CSV veya JSON dosyasından Microsoft Sentinel'e toplu olarak tehdit bilgileri ekleme

Bu makalede, JSON dosyasındaki CSV veya STIX nesnelerinden Microsoft Sentinel tehdit bilgilerine nasıl gösterge ekleneceği gösterilmektedir. Devam eden bir araştırma sırasında e-postalarda ve diğer resmi olmayan kanallarda tehdit bilgileri paylaşımı devam ettiğinden, bu bilgileri hızla Microsoft Sentinel'e aktarabilmek, ortaya çıkan tehditleri ekibinize aktarmak için önemlidir. Bu tanımlanan tehditler daha sonra güvenlik uyarıları, olaylar ve otomatik yanıtlar oluşturma gibi diğer analizlere güç sağlamak için kullanılabilir.

Önkoşullar

Tehdit bilgilerinizi depolamak için Microsoft Sentinel çalışma alanında okuma ve yazma izinleriniz olmalıdır.

Tehdit bilgileri için bir içeri aktarma şablonu seçin

Özel olarak hazırlanmış bir CSV veya JSON dosyasıyla birden çok tehdit bilgisi nesnesi ekleyin. Alanlara ve sahip olduğunuz verilerle nasıl eşlediklerine aşina olmak için dosya şablonlarını indirin. Verilerinizi içeri aktarmadan önce doğrulamak için her şablon türü için gerekli alanları gözden geçirin.

1. Azure portalında Microsoft Sentinel için Tehdit yönetimi'nin altında Tehdit bilgileri'ni seçin.

   Defender portalında Microsoft Sentinel için Microsoft Sentinel>Tehdit yönetimi>Tehdit bilgileri'ni seçin.

2. Dosya kullanarak İçeri Aktar'ı>seçin.

   • Azure portalı
   • Defender portalı

   

3. Dosya biçimi açılan menüsünde CSV veya JSON'ı seçin.

   

   Not

   CSV şablonu yalnızca göstergeleri destekler. JSON şablonu, göstergeleri ve tehdit aktörleri, saldırı düzenleri, kimlikler ve ilişkiler gibi diğer STIX nesnelerini destekler. JSON'da desteklenen STIX nesneleri oluşturma hakkında daha fazla bilgi için bkz . API başvurusunu karşıya yükleme.

4. Toplu karşıya yükleme şablonunu seçtikten sonra Şablonu indir bağlantısını seçin.

5. Her dosya karşıya yükleme işlemi için bir tane gerektiğinden tehdit bilgilerinizi kaynağa göre gruplandırmayı göz önünde bulundurun.

Şablonlar, gerekli alanlar ve doğrulama parametreleri dahil olmak üzere tek bir geçerli gösterge oluşturmak için ihtiyacınız olan tüm alanları sağlar. Bir dosyada daha fazla göstergeyi doldurmak için bu yapıyı çoğaltın veya JSON dosyasına STIX nesneleri ekleyin. Şablonlar hakkında daha fazla bilgi için bkz . İçeri aktarma şablonlarını anlama.

Tehdit bilgileri dosyasını karşıya yükleme

1. Varsayılan şablondan dosya adını değiştirin, ancak dosya uzantısını .csv veya .json olarak tutun. Benzersiz bir dosya adı oluşturduğunuzda, dosya içeri aktarmalarını yönet bölmesinden içeri aktarmalarınızı izlemek daha kolaydır.

2. Toplu tehdit bilgileri dosyanızı Dosya karşıya yükleme bölümüne sürükleyin veya bağlantıyı kullanarak dosyaya göz atın.

3. Kaynak metin kutusuna tehdit bilgileri için bir kaynak girin. Bu değer, söz konusu dosyaya dahil edilen tüm göstergelere damgalanır. Bu özelliği alan olarak SourceSystem görüntüleyin. Kaynak, Dosya içeri aktarmalarını yönet bölmesinde de görüntülenir. Daha fazla bilgi için bkz . Tehdit göstergeleriyle çalışma.

4. Dosya kullanarak içeri aktar bölmesinin altındaki düğmelerden birini seçerek Microsoft Sentinel'in geçersiz girişleri nasıl işlemesini istediğinizi seçin:

   • Yalnızca geçerli girdileri içeri aktarın ve dosyadaki geçersiz girdileri bir kenara bırakın.
   • Dosyadaki tek bir nesne geçersizse hiçbir girdiyi içeri aktarmayın.

   

5. İçeri aktar'ı seçin.

Dosya içeri aktarmaları yönetme

İçeri aktarmalarınızı izleyin ve kısmen içeri aktarılan veya başarısız olan içeri aktarmalar için hata raporlarını görüntüleyin.

1. İçeri Aktar>Dosya içeri aktarmalarını yönet'i seçin.

   

2. İçeri aktarılan dosyaların durumunu ve geçersiz girdi sayısını gözden geçirin. Geçerli giriş sayısı, dosya işlendikten sonra güncelleştirilir. Geçerli girdilerin güncelleştirilmiş sayısını almak için içeri aktarma işleminin tamamlanmasını bekleyin.

   

3. Kaynak, tehdit bilgileri dosyası Adı, İçeri Aktarılan sayısı, her dosyadaki toplam girdi sayısı veya Oluşturma tarihi'ni seçerek içeri aktarmaları görüntüleyin ve sıralayın.

4. Hata dosyasının önizlemesini seçin veya geçersiz girdilerle ilgili hataları içeren hata dosyasını indirin.

Microsoft Sentinel, dosya içeri aktarma durumunu 30 gün boyunca korur. Gerçek dosya ve ilişkili hata dosyası 24 saat boyunca sistemde tutulur. 24 saat sonra dosya ve hata dosyası silinir, ancak alınan göstergeler tehdit bilgisinde gösterilmeye devam edilir.

İçeri aktarma şablonlarını anlama

Tehdit bilgilerinizin başarıyla içeri aktarıldığından emin olmak için her şablonu gözden geçirin. Şablon dosyasındaki yönergelere ve aşağıdaki ek yönergelere başvurmayı unutmayın.

CSV şablon yapısı

1. Gösterge türü açılan menüsünde CSV'yi seçin. Ardından Dosya göstergeleri veya Diğer tüm gösterge türleri seçenekleri arasında seçim yapın.

   Dosya göstergelerinin MD5 ve SHA256 gibi birden çok karma türü olabileceğinden, CSV şablonunun dosya göstergesi türünü barındırmak için birden çok sütuna ihtiyacı vardır. IP adresleri gibi diğer tüm gösterge türleri yalnızca gözlemlenebilir türü ve gözlemlenebilir değeri gerektirir.

2. CSV tüm diğer gösterge türleri şablonunun sütun başlıkları , tek veya birden çok tags, confidenceve tlpLevelgibi threatTypesalanları içerir. Trafik Işığı Protokolü (TLP), tehdit bilgileri paylaşımıyla ilgili kararlar alınmasına yardımcı olan bir duyarlılık belirlemesidir.

3. validFromYalnızca , observableTypeve observableValue alanları gereklidir.

4. Karşıya yüklemeden önce açıklamaları kaldırmak için şablondan ilk satırın tamamını silin.

   CSV dosyası içeri aktarma işlemi için en büyük dosya boyutu 50 MB'tır.

AŞAĞıDA CSV şablonunu kullanan örnek bir etki alanı adı göstergesi verilmiştir:

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

JSON şablon yapısı

1. Tüm STIX nesne türleri için yalnızca bir JSON şablonu vardır. JSON şablonu STIX 2.1 biçimini temel alır.

2. type öğesi , , attack-pattern, identityve threat-actorrelationshipöğelerini desteklerindicator.

3. Göstergeler için öğesi pattern , , , ipv4-addr, ipv6-addr, domain-nameurl, , user-accountemail-addrve windows-registry-keygösterge türlerini filedestekler.

4. Karşıya yüklemeden önce şablon açıklamalarını kaldırın.

5. virgül olmadan kullanarak } dizideki son nesneyi kapatın.

   JSON dosyası içeri aktarma işlemi için dosya boyutu üst sınırı 250 MB'tır.

Aşağıda örnek ipv4-addr bir gösterge verilmiş ve attack-pattern JSON dosya biçimi biçimlendirilmiş:

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
        "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    },
    {
        "type": "attack-pattern",
        "spec_version": "2.1",
        "id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
        "created": "2015-05-15T09:12:16.432Z",
        "modified": "2015-05-20T09:12:16.432Z",
        "created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
        "revoked": false,
        "labels": [
            "heartbleed",
            "has-logo"
        ],
        "confidence": 55,
        "lang": "en",
        "object_marking_refs": [
            "marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
        ],
        "granular_markings": [
            {
                "marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
                "selectors": [
                    "description",
                    "labels"
                ],
                "lang": "en"
            }
        ],
        "extensions": {
            "extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
                "extension_type": "property-extension",
                "rank": 5,
                "toxicity": 8
            }
        },
        "external_references": [
            {
                "source_name": "capec",
                "description": "spear phishing",
                "external_id": "CAPEC-163"
            }
        ],
        "name": "Attack Pattern 2.1",
        "description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
        "kill_chain_phases": [
            {
                "kill_chain_name": "mandiant-attack-lifecycle-model",
                "phase_name": "initial-compromise"
            }
        ],
        "aliases": [
            "alias_1",
            "alias_2"
        ]
    }
]

İlgili içerik

Bu makalede, düz dosyalarda toplanan göstergeleri ve diğer STIX nesnelerini içeri aktararak tehdit bilgilerinizi el ile nasıl güçlendirebilirsiniz? Tehdit zekasının Microsoft Sentinel'deki diğer analizlere nasıl güç gönderdiği hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Microsoft Sentinel'de tehdit göstergeleriyle çalışma
• Microsoft Sentinel'de siber tehdit bilgileri için tehdit göstergeleri
• Microsoft Sentinel'de gerçek zamanlıya yakın (NRT) analitik kurallarıyla tehditleri hızla algılama