Fenyegetésintelligencia importálása a Microsoft Sentinelbe a feltöltési API-val (előzetes verzió)
A Microsoft Sentinelben a feltöltési API-val használandó fenyegetésintelligencia importálása. Akár fenyegetésfelderítési platformot, akár egyéni alkalmazást használ, használja ezt a dokumentumot kiegészítő hivatkozásként a TIPP csatlakoztatása a feltöltési API-hoz című témakörben található utasításokra. Az API-hoz való csatlakozáshoz nem szükséges telepíteni az adatösszekötőt. Az importálható fenyegetésintelligencia biztonsági réseket és más STIX-tartományobjektumokat is tartalmaz.
Fontos
Ez az API jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A strukturált fenyegetésinformációs kifejezés (STIX) a kiberfenyegetések és a megfigyelhető információk kifejezésére szolgáló nyelv. A feltöltési API a következő tartományi objektumok fokozott támogatását tartalmazza:
- indikátor
- támadási minta
- fenyegetési szereplő
- identitás
- kapcsolat
További információ: Bevezetés a STIX használatába.
Feljegyzés
Az előző feltöltési mutatók API már örökölt. Ha az új feltöltési API-ra való áttérés során hivatkoznia kell erre az API-ra, tekintse meg az örökölt feltöltési mutatók API-t.
Az API hívása
A feltöltési API hívása öt összetevőből áll:
- A kérelem URI-ja
- HTTP-kérelem üzenetfejléce
- HTTP-kérés üzenettörzse
- A HTTP-válaszüzenet fejlécének feldolgozása opcionálisan
- A HTTP válaszüzenet törzsének feldolgozása opcionálisan
Ügyfélalkalmazás regisztrálása a Microsoft Entra-azonosítóval
A Microsoft Sentinel felé történő hitelesítéshez a feltöltési API-ra irányuló kéréshez érvényes Microsoft Entra hozzáférési jogkivonatra van szükség. Az alkalmazásregisztrációval kapcsolatos további információkért lásd: Alkalmazás regisztrálása a Microsoft Identitásplatform vagy az alapvető lépések a fenyegetésfelderítés csatlakoztatása és a feltöltési API beállítása részeként.
Ez az API megköveteli, hogy a hívó Microsoft Entra-alkalmazás megkapja a Microsoft Sentinel közreműködői szerepkört a munkaterület szintjén.
A kérés létrehozása
Ez a szakasz a korábban tárgyalt öt összetevő közül az első háromat ismerteti. Először be kell szereznie a hozzáférési jogkivonatot a Microsoft Entra-azonosítóból, amelyet a kérésüzenet fejlécének összeállításához használ.
Hozzáférési jogkivonat beszerzése
Microsoft Entra hozzáférési jogkivonat beszerzése OAuth 2.0-hitelesítéssel. A V1.0 és a V2.0 az API által elfogadott érvényes jogkivonatok.
A jogkivonat (1.0-s vagy 2.0-s verzió) verzióját az accessTokenAcceptedVersion alkalmazás által hívott API alkalmazásjegyzékében lévő tulajdonság határozza meg. Ha accessTokenAcceptedVersion 1 értékre van állítva, akkor az alkalmazás egy 1.0-s jogkivonatot kap.
A Microsoft Authentication Library (MSAL) használatával beszerezhet egy 1.0-s vagy 2.0-s verziós hozzáférési jogkivonatot. Vagy küldjön kéréseket a REST API-nak a következő formátumban:
- POSTA
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token - Fejlécek a Microsoft Entra App használatához:
- grant_type: "client_credentials"
- client_id: {A Microsoft Entra App ügyfél-azonosítója}
- client_secret: {a Microsoft Entra App titkos kódja}
- kiterjedés:
"https://management.azure.com/.default"
Ha accessTokenAcceptedVersion az alkalmazásjegyzékben 1 érték van beállítva, az alkalmazás 1.0-s hozzáférési jogkivonatot kap annak ellenére, hogy meghívja a v2-jogkivonat végpontját.
Az erőforrás/hatókör értéke a jogkivonat célközönsége. Ez az API csak a következő célközönségeket fogadja el:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
A kérelemüzenet összeállítása
Kérés URI-ja
API-verziószámozás: api-version=2024-02-01-preview
Végpont: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
Módszer: POST
Kérelem fejléce
Authorization: Az OAuth2 tulajdonosi jogkivonatát tartalmazza
Content-Type: application/json
Kérés törzse
A törzs JSON-objektuma a következő mezőket tartalmazza:
| Mezőnév | Adattípus | Leírás |
|---|---|---|
sourcesystem (kötelező) |
húr | Azonosítsa a forrásrendszer nevét. Az érték Microsoft Sentinel korlátozott. |
stixobjects (kötelező) |
array | STIX-objektumok tömbje STIX 2.0 vagy 2.1 formátumban |
A STIX-objektumok tömbjének létrehozása a STIX formátumspecifikáció használatával. A STIX-tulajdonság specifikációinak némelyike itt kibővült az Ön kényelme érdekében a vonatkozó STIX-dokumentumszakaszokra mutató hivatkozásokkal. Jegyezze fel továbbá, hogy egyes tulajdonságok, amelyek a STIX-hez érvényesek, nem rendelkeznek megfelelő objektumséma-tulajdonságokkal a Microsoft Sentinelben.
Általános tulajdonságok
A feltöltési API-val importált összes objektum megosztja ezeket a gyakori tulajdonságokat.
| Tulajdonság neve | Típus | Leírás |
|---|---|---|
id (kötelező) |
húr | A STIX-objektum azonosítására használt azonosító. További információt a 2.9. szakaszban talál a létrehozás idmódjáról. A formátum a következőképpen néz ki: indicator--<UUID> |
spec_version (nem kötelező) |
húr | STIX-objektum verziója. Ez az érték kötelező az STIX specifikációban, de mivel ez az API csak az STIX 2.0-t és a 2.1-et támogatja, ha nincs beállítva ez a mező, az API alapértelmezés szerint a következőre van beállítva: 2.1 |
type (kötelező) |
húr | A tulajdonság értékének támogatott STIX-objektumnak kell lennie. |
created (kötelező) |
időbélyeg | A közös tulajdonság specifikációiért lásd a 3.2. szakaszt. |
created_by_ref (nem kötelező) |
húr | A created_by_ref tulajdonság az objektumot létrehozó entitás azonosító tulajdonságát adja meg. Ha ez az attribútum nincs megadva, az információ forrása nincs meghatározva. Azoknak az objektumkészítőknek, akik névtelenek szeretnének maradni, ne definiálják ezt az értéket. |
modified (kötelező) |
időbélyeg | A közös tulajdonság specifikációiért lásd a 3.2. szakaszt. |
revoked (nem kötelező) |
Logikai | A visszavont objektumokat az objektum létrehozója már nem tekinti érvényesnek. Az objektum visszavonása végleges; ezzel idaz objektum jövőbeli verziói nem hozhatók létre.A tulajdonság alapértelmezett értéke hamis. |
labels (nem kötelező) |
sztringek listája | A labels tulajdonság az objektum leírásához használt kifejezések készletét adja meg. A kifejezések felhasználó által definiált vagy megbízhatósági csoportként vannak definiálva. Ezek a címkék címkékként jelennek meg a Microsoft Sentinelben. |
confidence (nem kötelező) |
egész szám | A confidence tulajdonság azonosítja azt a megbízhatóságot, amelyet a létrehozó az adatai helyességében ad meg. A megbízhatósági értéknek 0 és 100 közötti számnak kell lennie.Az A függelék az egyéb megbízhatósági skálákra vonatkozó normatív leképezéseket tartalmazó táblázatot tartalmaz, amelyet a megbízhatósági értéknek az egyik ilyen skálán való megjelenítésekor kell használni. Ha a megbízhatósági tulajdonság nem jelenik meg, akkor a tartalom megbízhatósága nincs meghatározva. |
lang (nem kötelező) |
húr | A lang tulajdonság azonosítja az objektum szöveges tartalmának nyelvét. Jelen esetben a RFC5646 megfelelő nyelvi kódnak kell lennie. Ha a tulajdonság nem található, akkor a tartalom en nyelve (angol).Ennek a tulajdonságnak jelen kell lennie, ha az objektumtípus lefordítható szövegtulajdonságokat (például nevet, leírást) tartalmaz. Az objektum egyes mezőinek nyelve felülírhatja a lang tulajdonságot részletes jelölésekben (lásd a 7.2.3. szakaszt). |
object_marking_refs (nem kötelező, beleértve a TLP-t is) |
sztringek listája | A object_marking_refs tulajdonság az objektumra vonatkozó jelölésdefiníciós objektumok azonosító tulajdonságainak listáját adja meg. Használja például a Traffic Light Protocol (TLP) jelölődefiníció azonosítóját a mutatóforrás érzékenységének meghatározásához. A TLP-tartalomhoz használandó jelölésdefiníciós azonosítók részleteiért lásd a 7.2.1.4 szakaszt Bizonyos esetekben, bár nem gyakori, a definíciók megjelölése megosztási vagy kezelési útmutatóval is megjelölhető. Ebben az esetben ez a tulajdonság nem tartalmazhat ugyanahhoz a jelölésdefiníciós objektumhoz való hivatkozást (azaz nem tartalmazhat körkörös hivatkozásokat). Az adatjelölések további meghatározásához lásd a 7.2.2. szakaszt. |
external_references (nem kötelező) |
objektumlista | A external_references tulajdonság olyan külső hivatkozások listáját adja meg, amelyek nem STIX-információkra hivatkoznak. Ez a tulajdonság egy vagy több URL-cím, leírás vagy azonosító megadására szolgál más rendszerek rekordjai számára. |
granular_markings (nem kötelező) |
részletes jelölések listája | A granular_markings tulajdonság segít a mutató részeinek eltérő meghatározásában. A mutató nyelve például angol, en de a leírás német. deBizonyos esetekben, bár nem gyakori, a definíciók megjelölése megosztási vagy kezelési útmutatóval is megjelölhető. Ebben az esetben ez a tulajdonság nem tartalmazhat ugyanahhoz a jelölésdefiníciós objektumhoz való hivatkozást (azaz nem tartalmazhat körkörös hivatkozásokat). Az adatjelölések további meghatározásához lásd a 7.2.3. szakaszt. |
További információkért lásd a STIX gyakori tulajdonságait.
Kijelző
| Tulajdonság neve | Típus | Leírás |
|---|---|---|
name (nem kötelező) |
húr | A mutató azonosítására használt név. A gyártóknak ezt a tulajdonságot kell biztosítaniuk, hogy segítsenek a termékeknek és az elemzőknek megérteni, hogy ez a mutató valójában mit tesz. |
description (nem kötelező) |
húr | Egy leírás, amely további részleteket és kontextust biztosít a mutatóról, beleértve annak célját és főbb jellemzőit is. A gyártóknak ezt a tulajdonságot kell biztosítaniuk, hogy segítsenek a termékeknek és az elemzőknek megérteni, hogy ez a mutató valójában mit tesz. |
indicator_types (nem kötelező) |
sztringek listája | Kategorizálások halmaza ehhez a mutatóhoz. A tulajdonság értékeinek a indicator-type-ov értékéből kell származnia |
pattern (kötelező) |
húr | Ennek a mutatónak az észlelési mintája STIX-mintázatként vagy más megfelelő nyelvként( például SNORT, YARA stb.) fejezhető ki. |
pattern_type (kötelező) |
húr | Az ebben a mutatóban használt mintanyelv. A tulajdonság értékének mintatípusokból kell származnia. A tulajdonság értékének meg kell egyeznie a mintatulajdonságban szereplő mintaadatok típusával. |
pattern_version (nem kötelező) |
húr | A mintatulajdonság adataihoz használt mintanyelv verziója, amelynek meg kell egyeznie a mintatulajdonságban szereplő mintaadatok típusával. Olyan minták esetében, amelyek nem rendelkeznek hivatalos specifikációval , a minta által ismert build- vagy kódverziót kell használni. A STIX-mintanyelv esetében az objektum specifikációs verziója határozza meg az alapértelmezett értéket. Más nyelvek esetében az alapértelmezett értéknek a mintázó nyelv legújabb verziójának kell lennie az objektum létrehozásakor. |
valid_from (kötelező) |
időbélyeg | Az az idő, amelytől ezt a mutatót érvényesnek tekintik azoknak a viselkedéseknek a jelzésére, amelyekhez kapcsolódik vagy jelöl. |
valid_until (nem kötelező) |
időbélyeg | Az az időpont, amikor ez a mutató már nem tekinthető érvényes mutatónak azoknak a viselkedéseknek, amelyekhez kapcsolódik vagy jelöl. Ha a valid_until tulajdonság nincs megadva, akkor nincs korlátozás arra az időpontra vonatkozóan, amelyre a mutató érvényes. Ennek az időbélyegnek nagyobbnak kell lennie, mint a valid_from időbélyeg. |
kill_chain_phases (nem kötelező) |
sztringlista | A kiölési lánc fázisai, amelyeknek ez a mutató megfelel. A tulajdonság értékének a Kill Chain fázisból kell származnia. |
További információ: STIX-mutató.
Támadási minta
További információ: STIX támadási minta.
Identitás
További információ: STIX-identitás.
Fenyegetés szereplője
További információ: STIX threat actor.
Kapcsolat
További információ: STIX-kapcsolat.
A válaszüzenet feldolgozása
A válaszfejléc egy HTTP-állapotkódot tartalmaz. Ebben a táblázatban további információt talál az API-hívás eredményének értelmezéséről.
| Állapotkód | Leírás |
|---|---|
| 200 | Sikeres. Az API 200 értéket ad vissza, ha egy vagy több STIX-objektum ellenőrzése és közzététele sikeresen megtörtént. |
| 400 | Rossz formátum. A kérésben szereplő valami nem megfelelően van formázva. |
| 401 | Nem engedélyezett. |
| 404 | A fájl nem található. Ez a hiba általában akkor fordul elő, ha a munkaterület azonosítója nem található. |
| 429 | Egy perc alatt túllépte a kérelmek maximális számát. |
| 500 | Kiszolgálóhiba. Általában hiba az API-ban vagy a Microsoft Sentinel-szolgáltatásokban. |
A válasz törzse egy JSON formátumú hibaüzenetek tömbje:
| Mezőnév | Adattípus | Leírás |
|---|---|---|
| Hibák | Hibaobjektumok tömbje | Érvényesítési hibák listája |
Hibaobjektum
| Mezőnév | Adattípus | Leírás |
|---|---|---|
| recordIndex | egész | A kérelemBEN szereplő STIX-objektumok indexe |
| errorMessages | Sztringek tömbje | Hibaüzenetek |
Az API szabályozási korlátai
Minden korlátozás felhasználónként van alkalmazva:
- Kérésenként 100 objektum.
- Percenként 100 kérés.
Ha a korlátnál több kérés van, 429 a válaszfejlécben található HTTP-állapotkód a következő választörzsgel lesz visszaadva:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
Körülbelül 10 000 objektum/perc a maximális átviteli sebesség a szabályozási hiba fogadása előtt.
Mintajelző kérelem törzse
Az alábbi példa bemutatja, hogyan jelölhet két mutatót a STIX-specifikációban.
Test Indicator 2 kiemeli a Traffic Light Protocol (TLP) fehérre állított, a leképezett objektum megjelölésével, valamint a leírás és a címkék angol nyelvű egyértelműsítésével.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Minta választörzs érvényesítési hibával
Ha az összes STIX-objektum ellenőrzése sikeresen megtörtént, a HTTP 200-állapotot egy üres választörzs adja vissza.
Ha egy vagy több objektum ellenőrzése sikertelen, a válasz törzse több információval lesz visszaadva. Ha például négy mutatót tartalmazó tömböt küld, és az első három jó, de a negyedik nem rendelkezik id (kötelező mezővel), akkor a rendszer a következő törzstel együtt létrehoz egy HTTP-állapotkódot 200-ra:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
Az objektumok tömbként lesznek elküldve, így a kezdet a recordIndex következő lesz 0: .
Egyéb minták
Mintajelző
Ebben a példában a mutató zöld TLP-vel van megjelölve a object_marking_refs közös tulajdonság használatávalmarking-definition--089a6ecb-cc15-43cc-9494-767639779123. További bővítményattribútumok toxicityrank is szerepelnek benne. Bár ezek a tulajdonságok nem szerepelnek a Mutatók Microsoft Sentinel sémájában, az objektumok ilyen tulajdonságokkal való betöltése nem okoz hibát. A tulajdonságok egyszerűen nincsenek hivatkozva vagy indexelve a munkaterületen.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Minta támadási minta
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
Mintakapcsolat a fenyegetés szereplőjével és identitásával
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
Következő lépések
A fenyegetésintelligencia Microsoft Sentinelben való használatáról az alábbi cikkekben olvashat bővebben:
- A fenyegetésintelligencia ismertetése
- Veszélyforrások jelzőinek működése
- A fenyegetések észleléséhez használjon egyező elemzést
- A Microsofttól származó hírcsatorna használata és az MDTI-adatösszekötő engedélyezése