アップロード API でMicrosoft Sentinelで使用する脅威インテリジェンスをインポートします。 脅威インテリジェンス プラットフォームまたはカスタム アプリケーションのどちらを使用している場合でも、「 TIP とアップロード API を接続する」の手順の補足リファレンスとして、このドキュメントを使用してください。 データ コネクタをインストールして API に接続する必要はありません。 インポートできる脅威インテリジェンスには、侵害とその他の STIX ドメイン オブジェクトのインジケーターが含まれます。
重要
この API は現在プレビュー段階です。 Azureプレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていないAzure機能に適用される追加の法的条件が含まれています。
構造化脅威情報式 (STIX) は、サイバー脅威と監視可能な情報を表現するための言語です。 アップロード API には、次のドメイン オブジェクトの強化されたサポートが含まれています。
- インジケーター
- 攻撃パターン
- threat actor
- Id
- リレーションシップ
詳細については、「 STIX の概要」を参照してください。
注:
以前のアップロード インジケーター API がレガシになりました。 この新しいアップロード API に移行するときにその API を参照する必要がある場合は、「 レガシ アップロード インジケーター API」を参照してください。
API を呼び出す
アップロード API の呼び出しには、次の 5 つのコンポーネントがあります。
- 要求 URI
- HTTP 要求メッセージ ヘッダー
- HTTP 要求メッセージ本文
- 必要に応じて HTTP 応答メッセージ ヘッダーを処理する
- 必要に応じて HTTP 応答メッセージ本文を処理する
クライアント アプリケーションをMicrosoft Entra IDに登録する
Microsoft Sentinelに対する認証を行うには、アップロード API への要求に有効なMicrosoft Entraアクセス トークンが必要です。 アプリケーションの登録の詳細については、「Microsoft ID プラットフォームにアプリケーションを登録する」を参照するか、アップロード API のセットアップを使用して脅威インテリジェンスを接続するの一部としての基本的な手順を参照してください。
この API では、呼び出し元Microsoft Entraアプリケーションにワークスペース レベルでMicrosoft Sentinel共同作成者ロールを付与する必要があります。
要求を作成する
このセクションでは、前に説明した 5 つのコンポーネントのうちの最初の 3 つについて説明します。 最初に、要求メッセージ ヘッダーのアセンブルに使用するMicrosoft Entra IDからアクセス トークンを取得する必要があります。
アクセス トークンを取得する
OAuth 2.0 認証を使用してMicrosoft Entraアクセス トークンを取得します。 V1.0 と V2.0 は、API によって受け入れられる有効なトークンです。
受信したトークン (v1.0 または v2.0) のバージョンは、アプリケーションが呼び出している API のアプリ マニフェストの accessTokenAcceptedVersion プロパティによって決まります。
accessTokenAcceptedVersionが 1 に設定されている場合、アプリケーションは v1.0 トークンを受け取ります。
Microsoft Authentication Library (MSAL) を使用して、v1.0 または v2.0 のアクセス トークンを取得します。 アクセス トークンを使用して、ベアラー トークンを含む承認ヘッダーを作成します。
たとえば、アップロード API への要求では、次の要素を使用してアクセス トークンを取得し、各要求で使用される承認ヘッダーを作成します。
- POST
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token
Microsoft Entra アプリを使用するためのヘッダー:
- grant_type: "client_credentials"
- client_id: {Microsoft Entra App のクライアント ID}
- client_secretまたはclient_certificate: {secrets of the Microsoft Entra App}
- スコープ:
"https://management.azure.com/.default"
アプリ マニフェストの accessTokenAcceptedVersion が 1 に設定されている場合、アプリケーションは v2 トークン エンドポイントを呼び出しているにもかかわらず、v1.0 アクセス トークンを受け取ります。
リソース/スコープの値は、トークンの対象ユーザーです。 この API は、次の対象ユーザーのみを受け入れます。
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
要求メッセージをアセンブルする
要求 URI
API のバージョン管理: api-version=2024-02-01-preview
エンドポイント: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
メソッド: POST
要求ヘッダー
Authorization: OAuth2 ベアラー トークンが含まれています
Content-Type: application/json
要求本文
本文の JSON オブジェクトには、次のフィールドが含まれています。
| フィールド名 | データ型 | 説明 |
|---|---|---|
sourcesystem (必須) |
string | ソース システム名を特定します。
Microsoft Sentinel値は制限されています。 |
stixobjects (必須) |
配列 | STIX 2.0 または 2.1 形式の STIX オブジェクトの配列 |
STIX 形式仕様を使用して、STIX オブジェクトの配列を作成します。 STIX プロパティの仕様の一部は、関連する STIX ドキュメント セクションへのリンクを使用して、便宜上ここに拡張されています。 また、一部のプロパティは STIX に対して有効ですが、Microsoft Sentinelに対応するオブジェクト スキーマ プロパティはありません。
警告
Microsoft Sentinel ロジック アプリを使用してアップロード API に接続する場合は、3 つの脅威インテリジェンス アクションが使用可能であることに注意してください。 脅威インテリジェンス - STIX オブジェクトのアップロード (プレビュー) のみを使用します。 他の 2 つのフィールドは、このエンドポイントと JSON 本文フィールドで失敗します。
サンプル要求メッセージ
Entra アプリ登録にアップロードされた自己署名証明書を使用してアクセス トークンと承認ヘッダーを生成する PowerShell 関数の例を次に示します。
function Test-UploadApi {
<#
.SYNOPSIS
requires Powershell module MSAL.PS version 4.37 or higher
https://www.powershellgallery.com/packages/MSAL.PS/
.EXAMPLE
Test-Api -API UploadApi -WorkspaceName "workspacename" -ResourceGroupName "rgname" -AppId "00001111-aaaa-2222-bbbb-3333cccc4444" -TenantName "contoso.onmicrosoft.com" -FilePath "C:\Users\user\Documents\stixobjects.json"
#>
[CmdletBinding()]
param (
[Parameter(Mandatory = $true)]
[string]$TenantName,
[Parameter(Mandatory = $true)]
[string]$CertThumbprint,
[Parameter(Mandatory = $true)]
[string]$AppId,
[Parameter(Mandatory = $true)]
[string]$WorkspaceId,
[Parameter(Mandatory = $true)]
[string]$FilePath
)
$Scope = "https://management.azure.com/.default"
# Connection details for getting initial token with self-signed certificate from local store
$connectionDetails = @{
'TenantId' = $TenantName
'ClientId' = $AppId
'ClientCertificate' = Get-Item -Path "Cert:\CurrentUser\My\$CertThumbprint"
scope = $Scope
}
# Request the token
# Using Powershell module MSAL.PS https://www.powershellgallery.com/packages/MSAL.PS/
# Get-MsalToken is automatically using OAuth 2.0 token endpoint https://login.microsoftonline.com/$TenantName/oauth2/v2.0/token
# and sets auth flow to grant_type = 'client_credentials'
$token = Get-MsalToken @connectionDetails
# Create header
# Again relying on MSAL.PS which has method CreateAuthorizationHeader() getting us the bearer token
$Header = @{
'Authorization' = $token.CreateAuthorizationHeader()
}
$Uri = "https://api.ti.sentinel.azure.com/workspaces/$workspaceId/threat-intelligence-stix-objects:upload?api-version=$apiVersion"
$stixobjects = get-content -path $FilePath
if(-not $stixobjects) { Write-Host "No file found at $FilePath"; break }
$results = Invoke-RestMethod -Uri $Uri -Headers $Header -Body $stixobjects -Method POST -ContentType "application/json"
$results | ConvertTo-Json -Depth 4
}
共通プロパティ
アップロード API を使用してインポートするすべてのオブジェクトは、これらの共通プロパティを共有します。
| プロパティ名 | 型 | 説明 |
|---|---|---|
id (必須) |
string | STIX オブジェクトを識別するために使用される ID。
idの作成方法の仕様については、セクション 2.9 を参照してください。 形式は次のようになります indicator--<UUID> |
spec_version (省略可能) |
string | STIX オブジェクトのバージョン。 この値は STIX 仕様で必要ですが、この API は STIX 2.0 と 2.1 のみをサポートするため、このフィールドが設定されていない場合、API の既定値は に設定されます。 2.0 |
type (必須) |
string | このプロパティの値は、サポートされている STIX オブジェクトである 必要があります 。 |
created (必須) |
timestamp | この共通プロパティの仕様については、セクション 3.2 を参照してください。 |
created_by_ref (省略可能) |
string | created_by_ref プロパティは、このオブジェクトを作成したエンティティの ID プロパティを指定します。 この属性を省略すると、この情報のソースは未定義になります。 匿名を維持するオブジェクト作成者の場合は、この値を未定義のままにします。 |
modified (必須) |
timestamp | この共通プロパティの仕様については、セクション 3.2 を参照してください。 |
revoked (省略可能) |
ブール値 | 取り消されたオブジェクトは、オブジェクト作成者によって有効と見なされなくなりました。 オブジェクトの取り消しは永続的です。この idmust を持つオブジェクトの将来のバージョンは作成されません。このプロパティの既定値は false です。 |
labels (省略可能) |
文字列のリスト |
labels プロパティは、このオブジェクトを記述するために使用される用語のセットを指定します。 用語は、ユーザー定義または信頼グループ定義です。 これらのラベルは、Microsoft Sentinelでタグとして表示されます。 |
confidence (省略可能) |
integer |
confidence プロパティは、作成者がデータの正確性に対して持っている信頼度を識別します。 信頼値は、0 から 100 の範囲の数値である 必要があります 。付録 A には、いずれかのスケールで信頼値を提示するときに使用 する必要 がある他の信頼度スケールへの規範的なマッピングの表が含まれています。 confidence プロパティが存在しない場合、コンテンツの信頼度は指定されていません。 |
lang (省略可能) |
string |
lang プロパティは、このオブジェクト内のテキスト コンテンツの言語を識別します。 存在する場合は、RFC5646に準拠した言語コードである必要があります。 プロパティが存在しない場合、コンテンツの言語は en (英語) になります。オブジェクト型に翻訳可能なテキスト プロパティ (名前、説明など) が含まれている場合は、このプロパティが存在する 必要があります 。 このオブジェクトの個々のフィールドの言語は、詳細なマーキングで lang プロパティをオーバーライドする可能性があります (セクション 7.2.3 を参照)。 |
object_marking_refs (TLP を含む省略可能) |
文字列のリスト |
object_marking_refs プロパティは、このオブジェクトに適用されるマーキング定義オブジェクトの ID プロパティの一覧を指定します。 たとえば、トラフィック ライト プロトコル (TLP) マーキング定義 ID を使用して、インジケーター ソースの感度を指定します。 TLP コンテンツに使用するマーキング定義 ID の詳細については、セクション 7.2.1.4 を参照してください。場合によっては、一般的ではありませんが、定義自体のマーキングは、共有または処理のガイダンスでマークされる場合があります。 この場合、このプロパティには、同じマーキング定義オブジェクトへの参照を含 めることはできません (つまり、循環参照を含めることはできません)。 データ マーキングの詳細な定義については、セクション 7.2.2 を参照してください。 |
external_references (省略可能) |
オブジェクトの一覧 |
external_references プロパティは、STIX 以外の情報を参照する外部参照の一覧を指定します。 このプロパティは、1 つ以上の URL、説明、または ID を他のシステムのレコードに提供するために使用されます。 |
granular_markings (省略可能) |
きめ細かいマーキングの一覧 |
granular_markings プロパティは、インジケーターの一部を異なる方法で定義するのに役立ちます。 たとえば、インジケーター言語は英語 en ですが、説明はドイツ語、 deです。場合によっては、一般的ではありませんが、定義自体のマーキングは、共有または処理のガイダンスでマークされる場合があります。 この場合、このプロパティには、同じマーキング定義オブジェクトへの参照を含 めることはできません (つまり、循環参照を含めることはできません)。 データ マーキングの詳細な定義については、セクション 7.2.3 を参照してください。 |
詳細については、「 STIX の共通プロパティ」を参照してください。
インジケーター
| プロパティ名 | 型 | 説明 |
|---|---|---|
name (省略可能) |
string | インジケーターを識別するために使用される名前。 プロデューサーは、製品とアナリストがこのインジケーターが実際に何を行うかを理解するのに役立つこのプロパティを提供する 必要があります 。 |
description (省略可能) |
string | インジケーターに関する詳細とコンテキストを提供する説明。その目的と重要な特性を含む可能性があります。 プロデューサーは、製品とアナリストがこのインジケーターが実際に何を行うかを理解するのに役立つこのプロパティを提供する 必要があります 。 |
indicator_types (省略可能) |
文字列のリスト | このインジケーターの分類のセット。 このプロパティの値は、indicator-type-ov から取得する必要があります |
pattern (必須) |
string | このインジケーターの検出パターンは、STIX パターンまたは SNORT、YARA などの別の適切な言語として表される場合があります。 |
pattern_type (必須) |
string | このインジケーターで使用されるパターン言語。 このプロパティの値は、パターン型から取得する必要があります。 このプロパティの値は、pattern プロパティに含まれるパターン データの種類と一致する 必要があります 。 |
pattern_version (省略可能) |
string | pattern プロパティ内のデータに使用されるパターン言語のバージョン。パターン プロパティに含まれるパターン データの種類と一致する 必要があります 。 正式な仕様を持たないパターンの場合は、パターンが動作することがわかっているビルドまたはコード バージョンを使用 する必要があります 。 STIX パターン言語の場合、オブジェクトの仕様バージョンによって既定値が決まります。 他の言語の場合、既定値は、このオブジェクトの作成時のパターン言語の最新バージョンである 必要があります 。 |
valid_from (必須) |
timestamp | このインジケーターが、関連または表す動作の有効なインジケーターと見なされる時間。 |
valid_until (省略可能) |
timestamp | このインジケーターが、関連または表す動作の有効なインジケーターと見なされなくなった時刻。 valid_until プロパティを省略した場合、インジケーターが有効な最新時刻に制約はありません。 このタイムスタンプは、valid_fromタイムスタンプより大きく する必要があります 。 |
kill_chain_phases (省略可能) |
文字列の一覧 | このインジケーターが対応するキル チェーン フェーズ。 このプロパティの値は、Kill Chain Phase から取得する必要があります。 |
詳細については、「 STIX インジケーター」を参照してください。
攻撃パターン
STIX の仕様に従って、攻撃パターン STIX オブジェクトを作成します。 この例を追加の参照として使用します。
詳細については、「 STIX 攻撃パターン」を参照してください。
ID
ID STIX オブジェクトを作成するための STIX 仕様に従います。 この例を追加の参照として使用します。
詳細については、「 STIX ID」を参照してください。
脅威アクター
STIX 仕様に従って、脅威アクター STIX オブジェクトを作成します。 この例を追加の参照として使用します。
詳細については、「 STIX 脅威アクター」を参照してください。
リレーションシップ
関係 STIX オブジェクトを作成するには、STIX 仕様に従います。 この例を追加の参照として使用します。
詳細については、「 STIX リレーションシップ」を参照してください。
応答メッセージを処理する
応答ヘッダーには HTTP 状態コードが含まれています。 API 呼び出し結果を解釈する方法の詳細については、この表を参照してください。
| 状態コード | 説明 |
|---|---|
| 200 | 成功 1 つ以上の STIX オブジェクトが正常に検証および発行されると、API は 200 を返します。 |
| 400 | 形式が正しくありません。 要求内の何かが正しく書式設定されていません。 |
| 401 | 権限がありません。 |
| 404 | ファイルが見つかりません。 通常、このエラーは、ワークスペース ID が見つからない場合に発生します。 |
| 429 | 1 分間の要求の最大数を超えました。 |
| 500 | サーバー エラー。 通常、API または Microsoft Sentinel サービスでエラーが発生します。 |
応答本文は、JSON 形式のエラー メッセージの配列です。
| フィールド名 | データ型 | 説明 |
|---|---|---|
| エラー | エラー オブジェクトの配列 | 検証エラーの一覧 |
Error オブジェクト
| フィールド名 | データ型 | 説明 |
|---|---|---|
| recordIndex | int | 要求内の STIX オブジェクトのインデックス |
| errorMessages | 文字列の配列 | エラー メッセージ |
API の調整制限
すべての制限は、ユーザーごとに適用されます。
- 要求ごとに 100 個のオブジェクト。
- 1 分あたり 100 件の要求。
制限を超える要求がある場合は、応答ヘッダーに 429 http 状態コードが返され、次の応答本文が返されます。
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
調整エラーが発生する前の最大スループットは、1 分あたり約 10,000 個のオブジェクトです。
インジケーター要求本文のサンプル
次の例は、STIX 仕様で 2 つのインジケーターを表す方法を示しています。
Test Indicator 2 は、マップされたオブジェクトのマーキングで白に設定されたトラフィック ライト プロトコル (TLP) を強調表示し、その説明とラベルを明確にすることは英語です。
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
検証エラーを含む応答本文のサンプル
すべての STIX オブジェクトが正常に検証されると、HTTP 200 状態が空の応答本文で返されます。
1 つ以上のオブジェクトに対して検証が失敗した場合、応答本文は詳細情報と共に返されます。 たとえば、4 つのインジケーターを持つ配列を送信し、最初の 3 つが適切ですが、4 番目のインジケーターに id (必須フィールド) がない場合、HTTP 状態コード 200 応答が次の本文と共に生成されます。
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
オブジェクトは配列として送信されるため、 recordIndex は 0から始まります。
その他のサンプル
サンプル インジケーター
この例では、object_marking_refs共通プロパティでmarking-definition--089a6ecb-cc15-43cc-9494-767639779123を使用して、インジケーターが緑色の TLP でマークされています。
toxicityとrankのその他の拡張属性も含まれています。 これらのプロパティはインジケーターのMicrosoft Sentinel スキーマには含まれませんが、これらのプロパティを使用してオブジェクトを取り込んでもエラーは発生しません。 プロパティは、単にワークスペースで参照またはインデックス付けされません。
注:
このインジケーターには、 revoked プロパティが $true に設定されており、その valid_until 日付は過去です。 このインジケーターは、分析ルールでは機能せず、適切な時間範囲が指定されていない限りクエリでは返されません。
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
サンプル攻撃パターン
この攻撃パターンとその他の非インジケーター STIX オブジェクトは、新しい STIX テーブルを選択しない限り、管理インターフェイスでのみ表示できます。 KQL でこのようなオブジェクトを表示するために必要なテーブルの詳細については、「 脅威インテリジェンスを表示する」を参照してください。
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
脅威アクターと ID との関係のサンプル
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
次の手順
Microsoft Sentinelで脅威インテリジェンスを操作する方法の詳細については、次の記事を参照してください。
- 脅威インテリジェンスについて
- 脅威インジケーターの操作
- 照合分析を使用して脅威を検出する
- Microsoft のインテリジェンス フィードを利用し、 MDTI データ コネクタを有効にする