Aggiungere informazioni sulle minacce in blocco a Microsoft Sentinel da un file CSV o JSON

  • Si applica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Questo articolo illustra come aggiungere indicatori da oggetti CSV o STIX da un file JSON in Microsoft Sentinel threat intelligence. Poiché la condivisione delle informazioni sulle minacce avviene ancora tra i messaggi di posta elettronica e altri canali informali durante un'indagine in corso, la possibilità di importare rapidamente tali informazioni in Microsoft Sentinel è importante per inoltrare le minacce emergenti al team. Queste minacce identificate sono quindi disponibili per alimentare altre analisi, ad esempio la produzione di avvisi di sicurezza, eventi imprevisti e risposte automatizzate.

Importante

Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender. A partire da luglio 2025, molti nuovi clienti vengono caricati e reindirizzati automaticamente al portale di Defender.

Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender. Per altre informazioni, vedere It's Time to Move: Ritiro della portale di Azure di Microsoft Sentinel per una maggiore sicurezza.

Prerequisiti

Per archiviare le informazioni sulle minacce, è necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro Microsoft Sentinel.

Selezionare un modello di importazione per l'intelligence sulle minacce

Aggiungere più oggetti intelligence sulle minacce con un file CSV o JSON appositamente creato. Scaricare i modelli di file per acquisire familiarità con i campi e il modo in cui vengono mappati ai dati disponibili. Esaminare i campi necessari per ogni tipo di modello per convalidare i dati prima di importarli.

  1. Per Microsoft Sentinel nel portale di Azure, in Gestione delle minacce selezionare Intelligence per le minacce.

    Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel Threat management Threat intelligence.For Microsoft Sentinel in the Defender portal, select Microsoft Sentinel Threat managementThreat intelligence.For Microsoft Sentinel in the Defender portal, select Microsoft Sentinel>Threat management> Threat intelligence.

  2. Selezionare Importa>importa usando un file.

  3. Nel menu a discesa Formato file selezionare CSV o JSON.

    Screenshot che mostra il menu a discesa per caricare un file CSV o JSON, scegliere un modello da scaricare e specificare un'origine.

    Nota

    Il modello CSV supporta solo gli indicatori. Il modello JSON supporta indicatori e altri oggetti STIX come attori delle minacce, modelli di attacco, identità e relazioni. Per altre informazioni sulla creazione di oggetti STIX supportati in JSON, vedere Caricare informazioni di riferimento sull'API.

  4. Dopo aver scelto un modello di caricamento bulk, selezionare il collegamento Scarica modello .

  5. È consigliabile raggruppare l'intelligence sulle minacce in base all'origine perché ogni caricamento di file ne richiede uno.

I modelli forniscono tutti i campi necessari per creare un singolo indicatore valido, inclusi i campi obbligatori e i parametri di convalida. Replicare tale struttura per popolare più indicatori in un file o aggiungere oggetti STIX al file JSON. Per altre informazioni sui modelli, vedere Informazioni sui modelli di importazione.

Caricare il file di intelligence sulle minacce

  1. Modificare il nome del file dall'impostazione predefinita del modello, ma mantenere l'estensione del file come .csv o .json. Quando si crea un nome di file univoco, è più semplice monitorare le importazioni dal riquadro Gestisci importazioni file .

  2. Trascinare il file di Intelligence per le minacce in blocco nella sezione Carica un file oppure cercare il file usando il collegamento .

  3. Immettere un'origine per l'intelligence sulle minacce nella casella di testo Origine . Questo valore viene stampato su tutti gli indicatori inclusi nel file. Visualizzare questa proprietà come SourceSystem campo. L'origine viene visualizzata anche nel riquadro Gestisci importazioni file . Per altre informazioni, vedere Usare gli indicatori di minaccia.

  4. Scegliere come si desidera che Microsoft Sentinel gestisca le voci non valide selezionando uno dei pulsanti nella parte inferiore del riquadro Importa usando un file:

    • Importare solo le voci valide e lasciare da parte eventuali voci non valide dal file.
    • Non importare voci se un singolo oggetto nel file non è valido.

    Screenshot che mostra il menu a discesa per caricare un file CSV o JSON, scegliere un modello e specificare un'origine che evidenzia il pulsante Importa.

  5. Selezionare Importa.

Gestire le importazioni di file

Monitorare le importazioni e visualizzare i report degli errori per importazioni parzialmente importate o non riuscite.

  1. Selezionare Importa>gestisci importazioni file.

    Screenshot che mostra l'opzione di menu per gestire le importazioni di file.

  2. Esaminare lo stato dei file importati e il numero di voci non valide. Il numero di voci valido viene aggiornato dopo l'elaborazione del file. Attendere il completamento dell'importazione per ottenere il conteggio aggiornato delle voci valide.

    Screenshot che mostra il riquadro Gestisci importazioni file con dati di inserimento di esempio. Le colonne vengono ordinate in base al numero importato con diverse origini.

  3. Per visualizzare e ordinare le importazioni, selezionare Origine, nome del file di Intelligence per le minacce, il numero importato, il numero totale di voci in ogni file o la data di creazione .

  4. Selezionare l'anteprima del file di errore o scaricare il file di errore che contiene gli errori relativi alle voci non valide.

Microsoft Sentinel mantiene lo stato dell'importazione di file per 30 giorni. Il file effettivo e il file di errore associato vengono mantenuti nel sistema per 24 ore. Dopo 24 ore, il file e il file di errore vengono eliminati, ma tutti gli indicatori inseriti continuano a essere visualizzati nell'intelligence sulle minacce.

Informazioni sui modelli di importazione

Esaminare ogni modello per assicurarsi che l'intelligence sulle minacce venga importata correttamente. Assicurarsi di fare riferimento alle istruzioni nel file di modello e alle indicazioni supplementari seguenti.

Struttura del modello CSV

  1. Nel menu a discesa Tipo di indicatore selezionare CSV. Scegliere quindi tra le opzioni Indicatori file o Tutti gli altri tipi di indicatori .

    Il modello CSV richiede più colonne per supportare il tipo di indicatore di file perché gli indicatori di file possono avere più tipi hash, ad esempio MD5 e SHA256. Tutti gli altri tipi di indicatori, ad esempio gli indirizzi IP, richiedono solo il tipo osservabile e il valore osservabile.

  2. Le intestazioni di colonna per il modello CSV Tutti gli altri tipi di indicatori includono campi come threatTypes, singolo o multiplo tags, confidencee tlpLevel. Traffic Light Protocol (TLP) è una designazione di riservatezza che consente di prendere decisioni sulla condivisione delle informazioni sulle minacce.

  3. Sono necessari solo i validFromcampi , observableTypee observableValue .

  4. Eliminare l'intera prima riga dal modello per rimuovere i commenti prima del caricamento.

    La dimensione massima del file per un'importazione di file CSV è di 50 MB.

Di seguito è riportato un esempio di indicatore del nome di dominio che usa il modello CSV:

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

Struttura del modello JSON

  1. È disponibile un solo modello JSON per tutti i tipi di oggetto STIX. Il modello JSON è basato sul formato STIX 2.1.

  2. L'elemento type supporta indicator, attack-pattern, identity, threat-actore relationship.

  3. Per gli indicatori, l'elemento supporta tipi pattern di indicatore di file, ipv4-addr, ipv6-addr, domain-name, urluser-account, email-addr, e windows-registry-key.

  4. Rimuovere i commenti del modello prima del caricamento.

  5. Chiudere l'ultimo oggetto nella matrice usando } senza una virgola.

    La dimensione massima del file per un'importazione di file JSON è di 250 MB.

Di seguito è riportato un indicatore di esempio ipv4-addr che attack-pattern usa il formato di file JSON:

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
        "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    },
    {
        "type": "attack-pattern",
        "spec_version": "2.1",
        "id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
        "created": "2015-05-15T09:12:16.432Z",
        "modified": "2015-05-20T09:12:16.432Z",
        "created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
        "revoked": false,
        "labels": [
            "heartbleed",
            "has-logo"
        ],
        "confidence": 55,
        "lang": "en",
        "object_marking_refs": [
            "marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
        ],
        "granular_markings": [
            {
                "marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
                "selectors": [
                    "description",
                    "labels"
                ],
                "lang": "en"
            }
        ],
        "extensions": {
            "extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
                "extension_type": "property-extension",
                "rank": 5,
                "toxicity": 8
            }
        },
        "external_references": [
            {
                "source_name": "capec",
                "description": "spear phishing",
                "external_id": "CAPEC-163"
            }
        ],
        "name": "Attack Pattern 2.1",
        "description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
        "kill_chain_phases": [
            {
                "kill_chain_name": "mandiant-attack-lifecycle-model",
                "phase_name": "initial-compromise"
            }
        ],
        "aliases": [
            "alias_1",
            "alias_2"
        ]
    }
]

Contenuto correlato

In questo articolo si è appreso come rafforzare manualmente l'intelligence sulle minacce importando indicatori e altri oggetti STIX raccolti in file flat. Per altre informazioni su come l'intelligence sulle minacce alimenta altre analisi in Microsoft Sentinel, vedere gli articoli seguenti:

  • Last updated on