Megosztás a következőn keresztül:


Fenyegetésintelligencia importálása a Microsoft Sentinelbe a feltöltési API-val (előzetes verzió)

A Microsoft Sentinelben a feltöltési API-val használandó fenyegetésintelligencia importálása. Akár fenyegetésfelderítési platformot, akár egyéni alkalmazást használ, használja ezt a dokumentumot kiegészítő hivatkozásként a TIPP csatlakoztatása a feltöltési API-hoz című témakörben található utasításokra. Az API-hoz való csatlakozáshoz nem szükséges telepíteni az adatösszekötőt. Az importálható fenyegetésintelligencia biztonsági réseket és más STIX-tartományobjektumokat is tartalmaz.

Fontos

Ez az API jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A strukturált fenyegetésinformációs kifejezés (STIX) a kiberfenyegetések és a megfigyelhető információk kifejezésére szolgáló nyelv. A feltöltési API a következő tartományi objektumok fokozott támogatását tartalmazza:

  • indikátor
  • támadási minta
  • fenyegetési szereplő
  • identitás
  • kapcsolat

További információ: Bevezetés a STIX használatába.

Feljegyzés

Az előző feltöltési mutatók API már örökölt. Ha az új feltöltési API-ra való áttérés során hivatkoznia kell erre az API-ra, tekintse meg az örökölt feltöltési mutatók API-t.

Az API hívása

A feltöltési API hívása öt összetevőből áll:

  1. A kérelem URI-ja
  2. HTTP-kérelem üzenetfejléce
  3. HTTP-kérés üzenettörzse
  4. A HTTP-válaszüzenet fejlécének feldolgozása opcionálisan
  5. A HTTP válaszüzenet törzsének feldolgozása opcionálisan

Ügyfélalkalmazás regisztrálása a Microsoft Entra-azonosítóval

A Microsoft Sentinel felé történő hitelesítéshez a feltöltési API-ra irányuló kéréshez érvényes Microsoft Entra hozzáférési jogkivonatra van szükség. Az alkalmazásregisztrációval kapcsolatos további információkért lásd: Alkalmazás regisztrálása a Microsoft Identitásplatform vagy az alapvető lépések a fenyegetésfelderítés csatlakoztatása és a feltöltési API beállítása részeként.

Ez az API megköveteli, hogy a hívó Microsoft Entra-alkalmazás megkapja a Microsoft Sentinel közreműködői szerepkört a munkaterület szintjén.

A kérés létrehozása

Ez a szakasz a korábban tárgyalt öt összetevő közül az első háromat ismerteti. Először be kell szereznie a hozzáférési jogkivonatot a Microsoft Entra-azonosítóból, amelyet a kérésüzenet fejlécének összeállításához használ.

Hozzáférési jogkivonat beszerzése

Microsoft Entra hozzáférési jogkivonat beszerzése OAuth 2.0-hitelesítéssel. A V1.0 és a V2.0 az API által elfogadott érvényes jogkivonatok.

A jogkivonat (1.0-s vagy 2.0-s verzió) verzióját az accessTokenAcceptedVersion alkalmazás által hívott API alkalmazásjegyzékében lévő tulajdonság határozza meg. Ha accessTokenAcceptedVersion 1 értékre van állítva, akkor az alkalmazás egy 1.0-s jogkivonatot kap.

A Microsoft Authentication Library (MSAL) használatával beszerezhet egy 1.0-s vagy 2.0-s verziós hozzáférési jogkivonatot. Vagy küldjön kéréseket a REST API-nak a következő formátumban:

  • POSTA https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token
  • Fejlécek a Microsoft Entra App használatához:
  • grant_type: "client_credentials"
  • client_id: {A Microsoft Entra App ügyfél-azonosítója}
  • client_secret: {a Microsoft Entra App titkos kódja}
  • kiterjedés: "https://management.azure.com/.default"

Ha accessTokenAcceptedVersion az alkalmazásjegyzékben 1 érték van beállítva, az alkalmazás 1.0-s hozzáférési jogkivonatot kap annak ellenére, hogy meghívja a v2-jogkivonat végpontját.

Az erőforrás/hatókör értéke a jogkivonat célközönsége. Ez az API csak a következő célközönségeket fogadja el:

  • https://management.core.windows.net/
  • https://management.core.windows.net
  • https://management.azure.com/
  • https://management.azure.com

A kérelemüzenet összeállítása

Kérés URI-ja

API-verziószámozás: api-version=2024-02-01-preview
Végpont: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
Módszer: POST

Kérelem fejléce

Authorization: Az OAuth2 tulajdonosi jogkivonatát tartalmazza
Content-Type: application/json

Kérés törzse

A törzs JSON-objektuma a következő mezőket tartalmazza:

Mezőnév Adattípus Leírás
sourcesystem (kötelező) húr Azonosítsa a forrásrendszer nevét. Az érték Microsoft Sentinel korlátozott.
stixobjects (kötelező) array STIX-objektumok tömbje STIX 2.0 vagy 2.1 formátumban

A STIX-objektumok tömbjének létrehozása a STIX formátumspecifikáció használatával. A STIX-tulajdonság specifikációinak némelyike itt kibővült az Ön kényelme érdekében a vonatkozó STIX-dokumentumszakaszokra mutató hivatkozásokkal. Jegyezze fel továbbá, hogy egyes tulajdonságok, amelyek a STIX-hez érvényesek, nem rendelkeznek megfelelő objektumséma-tulajdonságokkal a Microsoft Sentinelben.

Általános tulajdonságok

A feltöltési API-val importált összes objektum megosztja ezeket a gyakori tulajdonságokat.

Tulajdonság neve Típus Leírás
id (kötelező) húr A STIX-objektum azonosítására használt azonosító. További információt a 2.9. szakaszban talál a létrehozás idmódjáról. A formátum a következőképpen néz ki: indicator--<UUID>
spec_version (nem kötelező) húr STIX-objektum verziója. Ez az érték kötelező az STIX specifikációban, de mivel ez az API csak az STIX 2.0-t és a 2.1-et támogatja, ha nincs beállítva ez a mező, az API alapértelmezés szerint a következőre van beállítva: 2.1
type (kötelező) húr A tulajdonság értékének támogatott STIX-objektumnak kell lennie.
created (kötelező) időbélyeg A közös tulajdonság specifikációiért lásd a 3.2. szakaszt.
created_by_ref (nem kötelező) húr A created_by_ref tulajdonság az objektumot létrehozó entitás azonosító tulajdonságát adja meg.

Ha ez az attribútum nincs megadva, az információ forrása nincs meghatározva. Azoknak az objektumkészítőknek, akik névtelenek szeretnének maradni, ne definiálják ezt az értéket.
modified (kötelező) időbélyeg A közös tulajdonság specifikációiért lásd a 3.2. szakaszt.
revoked (nem kötelező) Logikai A visszavont objektumokat az objektum létrehozója már nem tekinti érvényesnek. Az objektum visszavonása végleges; ezzel idaz objektum jövőbeli verziói nem hozhatók létre.

A tulajdonság alapértelmezett értéke hamis.
labels (nem kötelező) sztringek listája A labels tulajdonság az objektum leírásához használt kifejezések készletét adja meg. A kifejezések felhasználó által definiált vagy megbízhatósági csoportként vannak definiálva. Ezek a címkék címkékként jelennek meg a Microsoft Sentinelben.
confidence (nem kötelező) egész szám A confidence tulajdonság azonosítja azt a megbízhatóságot, amelyet a létrehozó az adatai helyességében ad meg. A megbízhatósági értéknek 0 és 100 közötti számnak kell lennie.

Az A függelék az egyéb megbízhatósági skálákra vonatkozó normatív leképezéseket tartalmazó táblázatot tartalmaz, amelyet a megbízhatósági értéknek az egyik ilyen skálán való megjelenítésekor kell használni.

Ha a megbízhatósági tulajdonság nem jelenik meg, akkor a tartalom megbízhatósága nincs meghatározva.
lang (nem kötelező) húr A lang tulajdonság azonosítja az objektum szöveges tartalmának nyelvét. Jelen esetben a RFC5646 megfelelő nyelvi kódnak kell lennie. Ha a tulajdonság nem található, akkor a tartalom en nyelve (angol).

Ennek a tulajdonságnak jelen kell lennie, ha az objektumtípus lefordítható szövegtulajdonságokat (például nevet, leírást) tartalmaz.

Az objektum egyes mezőinek nyelve felülírhatja a lang tulajdonságot részletes jelölésekben (lásd a 7.2.3. szakaszt).
object_marking_refs (nem kötelező, beleértve a TLP-t is) sztringek listája A object_marking_refs tulajdonság az objektumra vonatkozó jelölésdefiníciós objektumok azonosító tulajdonságainak listáját adja meg. Használja például a Traffic Light Protocol (TLP) jelölődefiníció azonosítóját a mutatóforrás érzékenységének meghatározásához. A TLP-tartalomhoz használandó jelölésdefiníciós azonosítók részleteiért lásd a 7.2.1.4 szakaszt

Bizonyos esetekben, bár nem gyakori, a definíciók megjelölése megosztási vagy kezelési útmutatóval is megjelölhető. Ebben az esetben ez a tulajdonság nem tartalmazhat ugyanahhoz a jelölésdefiníciós objektumhoz való hivatkozást (azaz nem tartalmazhat körkörös hivatkozásokat).

Az adatjelölések további meghatározásához lásd a 7.2.2. szakaszt.
external_references (nem kötelező) objektumlista A external_references tulajdonság olyan külső hivatkozások listáját adja meg, amelyek nem STIX-információkra hivatkoznak. Ez a tulajdonság egy vagy több URL-cím, leírás vagy azonosító megadására szolgál más rendszerek rekordjai számára.
granular_markings (nem kötelező) részletes jelölések listája A granular_markings tulajdonság segít a mutató részeinek eltérő meghatározásában. A mutató nyelve például angol, en de a leírás német. de

Bizonyos esetekben, bár nem gyakori, a definíciók megjelölése megosztási vagy kezelési útmutatóval is megjelölhető. Ebben az esetben ez a tulajdonság nem tartalmazhat ugyanahhoz a jelölésdefiníciós objektumhoz való hivatkozást (azaz nem tartalmazhat körkörös hivatkozásokat).

Az adatjelölések további meghatározásához lásd a 7.2.3. szakaszt.

További információkért lásd a STIX gyakori tulajdonságait.

Kijelző

Tulajdonság neve Típus Leírás
name (nem kötelező) húr A mutató azonosítására használt név.

A gyártóknak ezt a tulajdonságot kell biztosítaniuk, hogy segítsenek a termékeknek és az elemzőknek megérteni, hogy ez a mutató valójában mit tesz.
description (nem kötelező) húr Egy leírás, amely további részleteket és kontextust biztosít a mutatóról, beleértve annak célját és főbb jellemzőit is.

A gyártóknak ezt a tulajdonságot kell biztosítaniuk, hogy segítsenek a termékeknek és az elemzőknek megérteni, hogy ez a mutató valójában mit tesz.
indicator_types (nem kötelező) sztringek listája Kategorizálások halmaza ehhez a mutatóhoz.

A tulajdonság értékeinek a indicator-type-ov értékéből kell származnia
pattern (kötelező) húr Ennek a mutatónak az észlelési mintája STIX-mintázatként vagy más megfelelő nyelvként( például SNORT, YARA stb.) fejezhető ki.
pattern_type (kötelező) húr Az ebben a mutatóban használt mintanyelv.

A tulajdonság értékének mintatípusokból kell származnia.

A tulajdonság értékének meg kell egyeznie a mintatulajdonságban szereplő mintaadatok típusával.
pattern_version (nem kötelező) húr A mintatulajdonság adataihoz használt mintanyelv verziója, amelynek meg kell egyeznie a mintatulajdonságban szereplő mintaadatok típusával.

Olyan minták esetében, amelyek nem rendelkeznek hivatalos specifikációval , a minta által ismert build- vagy kódverziót kell használni.

A STIX-mintanyelv esetében az objektum specifikációs verziója határozza meg az alapértelmezett értéket.

Más nyelvek esetében az alapértelmezett értéknek a mintázó nyelv legújabb verziójának kell lennie az objektum létrehozásakor.
valid_from (kötelező) időbélyeg Az az idő, amelytől ezt a mutatót érvényesnek tekintik azoknak a viselkedéseknek a jelzésére, amelyekhez kapcsolódik vagy jelöl.
valid_until (nem kötelező) időbélyeg Az az időpont, amikor ez a mutató már nem tekinthető érvényes mutatónak azoknak a viselkedéseknek, amelyekhez kapcsolódik vagy jelöl.

Ha a valid_until tulajdonság nincs megadva, akkor nincs korlátozás arra az időpontra vonatkozóan, amelyre a mutató érvényes.

Ennek az időbélyegnek nagyobbnak kell lennie, mint a valid_from időbélyeg.
kill_chain_phases (nem kötelező) sztringlista A kiölési lánc fázisai, amelyeknek ez a mutató megfelel.

A tulajdonság értékének a Kill Chain fázisból kell származnia.

További információ: STIX-mutató.

Támadási minta

További információ: STIX támadási minta.

Identitás

További információ: STIX-identitás.

Fenyegetés szereplője

További információ: STIX threat actor.

Kapcsolat

További információ: STIX-kapcsolat.

A válaszüzenet feldolgozása

A válaszfejléc egy HTTP-állapotkódot tartalmaz. Ebben a táblázatban további információt talál az API-hívás eredményének értelmezéséről.

Állapotkód Leírás
200 Sikeres. Az API 200 értéket ad vissza, ha egy vagy több STIX-objektum ellenőrzése és közzététele sikeresen megtörtént.
400 Rossz formátum. A kérésben szereplő valami nem megfelelően van formázva.
401 Nem engedélyezett.
404 A fájl nem található. Ez a hiba általában akkor fordul elő, ha a munkaterület azonosítója nem található.
429 Egy perc alatt túllépte a kérelmek maximális számát.
500 Kiszolgálóhiba. Általában hiba az API-ban vagy a Microsoft Sentinel-szolgáltatásokban.

A válasz törzse egy JSON formátumú hibaüzenetek tömbje:

Mezőnév Adattípus Leírás
Hibák Hibaobjektumok tömbje Érvényesítési hibák listája

Hibaobjektum

Mezőnév Adattípus Leírás
recordIndex egész A kérelemBEN szereplő STIX-objektumok indexe
errorMessages Sztringek tömbje Hibaüzenetek

Az API szabályozási korlátai

Minden korlátozás felhasználónként van alkalmazva:

  • Kérésenként 100 objektum.
  • Percenként 100 kérés.

Ha a korlátnál több kérés van, 429 a válaszfejlécben található HTTP-állapotkód a következő választörzsgel lesz visszaadva:

{
    "statusCode": 429,
    "message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}

Körülbelül 10 000 objektum/perc a maximális átviteli sebesség a szabályozási hiba fogadása előtt.

Mintajelző kérelem törzse

Az alábbi példa bemutatja, hogyan jelölhet két mutatót a STIX-specifikációban. Test Indicator 2 kiemeli a Traffic Light Protocol (TLP) fehérre állított, a leképezett objektum megjelölésével, valamint a leírás és a címkék angol nyelvű egyértelműsítésével.

{
    "sourcesystem": "test", 
    "stixobjects":[
        {
            "type": "indicator",
            "spec_version": "2.1",
            "id": "indicator--10000003-71a2-445c-ab86-927291df48f8", 
            "name": "Test Indicator 1",
            "created": "2010-02-26T18:29:07.778Z", 
            "modified": "2011-02-26T18:29:07.778Z",
            "pattern": "[ipv4-addr:value = '172.29.6.7']", 
            "pattern_type": "stix",
            "valid_from": "2015-02-26T18:29:07.778Z"
        },
        {
            "type": "indicator",
            "spec_version": "2.1",
            "id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52", 
            "created": "2023-01-01T18:29:07.778Z",
            "modified": "2025-02-26T18:29:07.778Z",
            "created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7", 
            "revoked": false,
            "labels": [
                "label 1",
                "label 2"
            ],
            "confidence": 55, 
            "lang": "en", 
            "external_references": [
                {
                    "source_name": "External Test Source", 
                    "description": "Test Report",
                    "external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f", 
                    "url": "https://fabrikam.com//testreport.json",
                    "hashes": {
                        "SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
                    }
                }
            ],
            "object_marking_refs": [
                "marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
            ],
            "granular_markings": [
                {
                    "marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80", 
                    "selectors": [ "description", "labels" ],
                    "lang": "en"
                }
            ],
            "name": "Test Indicator 2",
            "description": "This is a test indicator to demo valid fields", 
            "indicator_types": [
                "threatstream-severity-low", "threatstream-confidence-80"
            ],
            "pattern": "[ipv4-addr:value = '192.168.1.1']", 
            "pattern_type": "stix",
            "pattern_version": "2.1",
            "valid_from": "2023-01-01T18:29:07.778Z", 
            "valid_until": "2025-02-26T18:29:07.778Z",
            "kill_chain_phases": [
                {
                    "kill_chain_name": "lockheed-martin-cyber-kill-chain", 
                    "phase_name": "reconnaissance"
                }
            ]
        }
    ]
}

Minta választörzs érvényesítési hibával

Ha az összes STIX-objektum ellenőrzése sikeresen megtörtént, a HTTP 200-állapotot egy üres választörzs adja vissza.

Ha egy vagy több objektum ellenőrzése sikertelen, a válasz törzse több információval lesz visszaadva. Ha például négy mutatót tartalmazó tömböt küld, és az első három jó, de a negyedik nem rendelkezik id (kötelező mezővel), akkor a rendszer a következő törzstel együtt létrehoz egy HTTP-állapotkódot 200-ra:

{
    "errors": [
        {
            "recordIndex":3, 
            "errorMessages": [
                "Error for Property=id: Required property is missing. Actual value: NULL."
            ]
        }
    ]
}

Az objektumok tömbként lesznek elküldve, így a kezdet a recordIndex következő lesz 0: .

Egyéb minták

Mintajelző

Ebben a példában a mutató zöld TLP-vel van megjelölve a object_marking_refs közös tulajdonság használatávalmarking-definition--089a6ecb-cc15-43cc-9494-767639779123. További bővítményattribútumok toxicityrank is szerepelnek benne. Bár ezek a tulajdonságok nem szerepelnek a Mutatók Microsoft Sentinel sémájában, az objektumok ilyen tulajdonságokkal való betöltése nem okoz hibát. A tulajdonságok egyszerűen nincsenek hivatkozva vagy indexelve a munkaterületen.

{
    "sourcesystem": "TestStixObjects",
    "stixobjects": [
    {
          "type": "indicator",
          "spec_version": "2.1",
          "id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
          "created": "2010-02-26T18:29:07.778Z",
          "modified": "2011-02-26T18:29:07.778Z",
          "created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
          "revoked": true,
          "labels": [
            "heartbleed",
            "has-logo"
          ],
          "confidence": 55,
          "lang": "en",
          "external_references": [
            {
              "source_name": "veris",
              "description": "Threat report",
              "external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
              "url": "https://abc.com//example.json",
              "hashes": {
                "SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
              }
            }
          ],
          "object_marking_refs": [
            "marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
          ],
          "granular_markings": [
            {
              "marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
              "selectors": [
                "description",
                "labels"
              ],
              "lang": "en"
            }
          ],
          "extensions": {
            "extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
              "extension_type": "property-extension",
              "rank": 5,
              "toxicity": 8
            }
          },
          "name": "Indicator 2.1 Test",
          "description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
          "indicator_types": [
            "threatstream-severity-low",
            "threatstream-confidence-80"
          ],
          "pattern": "[ipv4-addr:value = '94.102.52.185']",
          "pattern_type": "stix",
          "pattern_version": "2.1",
          "valid_from": "2015-02-26T18:29:07.778Z",
          "valid_until": "2016-02-26T18:29:07.778Z",
          "kill_chain_phases": [
            {
              "kill_chain_name": "lockheed-martin-cyber-kill-chain",
              "phase_name": "reconnaissance"
            }
          ]
        }
    ]
}

Minta támadási minta

{
    "sourcesystem": "TestStixObjects",
    "stixobjects": [
        {
          "type": "attack-pattern",
          "spec_version": "2.1",
          "id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
          "created": "2015-05-15T09:12:16.432Z",
          "modified": "2015-05-20T09:12:16.432Z",
          "created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
          "revoked": false,
          "labels": [
            "heartbleed",
            "has-logo"
          ],
          "confidence": 55,
          "lang": "en",
          "object_marking_refs": [
            "marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
          ],
          "granular_markings": [
            {
              "marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
              "selectors": [
                "description",
                "labels"
              ],
              "lang": "en"
            }
          ],
          "extensions": {
            "extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
              "extension_type": "property-extension",
              "rank": 5,
              "toxicity": 8
            }
          },
          "external_references": [
            {
              "source_name": "capec",
              "description": "spear phishing",
              "external_id": "CAPEC-163"
            }
          ],
          "name": "Attack Pattern 2.1",
          "description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
          "kill_chain_phases": [
            {
              "kill_chain_name": "mandiant-attack-lifecycle-model",
              "phase_name": "initial-compromise"
            }
          ],
          "aliases": [
            "alias_1",
            "alias_2"
          ]
        }
    ]
}

Mintakapcsolat a fenyegetés szereplőjével és identitásával

{
    "sourcesystem": "TestStixObjects",
    "stixobjects": [
    {
          "type": "identity",
          "spec_version": "2.1",
          "id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
          "created": "2016-08-23T18:05:49.307Z",
          "modified": "2016-08-23T18:05:49.307Z",
          "name": "Identity 2.1",
          "description": "Disco Team is the name of an organized threat actor crime-syndicate.",
          "identity_class": "organization",
          "contact_information": "disco-team@stealthemail.com",
          "roles": [
            "administrators"
          ],
          "sectors": [
            "education"
          ],
          "created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
          "revoked": true,
          "labels": [
            "heartbleed",
            "has-logo"
          ],
          "confidence": 55,
          "lang": "en",
          "external_references": [
            {
              "source_name": "veris",
              "description": "Threat report",
              "external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
              "url": "https://abc.com//example.json",
              "hashes": {
                "SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
              }
            }
          ],
          "object_marking_refs": [
            "marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
          ],
          "granular_markings": [
            {
              "marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
              "selectors": [
                "description",
                "labels"
              ],
              "lang": "en"
            }
          ]
        },
        {
          "type": "threat-actor",
          "spec_version": "2.1",
          "id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
          "created": "2014-11-19T23:39:03.893Z",
          "modified": "2014-11-19T23:39:03.893Z",
          "created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
          "revoked": true,
          "labels": [
            "heartbleed",
            "has-logo"
          ],
          "confidence": 55,
          "lang": "en",
          "external_references": [
            {
              "source_name": "veris",
              "description": "Threat report",
              "external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
              "url": "https://abc.com//example.json",
              "hashes": {
                "SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
              }
            }
          ],
          "object_marking_refs": [
            "marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
          ],
          "granular_markings": [
            {
              "marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
              "selectors": [
                "description",
                "labels"
              ],
              "lang": "en"
            }
          ],
          "name": "Threat Actor 2.1",
          "description": "This organized threat actor group operates to create profit from all types of crime.",
          "threat_actor_types": [
            "crime-syndicate"
          ],
          "aliases": [
            "Equipo del Discoteca"
          ],
          "first_seen": "2014-01-19T23:39:03.893Z",
          "last_seen": "2014-11-19T23:39:03.893Z",
          "roles": [
            "agent"
          ],
          "goals": [
            "Steal Credit Card Information"
          ],
          "sophistication": "expert",
          "resource_level": "organization",
          "primary_motivation": "personal-gain",
          "secondary_motivations": [
            "dominance"
          ],
          "personal_motivations": [
            "revenge"
          ]
        },
        {
          "type": "relationship",
          "spec_version": "2.1",
          "id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
          "created": "2020-02-29T18:01:28.577Z",
          "modified": "2020-02-29T18:01:28.577Z",
          "relationship_type": "attributed-to",
          "description": "Description Relationship 2.1",
          "source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
          "target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
          "start_time": "2020-02-29T18:01:28.577Z",
          "stop_time": "2020-03-01T18:01:28.577Z",
          "created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
          "revoked": true,
          "labels": [
            "heartbleed",
            "has-logo"
          ],
          "confidence": 55,
          "lang": "en",
          "external_references": [
            {
              "source_name": "veris",
              "description": "Threat report",
              "external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
              "url": "https://abc.com//example.json",
              "hashes": {
                "SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
              }
            }
          ],
          "object_marking_refs": [
            "marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
          ],
          "granular_markings": [
            {
              "marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
              "selectors": [
                "description",
                "labels"
              ],
              "lang": "en"
            }
          ]
        }
    ]
}

Következő lépések

A fenyegetésintelligencia Microsoft Sentinelben való használatáról az alábbi cikkekben olvashat bővebben: