Share via

Indicatoren bulksgewijs toevoegen aan bedreigingsinformatie van Microsoft Sentinel vanuit een CSV- of JSON-bestand

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In deze handleiding voegt u indicatoren uit een CSV- of JSON-bestand toe aan bedreigingsinformatie van Microsoft Sentinel. Er gebeurt nog steeds veel bedreigingsinformatie over e-mailberichten en andere informele kanalen tijdens een doorlopend onderzoek. Met de mogelijkheid om indicatoren rechtstreeks te importeren in bedreigingsinformatie van Microsoft Sentinel, kunt u snel opkomende bedreigingen voor uw team socialiseren en deze beschikbaar maken om andere analyses mogelijk te maken, zoals het produceren van beveiligingswaarschuwingen, incidenten en geautomatiseerde antwoorden.

Belangrijk

Deze functie is momenteel beschikbaar als PREVIEW-versie. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

  • U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte om uw bedreigingsindicatoren op te slaan.

Selecteer een importsjabloon voor uw indicatoren

Voeg meerdere indicatoren toe aan uw bedreigingsinformatie met een speciaal gemaakt CSV- of JSON-bestand. Download de bestandssjablonen om vertrouwd te raken met de velden en hoe deze worden toegewezen aan de gegevens die u hebt. Controleer de vereiste velden voor elk sjabloontype om uw gegevens te valideren voordat u ze importeert.

  1. Voor Microsoft Sentinel in Azure Portal selecteert u bedreigingsinformatie onder Bedreigingsbeheer.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Bedreigingsinformatie voor Microsoft Sentinel>>.

  2. Selecteer Importeren>met behulp van een bestand.

  3. Kies CSV of JSON in de vervolgkeuzelijst Bestandsindeling .

    Schermopname van de flyout van het menu om een CSV- of JSON-bestand te uploaden, een sjabloon te kiezen die u wilt downloaden en een bron op te geven.

  4. Selecteer de koppeling Sjabloon downloaden zodra u een sjabloon voor bulksgewijs uploaden hebt gekozen.

  5. U kunt uw indicatoren groeperen op bron, omdat voor elk uploaden van bestanden er een is vereist.

De sjablonen bevatten alle velden die u nodig hebt om één geldige indicator te maken, inclusief vereiste velden en validatieparameters. Repliceer die structuur om extra indicatoren in één bestand te vullen. Zie De importsjablonen begrijpen voor meer informatie over de sjablonen.

Het indicatorbestand uploaden

  1. Wijzig de bestandsnaam van de standaardsjabloon, maar behoud de bestandsextensie als .csv of .json. Wanneer u een unieke bestandsnaam maakt, is het eenvoudiger om uw importbewerkingen te controleren vanuit het deelvenster Bestandsimport beheren.

  2. Sleep het indicatorenbestand naar de sectie Een bestand uploaden of blader naar het bestand met behulp van de koppeling.

  3. Voer een bron in voor de indicatoren in het tekstvak Bron . Deze waarde wordt gestempeld op alle indicatoren die in dat bestand zijn opgenomen. Bekijk deze eigenschap als het SourceSystem veld. De bron wordt ook weergegeven in het deelvenster Bestandsimport beheren . Zie Werken met bedreigingsindicatoren voor meer informatie.

  4. Kies hoe u wilt dat Microsoft Sentinel ongeldige indicatorvermeldingen verwerkt door een van de keuzerondjes onder aan het deelvenster Importeren te selecteren.

    • Importeer alleen de geldige indicatoren en laat eventuele ongeldige indicatoren uit het bestand staan.
    • Importeer geen indicatoren als één indicator in het bestand ongeldig is.

    Schermopname van de flyout van het menu om een CSV- of JSON-bestand te uploaden, een sjabloon te kiezen die u wilt downloaden en een bron op te geven waarin de knop Importeren wordt gemarkeerd.

  5. Selecteer de knop Importeren.

Bestandsimport beheren

Controleer uw importbewerkingen en bekijk foutrapporten voor gedeeltelijk geïmporteerde of mislukte importbewerkingen.

  1. Selecteer Import Manage>file import.

    Schermopname van de menuoptie voor het beheren van het importeren van bestanden.

  2. Controleer de status van geïmporteerde bestanden en het aantal ongeldige indicatorvermeldingen. Het geldige aantal indicatoren wordt bijgewerkt zodra het bestand is verwerkt. Wacht totdat het importeren is voltooid om het bijgewerkte aantal geldige indicatoren op te halen.

    Schermopname van het deelvenster Bestand importeren beheren met voorbeeldopnamegegevens. De kolommen worden gesorteerd op geïmporteerd nummer met verschillende bronnen.

  3. U kunt importbewerkingen weergeven en sorteren door Bron, indicatorbestandsnaam, geïmporteerd nummer, totaal aantal indicatoren in elk bestand of de gemaakte datum te selecteren.

  4. Selecteer het voorbeeld van het foutenbestand of download het foutenbestand met de fouten over ongeldige indicatoren.

Microsoft Sentinel behoudt de status van het importeren van bestanden gedurende 30 dagen. Het werkelijke bestand en het bijbehorende foutbestand worden gedurende 24 uur in het systeem bijgehouden. Na 24 uur worden het bestand en het foutbestand verwijderd, maar alle opgenomen indicatoren blijven worden weergegeven in Bedreigingsinformatie.

Inzicht in de importsjablonen

Controleer elke sjabloon om ervoor te zorgen dat uw indicatoren met succes worden geïmporteerd. Raadpleeg de instructies in het sjabloonbestand en de volgende aanvullende richtlijnen.

CSV-sjabloonstructuur

  1. Kies tussen de optie Bestandsindicatoren of Alle andere indicatortypen in de vervolgkeuzelijst Indicatortype wanneer u CSV selecteert.

    De CSV-sjabloon heeft meerdere kolommen nodig voor het bestandstype, omdat bestandsindicatoren meerdere hashtypen kunnen hebben, zoals MD5, SHA256 en meer. Alle andere indicatortypen, zoals IP-adressen, vereisen alleen het waarneembare type en de waarneembare waarde.

  2. De kolomkoppen voor de sjabloon alle andere indicatortypen van CSV bevatten velden zoals threatTypes, één of meerdere tags, confidenceen tlpLevel. Traffic Light Protocol (TLP) is een gevoeligheidsaanduiding om beslissingen te nemen over het delen van bedreigingsinformatie.

  3. Alleen de validFromvelden en observableValueobservableType velden zijn vereist.

  4. Verwijder de hele eerste rij uit de sjabloon om de opmerkingen te verwijderen voordat u deze uploadt.

  5. Houd er rekening mee dat de maximale bestandsgrootte voor een CSV-bestand importeren 50 MB is.

Hier volgt een voorbeeld van een domeinnaamindicator met behulp van de CSV-sjabloon.

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

JSON-sjabloonstructuur

  1. Er is slechts één JSON-sjabloon voor alle indicatortypen. De JSON-sjabloon is gebaseerd op de STIX 2.1-indeling.

  2. Het pattern element ondersteunt indicatortypen: bestand, ipv4-addr, ipv6-addr, domeinnaam, URL, gebruikersaccount, e-mail-addr en windows-registry-key types.

  3. Verwijder de sjabloonopmerkingen voordat u uploadt.

  4. Sluit de laatste indicator in de matrix met de } komma.

  5. Houd er rekening mee dat de maximale bestandsgrootte voor een JSON-bestand importeren 250 MB is.

Hier volgt een voorbeeld van een ipv4-addr-indicator met behulp van de JSON-sjabloon.

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

Gerelateerde inhoud

In dit artikel leest u hoe u uw bedreigingsinformatie handmatig kunt versterken door indicatoren te importeren die zijn verzameld in platte bestanden. Bekijk deze koppelingen om te leren hoe indicatoren andere analyses in Microsoft Sentinel mogelijk maken.