從 CSV 或 JSON 檔案將指標大量新增至 Microsoft Sentinel 威脅情報
在本操作指南中,您會將 CSV 或 JSON 檔案中的指標新增至 Microsoft Sentinel 威脅情報。 在持續調查期間,許多威脅情報共用仍會跨電子郵件和其他非正式渠道進行。 直接將指標匯入 Microsoft Sentinel 威脅情報的能力可讓您快速將新興威脅社交,並讓它們提供其他分析功能,例如產生安全性警示、事件和自動化回應。
重要
這項功能目前為「預覽」狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
- 您必須擁有 Microsoft Sentinel 工作區的讀取和寫入許可權,才能儲存威脅指標。
選取指標的匯入範本
使用特製的 CSV 或 JSON 檔案,將多個指標新增至威脅情報。 下載文件範本以熟悉欄位,以及它們如何對應至您擁有的數據。 檢閱每個範本類型的必要字段,以在匯入之前驗證您的數據。
針對 Azure 入口網站 中的 Microsoft Sentinel,在 [威脅管理] 底下,選取 [威脅情報]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>威脅管理>威脅情報]。選取 [使用檔案匯入匯>入]。
從 [檔案格式] 下拉功能表中選擇 [CSV] 或 [JSON]。
選擇大量上傳範本之後,請選取 [下載範本] 連結。
請考慮依來源將指標分組,因為每個檔案上傳都需要一個。
範本提供建立單一有效指標所需的所有欄位,包括必要的欄位和驗證參數。 復寫該結構,以在一個檔案中填入其他指標。 如需範本的詳細資訊,請參閱 瞭解匯入範本。
上傳指標檔案
從範本預設值變更檔名,但將擴展名保留為.csv或.json。 當您建立唯一的檔名時,從 [管理檔案匯入] 窗格監視匯入會比較容易。
將指標檔案拖曳至 [上傳檔案 ] 區段,或使用鏈接瀏覽檔案。
在 [來源 ] 文本框中輸入指標的來源。 此值會在該檔案中包含的所有指標上加上戳記。 將此屬性檢視為
SourceSystem欄位。 來源也會顯示在 [ 管理檔案匯入 ] 窗格中。 如需詳細資訊,請參閱 使用威脅指標。選擇您希望 Microsoft Sentinel 使用檔案窗格選取 [匯入] 底部的其中一個單選按鈕,以處理無效指標專案的方式。
- 只匯入有效的指標,並保留檔案中任何無效的指標。
- 如果檔案中的單一指標無效,請勿匯入任何指標。
![功能表飛出視窗的螢幕快照,以上傳 CSV 或 JSON 檔案、選擇要下載的範本,並指定醒目提示 [匯入] 按鈕的來源。](media/indicators-bulk-file-import/upload-file-pane.png)
選取 [匯入] 按鈕。
管理檔案匯入
監視您的匯入,並檢視部分匯入或失敗匯入的錯誤報告。
選取 [匯>入管理檔案匯入]。
檢閱匯入檔案的狀態,以及無效指標項目的數目。 處理檔案之後,就會更新有效的指標計數。 等候匯入完成,以取得有效指標的更新計數。
![[管理檔案匯入] 窗格的螢幕快照,其中包含範例擷取數據。數據行會顯示依具有各種來源的匯入數位排序。](media/indicators-bulk-file-import/manage-file-imports-pane.png)
選取 [來源]、指標檔 [名稱]、[匯入的數位]、[每個檔案中的指標總數] 或 [建立日期] 來檢視和排序匯入。
選取錯誤檔案的預覽,或下載包含無效指標錯誤的錯誤檔案。
Microsoft Sentinel 會維護檔案匯入狀態 30 天。 實際檔案和相關聯的錯誤檔案會在系統中維護 24 小時。 在 24 小時之後,檔案和錯誤檔案會遭到刪除,但任何內嵌的指標仍會顯示在威脅情報中。
了解匯入範本
檢閱每個範本,以確保已成功匯入指標。 請務必參考範本檔案中的指示,以及下列補充指引。
CSV 範本結構
當您選取 [CSV] 時,從 [指標類型] 下拉功能表中選擇 [檔案指標] 或 [所有其他指標類型] 選項。
CSV 範本需要多個數據行來容納檔案指標類型,因為檔案指標可以有多個哈希類型,例如 MD5、SHA256 等等。 所有其他指標類型,例如IP位址只需要可觀察的類型和可觀察的值。
CSV 所有其他指標類型 範本的資料列標題包含欄位,例如
threatTypes、單一或多個tags、confidence和tlpLevel。 交通燈通訊協定(TLP)是一種敏感度指定,可協助決定威脅情報共用。validFrom只需要、observableType和observableValue欄位。從範本中刪除整個第一個數據列,以在上傳之前移除批注。
請記住 CSV 檔案匯入的檔案大小上限為 50MB。
以下是使用 CSV 範本的功能變數名稱指標範例。
threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com
JSON 範本結構
所有指標類型只有一個 JSON 範本。 JSON 範本是以 STIX 2.1 格式為基礎。
元素
pattern支援的指標類型:file、ipv4-addr、ipv6-addr、domain-name、url、user-account、email-addr 和 windows-registry-key 類型。在上傳之前移除範本批注。
使用
}不含逗號的 關閉陣列中的最後一個指標。請記住,JSON 檔案匯入的檔案大小上限為 250MB。
以下是使用 JSON 範例的 ipv4-addr 指標範例。
[
{
"type": "indicator",
"id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
"spec_version": "2.1",
"pattern": "[ipv4-addr:value = '198.168.100.5']",
"pattern_type": "stix",
"created": "2022-07-27T12:00:00.000Z",
"modified": "2022-07-27T12:00:00.000Z",
"valid_from": "2016-07-20T12:00:00.000Z",
"name": "Sample IPv4 indicator",
"description": "This indicator implements an observation expression.",
"indicator_types": [
"anonymization",
"malicious-activity"
],
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "establish-foothold"
}
],
"labels": ["proxy","demo"],
"confidence": "95",
"lang": "",
"external_references": [],
"object_marking_refs": [],
"granular_markings": []
}
]
相關內容
本文說明如何藉由匯入一般檔案中收集的指標,手動加強威脅情報。 請參閱這些連結,以了解指標如何為 Microsoft Sentinel 中的其他分析提供動力。