoston tuonnin suurin sallittu tiedostokoko on 250 Mt.

Tässä on esimerkkiilmaisin ipv4-addr ja attack-pattern JSON-tiedostomuodon käyttäminen:

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
        "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    },
    {
        "type": "attack-pattern",
        "spec_version": "2.1",
        "id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
        "created": "2015-05-15T09:12:16.432Z",
        "modified": "2015-05-20T09:12:16.432Z",
        "created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
        "revoked": false,
        "labels": [
            "heartbleed",
            "has-logo"
        ],
        "confidence": 55,
        "lang": "en",
        "object_marking_refs": [
            "marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
        ],
        "granular_markings": [
            {
                "marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
                "selectors": [
                    "description",
                    "labels"
                ],
                "lang": "en"
            }
        ],
        "extensions": {
            "extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
                "extension_type": "property-extension",
                "rank": 5,
                "toxicity": 8
            }
        },
        "external_references": [
            {
                "source_name": "capec",
                "description": "spear phishing",
                "external_id": "CAPEC-163"
            }
        ],
        "name": "Attack Pattern 2.1",
        "description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
        "kill_chain_phases": [
            {
                "kill_chain_name": "mandiant-attack-lifecycle-model",
                "phase_name": "initial-compromise"
            }
        ],
        "aliases": [
            "alias_1",
            "alias_2"
        ]
    }
]

Tässä artikkelissa opit vahvistamaan uhkatietoja manuaalisesti tuomalla ilmaisimia ja muita tietuetiedostoihin kerättyjä STIX-objekteja. Lisätietoja siitä, miten uhkien tiedustelu tehostaa muita analyysejä Microsoft Sentinel, on seuraavissa artikkeleissa:

Palaute

Onko tästä sivusta apua?

Last updated on 2026-04-23