Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье показано, как добавить индикаторы из объектов CSV или STIX из JSON-файла в аналитику угроз Microsoft Sentinel. Так как общий доступ к аналитике угроз по-прежнему происходит по электронной почте и другим неофициальным каналам во время текущего расследования, возможность быстро импортировать эти сведения в Microsoft Sentinel важна для ретрансляции новых угроз вашей команде. Эти обнаруженные угрозы затем доступны для поддержки других аналитических данных, таких как создание оповещений системы безопасности, инцидентов и автоматизированных ответов.
Внимание
Эта функция в настоящее время доступна для предварительного ознакомления. Дополнительные условия использования для предварительных версий Microsoft Azure см. в дополнительных юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5. Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены. Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel (блог).
Предварительные условия
Для хранения аналитики угроз необходимо иметь разрешения на чтение и запись в рабочую область Microsoft Sentinel.
Выбор шаблона импорта для аналитики угроз
Добавьте несколько объектов разведки угроз, используя специально подготовленный CSV-файл или JSON. Скачайте шаблоны файлов, чтобы ознакомиться с полями этого формата и правильно сопоставить их с имеющимися данными. Проверьте необходимые поля для каждого типа шаблона, чтобы проверить данные перед импортом.
Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите аналитику угроз.
Для Microsoft Sentinel на портале Defender выберите Microsoft SentinelУправление угрозами>>.
Щелкните Импорт>Импорт с помощью файла.
В раскрывающемся меню формата файла выберите CSV или JSON.
Примечание.
Шаблон CSV поддерживает только индикаторы. Шаблон JSON поддерживает индикаторы и другие объекты STIX, такие как субъекты угроз, шаблоны атак, удостоверения и связи. Дополнительные сведения о создании поддерживаемых объектов STIX в JSON см. в справочнике по загрузке API.
После выбора шаблона массовой отправки выберите ссылку "Скачать шаблон ".
Рассмотрите возможность группировки аналитики угроз по источнику, так как для каждой отправки файлов требуется один.
Шаблоны содержат все поля, необходимые для создания одного допустимого индикатора, включая обязательные поля и параметры проверки. Репликация этой структуры для заполнения нескольких индикаторов в одном файле или добавление объектов STIX в JSON-файл. Дополнительные сведения о шаблонах см. в разделе Общие сведения о шаблонах импорта.
Отправка файла аналитики угроз
Измените имя файла с шаблонного, но оставьте расширение .csv или .json. При создании уникального имени файла проще отслеживать импорт из области "Управление импортами файлов".
Перетащите файл аналитики массовых угроз в раздел "Отправка файла " или найдите файл с помощью ссылки.
Введите источник для аналитики угроз в текстовом поле "Исходный". Это значение помечено на всех индикаторах, включенных в этот файл. Рассмотрите это свойство как поле
SourceSystem. Источник также отображается в области "Управление импортом файлов". Дополнительные сведения см. в статье "Работа с индикаторами угроз".Выберите способ обработки недопустимых записей Microsoft Sentinel, выбрав одну из кнопок в нижней части окна импорта с помощью области файлов :
- Импортируйте только допустимые записи и оставьте в стороне любые недопустимые записи из файла.
- Не импортируйте записи, если один объект в файле недопустим.
Выберите Импорт.
Управление импортом файлов
Отслеживайте импорты и просматривайте отчеты об ошибках при неудачном или частично удачном импорте.
Щелкните Импортировать>Управление импортом файлов.
Просмотрите состояние импортированных файлов и количество недопустимых записей. Допустимое число записей обновляется после обработки файла. Дождитесь завершения импорта, чтобы получить обновленное количество допустимых записей.
Просмотр и сортировка импорта путем выбора источника, имени файла аналитики угроз, числа импортированного, общего числа записей в каждом файле или даты создания.
Выберите предварительный просмотр файла с ошибками или загрузите файл, содержащий информацию о недопустимых записях.
Microsoft Sentinel сохраняет статус импорта файла в течение 30 дней. Использованный файл и связанный с ним файл ошибок хранятся в системе в течение 24 часов. Через 24 часа файл и файл ошибок удаляются, но все загруженные индикаторы продолжают отображаться в аналитике угроз.
Общие сведения о шаблонах импорта
Просмотрите каждый шаблон, чтобы убедиться, что аналитика угроз успешно импортирована. Обязательно ознакомьтесь с инструкциями в файле шаблона и приведенными ниже дополнительными рекомендациями.
Структура шаблона CSV
В раскрывающемся меню типа индикатора выберите CSV. Затем выберите между индикаторами файла или всеми другими типами индикаторов .
Шаблон CSV требует нескольких столбцов для размещения типа индикатора файла, так как индикаторы файлов могут иметь несколько хэш-типов, таких как MD5 и SHA256. Для других типов индикаторов, например по IP-адресам, требуется только наблюдаемый тип и наблюдаемое значение.
Заголовки столбцов для шаблона CSV-файла для индикаторов других типов содержат такие поля, как
threatTypes, один или несколькоtags,confidenceиtlpLevel. Протокол светофора (TLP) — это определение уровня чувствительности, который помогает принимать решения об обмене аналитической информацией об угрозах.Требуются только поля
validFrom,observableTypeиobservableValue.Перед отправкой удалите из шаблона всю первую строку, которая содержит комментарии.
Максимальный размер файла для импорта CSV-файла составляет 50 МБ.
Ниже приведен пример индикатора доменного имени, использующего шаблон CSV:
threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com
Структура шаблона JSON
Существует только один шаблон JSON для всех типов объектов STIX. Шаблон JSON основан на формате STIX 2.1.
Элемент
typeподдерживаетindicator,attack-pattern,identity,threat-actorиrelationship.Для индикаторов элемент поддерживает типы индикаторов
patternfile,ipv4-addr,ipv6-addrdomain-name, ,urlиuser-accountemail-addrwindows-registry-key.Удалите комментарии из шаблона перед отправкой.
Закройте последний объект в массиве с помощью
}без запятой.Максимальный размер файла для импорта JSON-файла составляет 250 МБ.
Ниже приведен пример ipv4-addr индикатора и attack-pattern использования формата JSON-файла:
[
{
"type": "indicator",
"id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
"spec_version": "2.1",
"pattern": "[ipv4-addr:value = '198.168.100.5']",
"pattern_type": "stix",
"created": "2022-07-27T12:00:00.000Z",
"modified": "2022-07-27T12:00:00.000Z",
"valid_from": "2016-07-20T12:00:00.000Z",
"name": "Sample IPv4 indicator",
"description": "This indicator implements an observation expression.",
"indicator_types": [
"anonymization",
"malicious-activity"
],
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "establish-foothold"
}
],
"labels": ["proxy","demo"],
"confidence": "95",
"lang": "",
"external_references": [],
"object_marking_refs": [],
"granular_markings": []
},
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
Связанный контент
В этой статье вы узнали, как вручную укрепить аналитику угроз путем импорта индикаторов и других объектов STIX, собранных в неструктурированных файлах. Дополнительные сведения о том, как аналитика угроз обеспечивает другие возможности аналитики в Microsoft Sentinel, см. в следующих статьях: