Legge til trusselintelligens i bulk for å Microsoft Sentinel fra en CSV- eller JSON-fil

Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Denne artikkelen viser hvordan du legger til indikatorer fra CSV- eller STIX-objekter fra en JSON-fil i Microsoft Sentinel trusselintelligens. Fordi deling av trusselintelligens fortsatt skjer på tvers av e-postmeldinger og andre uformelle kanaler under en pågående undersøkelse, er muligheten til å importere denne informasjonen raskt til Microsoft Sentinel viktig for å videresende nye trusler til teamet ditt. Disse identifiserte truslene er deretter tilgjengelige for strøm til andre analyser, for eksempel produksjon av sikkerhetsvarsler, hendelser og automatiserte svar.

Viktig

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen. Fra og med juli 2025 blir mange nye kunder automatisk omlastet og omdirigert til Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender. Hvis du vil ha mer informasjon, kan du se Det er på tide å flytte: Tilbaketrekking av Microsoft Sentinel er Azure Portal for større sikkerhet.

Forutsetninger

Du må ha lese- og skrivetillatelser til Microsoft Sentinel arbeidsområdet for å lagre trusselintelligensen.

Velg en importmal for trusselintelligensen

Legg til flere objekter for trusselintelligens med en spesiallaget CSV- eller JSON-fil. Last ned filmalene for å bli kjent med feltene og hvordan de tilordnes til dataene du har. Se gjennom de nødvendige feltene for hver maltype for å validere dataene før du importerer dem.

For Microsoft Sentinel i Azure Portal velger du Trusselintelligens under Trusselstyring.

Hvis du vil ha Microsoft Sentinel i Defender-portalen, velger du Microsoft Sentinel>Treat management>Threat Intelligence.
Velg Importer>import ved hjelp av en fil.
- Defender-portalen
- Azure Portal
Velg CSV eller JSON på rullegardinmenyen Filformat.

Obs!

CSV-malen støtter bare indikatorer. JSON-malen støtter indikatorer og andre STIX-objekter som trusselaktører, angrepsmønstre, identiteter og relasjoner. Hvis du vil ha mer informasjon om hvordan du lager støttede STIX-objekter i JSON, kan du se Last opp API-referanse.
Når du har valgt en mal for masseopplasting, velger du koblingen Last ned mal .
Vurder å gruppere trusselintelligensen etter kilde, fordi hver filopplasting krever en.

Malene inneholder alle feltene du trenger for å opprette én enkelt gyldig indikator, inkludert obligatoriske felt og valideringsparametere. Repliser denne strukturen for å fylle ut flere indikatorer i én fil, eller legg til STIX-objekter i JSON-filen. Hvis du vil ha mer informasjon om malene, kan du se Forstå importmalene.

Last opp trusselintelligensfilen

Endre filnavnet fra standardmalen, men behold filtypen som .csv eller .json. Når du oppretter et unikt filnavn, er det enklere å overvåke importene fra ruten Behandle filimport .
Dra filen med massetrusselintelligens til delen Last opp en fil , eller bla gjennom etter filen ved hjelp av koblingen.
Skriv inn en kilde for trusselintelligensen i kildetekstboksen. Denne verdien er stemplet på alle indikatorene som er inkludert i filen. Vis denne egenskapen som SourceSystem feltet. Kilden vises også i ruten Behandle filimport . Hvis du vil ha mer informasjon, kan du se Arbeide med trusselindikatorer.
Velg hvordan du vil at Microsoft Sentinel skal håndtere ugyldige oppføringer ved å velge én av knappene nederst i importen ved hjelp av en filrute:
- Importer bare de gyldige oppføringene, og legg til side eventuelle ugyldige oppføringer fra filen.
- Ikke importer noen oppføringer hvis ett enkelt objekt i filen er ugyldig.
Velg Importer.

Behandle filimport

Overvåk importen og vis feilrapporter for delvis importerte eller mislykkede importer.

Velg Importer>behandle filimport.
Se gjennom statusen for importerte filer og antall ugyldige oppføringer. Gyldig antall oppføringer oppdateres etter at filen er behandlet. Vent til importen er fullført for å få det oppdaterte antallet gyldige oppføringer.
Vis og sorter importer ved å velge Kilde, filnavnet for trusselintelligens, antall importerte, totalt antall oppføringer i hver fil eller opprettelsesdatoen .
Velg forhåndsvisningen av feilfilen, eller last ned feilfilen som inneholder feilene om ugyldige oppføringer.

Microsoft Sentinel opprettholder statusen for filimporten i 30 dager. Den faktiske filen og den tilknyttede feilfilen beholdes i systemet i 24 timer. Etter 24 timer slettes filen og feilfilen, men eventuelle inntatte indikatorer fortsetter å vises i trusselintelligens.

Forstå importmalene

Se gjennom hver mal for å sikre at trusselintelligensen er importert. Pass på å referere til instruksjonene i malfilen og følgende tilleggsveiledning.

CSV-malstruktur

Velg CSV på rullegardinmenyen indikatortype. Velg deretter mellom filindikatorene eller alle andre indikatortypealternativer .

CSV-malen trenger flere kolonner for å gi plass til filtypen, fordi filindikatorer kan ha flere hash-typer som MD5 og SHA256. Alle andre indikatortyper, for eksempel IP-adresser, krever bare den observerbare typen og den observerbare verdien.
Kolonneoverskriftene for CSV Alle andre indikatortypemaler inkluderer felt som threatTypes, enkel eller flere tags, confidenceog tlpLevel. Traffic Light Protocol (TLP) er en følsomhetsbetegnelse for å ta beslutninger om deling av trusselintelligens.
validFromBare feltene , observableTypeog er observableValue obligatoriske.
Slett hele den første raden fra malen for å fjerne kommentarene før du laster opp.

Den maksimale filstørrelsen for en CSV-filimport er 50 MB.

Her er et eksempel på en domenenavnindikator som bruker CSV-malen:

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

JSON-malstruktur

Det finnes bare én JSON-mal for alle STIX-objekttyper. JSON-malen er basert på STIX 2.1-formatet.
Elementet type støtter indicator, attack-pattern, identity, threat-actorog relationship.
For indikatorer pattern støtter elementet indikatortypene file, , ipv4-addr, domain-nameipv6-addr, url, user-accountemail-addr, og windows-registry-key.
Fjern malkommentarene før opplasting.
Lukk det siste objektet i matrisen ved å bruke } uten komma.

Den maksimale filstørrelsen for en JSON-filimport er 250 MB.

Her er en eksempelindikator ipv4-addr og attack-pattern bruker JSON-filformatet:

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
        "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    },
    {
        "type": "attack-pattern",
        "spec_version": "2.1",
        "id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
        "created": "2015-05-15T09:12:16.432Z",
        "modified": "2015-05-20T09:12:16.432Z",
        "created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
        "revoked": false,
        "labels": [
            "heartbleed",
            "has-logo"
        ],
        "confidence": 55,
        "lang": "en",
        "object_marking_refs": [
            "marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
        ],
        "granular_markings": [
            {
                "marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
                "selectors": [
                    "description",
                    "labels"
                ],
                "lang": "en"
            }
        ],
        "extensions": {
            "extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
                "extension_type": "property-extension",
                "rank": 5,
                "toxicity": 8
            }
        },
        "external_references": [
            {
                "source_name": "capec",
                "description": "spear phishing",
                "external_id": "CAPEC-163"
            }
        ],
        "name": "Attack Pattern 2.1",
        "description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
        "kill_chain_phases": [
            {
                "kill_chain_name": "mandiant-attack-lifecycle-model",
                "phase_name": "initial-compromise"
            }
        ],
        "aliases": [
            "alias_1",
            "alias_2"
        ]
    }
]

I denne artikkelen lærte du hvordan du kan styrke trusselintelligensen manuelt ved å importere indikatorer og andre STIX-objekter som er samlet inn i flate filer. Hvis du vil lære mer om hvordan trusselintelligens driver andre analyser i Microsoft Sentinel, kan du se følgende artikler:

Tilbakemeldinger

Var denne siden nyttig?

Last updated on 2026-04-23