Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importe informações sobre ameaças para utilizar no Microsoft Sentinel com a API de carregamento. Quer esteja a utilizar uma plataforma de informações sobre ameaças ou uma aplicação personalizada, utilize este documento como referência suplementar às instruções em Ligar o TIP à API de carregamento. A instalação do conector de dados não é necessária para ligar à API. As informações sobre ameaças que pode importar incluem indicadores de comprometimento e outros objetos de domínio STIX.
Importante
Esta API está atualmente em PRÉ-VISUALIZAÇÃO. Os Termos Suplementares de Pré-visualização do Azure incluem termos legais adicionais que se aplicam a funcionalidades Azure que estão em beta, pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Structured Threat Information Expression (STIX) é uma linguagem para expressar ameaças cibernéticas e informações observáveis. O suporte melhorado para os seguintes objetos de domínio está incluído na API de carregamento:
- indicador
- padrão de ataque
- ator de ameaças
- identidade
- relação
Para obter mais informações, consulte Introdução ao STIX.
Nota
A API de indicadores de carregamento anteriores é agora legada. Se precisar de referenciar essa API durante a transição para esta nova API de carregamento, veja API de indicadores de carregamento legados.
Chamar a API
Uma chamada para a API de carregamento tem cinco componentes:
- O URI do pedido
- Cabeçalho da mensagem de pedido HTTP
- Corpo da mensagem de pedido HTTP
- Opcionalmente, processe o cabeçalho da mensagem de resposta HTTP
- Opcionalmente, processe o corpo da mensagem de resposta HTTP
Registar a aplicação cliente no Microsoft Entra ID
Para se autenticar no Microsoft Sentinel, o pedido à API de carregamento requer um token de acesso Microsoft Entra válido. Para obter mais informações sobre o registo de aplicações, veja Registar uma aplicação com o plataforma de identidades da Microsoft ou veja os passos básicos como parte da configuração da API de ligação de informações sobre ameaças com carregamento.
Esta API requer que a aplicação Microsoft Entra de chamadas seja concedida a função de contribuidor Microsoft Sentinel ao nível da área de trabalho.
Criar o pedido
Esta secção abrange os três primeiros dos cinco componentes abordados anteriormente. Primeiro, tem de adquirir o token de acesso do Microsoft Entra ID, que utiliza para montar o cabeçalho da mensagem de pedido.
Adquirir um token de acesso
Adquirir um token de acesso Microsoft Entra com a autenticação OAuth 2.0. V1.0 e V2.0 são tokens válidos aceites pela API.
A versão do token (v1.0 ou v2.0) recebida é determinada pela accessTokenAcceptedVersion propriedade no manifesto da aplicação da API que a sua aplicação está a chamar. Se accessTokenAcceptedVersion estiver definido como 1, a aplicação receberá um token v1.0.
Utilize a Biblioteca de Autenticação da Microsoft (MSAL) para adquirir um token de acesso v1.0 ou v2.0. Utilize o token de acesso para criar o cabeçalho de autorização que contém o token de portador.
Por exemplo, um pedido para a API de carregamento utiliza os seguintes elementos para obter um token de acesso e criar o cabeçalho de autorização, que é utilizado em cada pedido:
- PUBLICAR
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token
Cabeçalhos para utilizar a Aplicação Microsoft Entra:
- grant_type: "client_credentials"
- client_id: {Client ID of Microsoft Entra App}
- client_secret ou client_certificate: {secrets of the Microsoft Entra App}
- âmbito:
"https://management.azure.com/.default"
Se accessTokenAcceptedVersion no manifesto da aplicação estiver definido como 1, a aplicação recebe um token de acesso v1.0, apesar de estar a chamar o ponto final do token v2.
O valor de recurso/âmbito é a audiência do token. Esta API só aceita as seguintes audiências:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
Reunir a mensagem de pedido
URI do Pedido
Controlo de versões da API: api-version=2024-02-01-preview
Ponto final: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
Método: POST
Cabeçalho do pedido
Authorization: contém o token de portador OAuth2
Content-Type: application/json
Corpo do pedido
O objeto JSON para o corpo contém os seguintes campos:
| Nome do campo | Tipo de Dados | Descrição |
|---|---|---|
sourcesystem (obrigatório) |
cadeia | Identifique o nome do sistema de origem. O valor Microsoft Sentinel é restrito. |
stixobjects (obrigatório) |
matriz | Uma matriz de objetos STIX no formato STIX 2.0 ou 2.1 |
Crie a matriz de objetos STIX com a especificação de formato STIX. Algumas das especificações da propriedade STIX são expandidas aqui para sua comodidade com ligações para as secções relevantes do documento STIX. Tenha também em atenção que algumas propriedades, embora válidas para STIX, não têm propriedades de esquema de objeto correspondentes no Microsoft Sentinel.
Aviso
Se estiver a utilizar um Microsoft Sentinel Logic App para ligar à API de carregamento, tenha em atenção que existem três ações de informações sobre ameaças disponíveis. Utilize apenas as Informações sobre Ameaças – Carregar Objetos STIX (Pré-visualização). Os outros dois falharão com este ponto final e os campos do corpo JSON.
Mensagem de pedido de exemplo
Eis um exemplo de função do PowerShell que utiliza um certificado autoassinado carregado para um registo de aplicações Entra para gerar o token de acesso e o cabeçalho de autorização:
function Test-UploadApi {
<#
.SYNOPSIS
requires Powershell module MSAL.PS version 4.37 or higher
https://www.powershellgallery.com/packages/MSAL.PS/
.EXAMPLE
Test-Api -API UploadApi -WorkspaceName "workspacename" -ResourceGroupName "rgname" -AppId "00001111-aaaa-2222-bbbb-3333cccc4444" -TenantName "contoso.onmicrosoft.com" -FilePath "C:\Users\user\Documents\stixobjects.json"
#>
[CmdletBinding()]
param (
[Parameter(Mandatory = $true)]
[string]$TenantName,
[Parameter(Mandatory = $true)]
[string]$CertThumbprint,
[Parameter(Mandatory = $true)]
[string]$AppId,
[Parameter(Mandatory = $true)]
[string]$WorkspaceId,
[Parameter(Mandatory = $true)]
[string]$FilePath
)
$Scope = "https://management.azure.com/.default"
# Connection details for getting initial token with self-signed certificate from local store
$connectionDetails = @{
'TenantId' = $TenantName
'ClientId' = $AppId
'ClientCertificate' = Get-Item -Path "Cert:\CurrentUser\My\$CertThumbprint"
scope = $Scope
}
# Request the token
# Using Powershell module MSAL.PS https://www.powershellgallery.com/packages/MSAL.PS/
# Get-MsalToken is automatically using OAuth 2.0 token endpoint https://login.microsoftonline.com/$TenantName/oauth2/v2.0/token
# and sets auth flow to grant_type = 'client_credentials'
$token = Get-MsalToken @connectionDetails
# Create header
# Again relying on MSAL.PS which has method CreateAuthorizationHeader() getting us the bearer token
$Header = @{
'Authorization' = $token.CreateAuthorizationHeader()
}
$Uri = "https://api.ti.sentinel.azure.com/workspaces/$workspaceId/threat-intelligence-stix-objects:upload?api-version=$apiVersion"
$stixobjects = get-content -path $FilePath
if(-not $stixobjects) { Write-Host "No file found at $FilePath"; break }
$results = Invoke-RestMethod -Uri $Uri -Headers $Header -Body $stixobjects -Method POST -ContentType "application/json"
$results | ConvertTo-Json -Depth 4
}
Propriedades comuns
Todos os objetos que importar com a API de carregamento partilham estas propriedades comuns.
| Nome da Propriedade | Tipo | Descrição |
|---|---|---|
id (obrigatório) |
cadeia | Um ID utilizado para identificar o objeto STIX. Consulte a secção 2.9 para obter especificações sobre como criar um id. O formato tem um aspeto semelhante a indicator--<UUID> |
spec_version (opcional) |
cadeia | Versão do objeto STIX. Este valor é necessário na especificação STIX, mas como esta API só suporta STIX 2.0 e 2.1, quando este campo não está definido, a API é predefinida como 2.0 |
type (obrigatório) |
cadeia | O valor desta propriedade tem de ser um objeto STIX suportado. |
created (obrigatório) |
carimbo de data/hora | Veja a secção 3.2 para obter especificações desta propriedade comum. |
created_by_ref (opcional) |
cadeia | A propriedade created_by_ref especifica a propriedade ID da entidade que criou este objeto. Se este atributo for omitido, a origem destas informações será indefinida. Para os criadores de objetos que pretendam permanecer anónimos, mantenha este valor indefinido. |
modified (obrigatório) |
carimbo de data/hora | Veja a secção 3.2 para obter especificações desta propriedade comum. |
revoked (opcional) |
booleano | Os objetos revogados já não são considerados válidos pelo criador do objeto. Revogar um objeto é permanente; as versões futuras do objeto com este idnão podem ser criadas.O valor predefinido desta propriedade é falso. |
labels (opcional) |
lista de cadeias | A labels propriedade especifica um conjunto de termos utilizados para descrever este objeto. Os termos são definidos pelo utilizador ou pelo grupo de confiança definidos. Estas etiquetas são apresentadas como Etiquetas no Microsoft Sentinel. |
confidence (opcional) |
número inteiro | A confidence propriedade identifica a confiança que o criador tem na correção dos seus dados. O valor de confiança tem de ser um número no intervalo de 0-100.O Apêndice A contém uma tabela de mapeamentos normativos para outras escalas de confiança que têm de ser utilizadas ao apresentar o valor de confiança numa dessas escalas. Se a propriedade de confiança não estiver presente, significa que a confiança do conteúdo não é especificada. |
lang (opcional) |
cadeia | A lang propriedade identifica o idioma do conteúdo de texto neste objeto. Quando estiver presente, tem de ser um código de idioma conforme ao RFC5646. Se a propriedade não estiver presente, o idioma do conteúdo será en (inglês).Esta propriedade deve estar presente se o tipo de objeto contiver propriedades de texto traduzíveis (por exemplo, nome, descrição). O idioma dos campos individuais neste objeto pode substituir a lang propriedade em marcas granulares (consulte a secção 7.2.3). |
object_marking_refs (opcional, incluindo TLP) |
lista de cadeias | A object_marking_refs propriedade especifica uma lista de propriedades de ID de objetos de definição de marcação que se aplicam a este objeto. Por exemplo, utilize o ID de definição de marcação TLP (Traffic Light Protocol) para designar a sensibilidade da origem do indicador. Para obter detalhes sobre os IDs de definição de marcação a utilizar para conteúdo TLP, consulte a secção 7.2.1.4Em alguns casos, embora invulgares, as próprias definições de marcação podem ser marcadas com orientações de partilha ou processamento. Neste caso, esta propriedade não pode conter quaisquer referências ao mesmo objeto Definição de Marcação (ou seja, não pode conter referências circulares). Consulte a secção 7.2.2 para obter mais definições de marcações de dados. |
external_references (opcional) |
lista de objetos | A external_references propriedade especifica uma lista de referências externas que se refere a informações não STIX. Esta propriedade é utilizada para fornecer um ou mais URLs, descrições ou IDs a registos noutros sistemas. |
granular_markings (opcional) |
lista de marcação granular | A granular_markings propriedade ajuda a definir partes do indicador de forma diferente. Por exemplo, o idioma indicador é inglês, en mas a descrição é alemão, de.Em alguns casos, embora invulgares, as próprias definições de marcação podem ser marcadas com orientações de partilha ou processamento. Neste caso, esta propriedade não pode conter quaisquer referências ao mesmo objeto Definição de Marcação (ou seja, não pode conter referências circulares). Consulte a secção 7.2.3 para obter mais definições de marcações de dados. |
Para obter mais informações, veja Propriedades comuns do STIX.
Indicador
| Nome da Propriedade | Tipo | Descrição |
|---|---|---|
name (opcional) |
cadeia | Um nome utilizado para identificar o indicador. Os produtores devem fornecer esta propriedade para ajudar os produtos e analistas a compreender o que este indicador realmente faz. |
description (opcional) |
cadeia | Uma descrição que fornece mais detalhes e contexto sobre o indicador, incluindo potencialmente a sua finalidade e as suas principais características. Os produtores devem fornecer esta propriedade para ajudar os produtos e analistas a compreender o que este indicador realmente faz. |
indicator_types (opcional) |
lista de cadeias | Um conjunto de categorizações para este indicador. Os valores para esta propriedade devem ser provenientes de indicator-type-ov |
pattern (obrigatório) |
cadeia | O padrão de deteção para este indicador pode ser expresso como um Padrão STIX ou outro idioma adequado, como SNORT, YARA, etc. |
pattern_type (obrigatório) |
cadeia | A linguagem padrão utilizada neste indicador. O valor desta propriedade deve ser proveniente de tipos de padrão. O valor desta propriedade tem de corresponder ao tipo de dados de padrão incluídos na propriedade do padrão. |
pattern_version (opcional) |
cadeia | A versão da linguagem padrão utilizada para os dados na propriedade do padrão, que tem de corresponder ao tipo de dados padrão incluídos na propriedade do padrão. Para padrões que não têm uma especificação formal, deve ser utilizada a versão de criação ou código com a qual o padrão funciona. Para a linguagem de padrão STIX, a versão de especificação do objeto determina o valor predefinido. Para outros idiomas, o valor predefinido deve ser a versão mais recente do idioma de padrão no momento da criação deste objeto. |
valid_from (obrigatório) |
carimbo de data/hora | O tempo a partir do qual este indicador é considerado um indicador válido dos comportamentos a que está relacionado ou representa. |
valid_until (opcional) |
carimbo de data/hora | O momento em que este indicador já não deve ser considerado um indicador válido dos comportamentos que está relacionado ou representa. Se a propriedade valid_until for omitida, não haverá qualquer restrição na hora mais recente para a qual o indicador é válido. Este carimbo de data/hora tem de ser maior do que o carimbo de data/hora valid_from. |
kill_chain_phases (opcional) |
lista de cadeia | As fases da cadeia de eliminação às quais este indicador corresponde. O valor desta propriedade deve ser proveniente da Fase de Cadeia de Eliminação. |
Para obter mais informações, veja Indicador STIX.
Padrão de ataque
Siga as especificações STIX para criar um objeto STIX de padrão de ataque. Utilize este exemplo como uma referência extra.
Para obter mais informações, veja Padrão de ataque STIX.
Identidade
Siga as especificações STIX para criar um objeto STIX de identidade. Utilize este exemplo como uma referência extra.
Para obter mais informações, veja Identidade STIX.
Ator de ameaças
Siga as especificações STIX para criar um objeto STIX do ator de ameaças. Utilize este exemplo como uma referência extra.
Para obter mais informações, veja Ator de ameaças STIX.
Relação
Siga as especificações STIX para criar um objeto STIX de relação. Utilize este exemplo como uma referência extra.
Para obter mais informações, veja Relação STIX.
Processar a mensagem de resposta
O cabeçalho de resposta contém um código de estado HTTP. Veja esta tabela para obter mais informações sobre como interpretar o resultado da chamada à API.
| Código de estado | Descrição |
|---|---|
| 200 | Sucesso. A API devolve 200 quando um ou mais objetos STIX são validados e publicados com êxito. |
| 400 | Formato incorreto. Algo no pedido não está corretamente formatado. |
| 401 | Não autorizado. |
| 404 | Ficheiro não encontrado. Normalmente, este erro ocorre quando o ID da área de trabalho não é encontrado. |
| 429 | O número máximo de pedidos num minuto foi excedido. |
| 500 | Erro do servidor. Normalmente, ocorre um erro na API ou nos serviços Microsoft Sentinel. |
O corpo da resposta é uma matriz de mensagens de erro no formato JSON:
| Nome do campo | Tipo de Dados | Descrição |
|---|---|---|
| erros | Matriz de objetos de erro | Lista de erros de validação |
Objeto de erro
| Nome do campo | Tipo de Dados | Descrição |
|---|---|---|
| recordIndex | int | Índice dos objetos STIX no pedido |
| errorMessages | Matriz de cadeias | Mensagens de erro |
Limites de limitação da API
Todos os limites são aplicados por utilizador:
- 100 objetos por pedido.
- 100 pedidos por minuto.
Se existirem mais pedidos do que o limite, é devolvido um 429 código de estado http no cabeçalho de resposta com o seguinte corpo de resposta:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
Aproximadamente 10 000 objetos por minuto é o débito máximo antes de ser recebido um erro de limitação.
Corpo do pedido do indicador de exemplo
O exemplo seguinte mostra como representar dois indicadores na especificação STIX.
Test Indicator 2 realça o protocolo TLP (Traffic Light Protocol) definido como branco com a marcação de objeto mapeado e esclarece a descrição e as etiquetas em inglês.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Corpo da resposta de exemplo com erro de validação
Se todos os objetos STIX forem validados com êxito, é devolvido um estado HTTP 200 com um corpo de resposta vazio.
Se a validação falhar para um ou mais objetos, o corpo da resposta é devolvido com mais informações. Por exemplo, se enviar uma matriz com quatro indicadores e os três primeiros forem bons, mas o quarto não tiver um id (um campo obrigatório), é gerada uma resposta 200 do código de estado HTTP juntamente com o seguinte corpo:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
Os objetos são enviados como uma matriz, pelo que começa recordIndex em 0.
Outros exemplos
Indicador de exemplo
Neste exemplo, o indicador é marcado com o TLP verde ao utilizar marking-definition--089a6ecb-cc15-43cc-9494-767639779123 na object_marking_refs propriedade comum. Estão também incluídos mais atributos de extensão de toxicity e rank . Embora estas propriedades não estejam no esquema Microsoft Sentinel para indicadores, ingerir um objeto com estas propriedades não aciona um erro. As propriedades simplesmente não são referenciadas ou indexadas na área de trabalho.
Nota
Este indicador tem a revoked propriedade definida como $true e valid_until a respetiva data está no passado. Este indicador tal como está não funciona nas regras de análise e não é devolvido em consultas, a menos que seja especificado um intervalo de tempo adequado.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Padrão de ataque de exemplo
Este padrão de ataque e quaisquer outros objetos STIX não indicadores só são visíveis na interface de gestão, a menos que opte por participar nas novas tabelas STIX. Para obter mais informações sobre as tabelas necessárias para ver objetos como este no KQL, veja Ver as informações sobre ameaças.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
Relação de exemplo com o ator e a identidade de ameaças
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
Passos seguintes
Para saber mais sobre como trabalhar com informações sobre ameaças no Microsoft Sentinel, consulte os seguintes artigos:
- Compreender as informações sobre ameaças
- Trabalhar com indicadores de ameaças
- Utilizar análises correspondentes para detetar ameaças
- Utilizar o feed de informações da Microsoft e ativar o conector de dados MDTI