你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

从 CSV 或 JSON 文件批量将指示器添加到 Microsoft Sentinel 威胁情报

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

本操作指南介绍如何将 CSV 或 JSON 文件中的指示器添加到 Microsoft Sentinel 威胁情报中。 一项正在进行的调查中显示，电子邮件和其他非正式渠道中仍存在大量的威胁情报共享。 直接将指示器导入 Microsoft Sentinel 威胁情报的功能使你能够为团队快速地将新出现的威胁社会化，并使其可用于为其他分析提供支持，例如生成安全警报、事件和自动响应。

重要

此功能目前处于预览状态。 请参阅 Microsoft Azure 预览版的补充使用条款，了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

先决条件

• 必须拥有 Microsoft Sentinel 工作区的读取和写入权限，才能存储威胁指标。

为指示器选择导入模板

使用特制的 CSV 或 JSON 文件向威胁情报添加多个指示器。 下载文件模板以熟悉字段及其映射到所拥有数据的方式。 在导入之前，请查看每个模板类型的必填字段以验证数据。

1. 对于 Azure 门户中的 Microsoft Sentinel，请在“威胁管理”下选择“威胁情报”。
   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“威胁管理”>“威胁情报”。

2. 选择“导入”>“使用文件导入”。

   Azure 门户

   

   Defender 门户

   

3. 从“文件格式”下拉菜单中选择 CSV 或 JSON。

   

4. 选择批量上传模板后，选择“下载模板”链接。

5. 请考虑按源对指标进行分组，因为每次文件上传都需要一个源。

这些模板提供创建单个有效指示器所需的所有字段，包括必填字段和验证参数。 复制该结构以在一个文件中填充其他指示器。 有关模板的详细信息，请参阅了解导入模板。

上传指示器文件

1. 更改默认模板的文件名，但将文件扩展名保留为 .csv 或 .json。 创建唯一文件名时，从“管理文件导入”窗格监视导入会更加容易。

2. 将指示器文件拖到“上传文件”部分或使用链接浏览文件。

3. 在“源”文本框中输入指示器的源。 此值标记在该文件中包含的所有指示器上。 将此属性视为 SourceSystem 字段。 源也显示在“管理文件导入”窗格中。 有关详细信息，请参阅使用威胁指标。

4. 通过选择“使用文件导入”窗格底部的一个单选按钮，选择希望 Microsoft Sentinel 处理无效指示器条目的方式。

   • 仅导入有效指示器，并保留文件中的任何无效指示器。
   • 如果文件中的单个指示器无效，请不要导入任何指示器。

   

5. 选择“导入”按钮。

管理文件导入

监视导入并查看部分导入或失败导入的错误报告。

1. 选择“导入”>“管理文件导入”。

   

2. 查看导入文件的状态以及无效指示器条目的数量。 处理文件后，将更新有效的指示器计数。 请等待导入完成以获取更新的有效指示器计数。

   

3. 通过选择“源”、“指示器文件名”、“导入的数量”、“每个文件中的指示器总数”或“创建日期”查看导入的条目并进行排序。

4. 选择错误文件的预览，或下载包含有关无效指示器错误的错误文件。

Microsoft Sentinel 会将文件导入的状态保留 30 天。 实际文件和关联的错误文件会在系统中保留 24 小时。 24 小时后，系统会删除实际文件和错误文件，但所有引入的指示器将继续显示在“威胁情报”中。

了解导入模板

查看每个模板以确保成功导入指示器。 请务必参考模板文件中的说明和以下补充指南。

CSV 模板结构

1. 选择 CSV 时，从“指示器类型”下拉菜单中选择“文件指示器”或“所有其他指示器类型”选项。

   CSV 模板需要多个列来容纳文件指示器类型，因为文件指示器可能具有多种哈希类型，例如 MD5、SHA256 等。 所有其他指示器类型（如 IP 地址）只需要可观测的类型和可观测的值。

2. CSV“所有其他指示器类型”模板的列标题包含字段，例如 threatTypes、单个或多个 tags、confidence 以及 tlpLevel。 交通灯协议 (TLP) 是一个敏感度指定值，可以帮助做出有关威胁情报共享的决策。

3. 仅需要 validFrom、observableType 和 observableValue 字段。

4. 从模板中删除整个第一行以在上传之前删除批注。

5. 请记住，CSV 文件导入的最大文件大小为 50MB。

下面是使用 CSV 模板的示例域名指示器。

threatTypes,tags,name,description,confidence,revoked,validFrom,validUntil,tlpLevel,severity,observableType,observableValue
Phishing,"demo, csv",MDTI article - Franken-Phish domainname,Entity appears in MDTI article Franken-phish,100,,2022-07-18T12:00:00.000Z,,white,5,domain-name,1776769042.tailspintoys.com

JSON 模板结构

1. 所有指示器类型只有一个 JSON 模板。 JSON 模板基于 STIX 2.1 格式。

2. pattern 元素支持以下类型的指示器：文件、ipv4-addr、ipv6-addr、domain-name、url、user-account、email-addr 和 windows-registry-key 类型。

3. 在上传之前删除模板注释。

4. 使用不带逗号的 } 关闭数组中的最后一个指示器。

5. 请记住，JSON 文件导入的最大文件大小为 250MB。

下面是使用 JSON 模板的示例 ipv4-addr 指示器。

[
    {
      "type": "indicator",
      "id": "indicator--dbc48d87-b5e9-4380-85ae-e1184abf5ff4",
      "spec_version": "2.1",
      "pattern": "[ipv4-addr:value = '198.168.100.5']",
      "pattern_type": "stix",
      "created": "2022-07-27T12:00:00.000Z",
      "modified": "2022-07-27T12:00:00.000Z",
      "valid_from": "2016-07-20T12:00:00.000Z",
      "name": "Sample IPv4 indicator",
      "description": "This indicator implements an observation expression.",
      "indicator_types": [
	    "anonymization",
        "malicious-activity"
      ],
      "kill_chain_phases": [
          {
            "kill_chain_name": "mandiant-attack-lifecycle-model",
            "phase_name": "establish-foothold"
          }
      ],
      "labels": ["proxy","demo"],
      "confidence": "95",
      "lang": "",
      "external_references": [],
      "object_marking_refs": [],
      "granular_markings": []
    }
]

相关内容

本文介绍了如何通过导入平面文件中收集的指示器来手动增强威胁情报。 请查看以下链接，了解指示器如何为 Microsoft Sentinel 中的其他分析提供支持。

• 使用 Microsoft Sentinel 中的威胁指标
• Microsoft Sentinel 中网络威胁情报的威胁指标
• 在 Microsoft Sentinel 中使用准实时 (NRT) 分析规则快速检测威胁