Tento článek popisuje, jak cloudové řešení pro správu informací o zabezpečení a událostí (SIEM), jako je Microsoft Sentinel , může pomocí indikátorů hrozeb detekovat, poskytovat kontext a informovat reakce na stávající nebo potenciální kybernetické hrozby.
Architektura
Stáhněte si soubor Visia této architektury.
Workflow
Microsoft Sentinel můžete použít k:
- Import ukazatelů hrozeb ze serverů STIX (Structured Threat Information Expression) a trusted Automated Exchange of Intelligence Information (TAXII) nebo z jakéhokoli řešení platformy analýzy hrozeb (TIP).
- Zobrazení a dotazování dat indikátoru hrozeb
- Vytvořte analytická pravidla pro generování výstrah zabezpečení, incidentů a automatizovaných reakcí z dat analýzy kybernetických hrozeb (CTI).
- Vizualizujte klíčové informace CTI v sešitech.
Datové konektory indikátoru hrozeb
Microsoft Sentinel importuje indikátory hrozeb, jako jsou všechna ostatní data událostí, pomocí datových konektorů. Dva datové konektory Microsoft Sentinelu pro indikátory hrozeb jsou:
- Analýza hrozeb – TAXII
- Platformy analýzy hrozeb
V závislosti na tom, kde vaše organizace získá data indikátoru hrozeb, můžete použít datový konektor nebo oba datové konektory. Povolte datové konektory v každém pracovním prostoru, kde chcete data přijímat.
Analýza hrozeb – datový konektor TAXII
Nejrozšířenější oborový standard pro přenos CTI je datový formát STIX a TAXII protokol. Organizace, které z aktuálních řešení STIX/TAXII verze 2.x získají indikátory hrozeb, můžou importovat indikátory hrozeb do Microsoft Sentinelu pomocí datového konektoru Analýza hrozeb – TAXII. Integrovaný klient TAXII služby Microsoft Sentinel importuje analýzu hrozeb ze serverů TAXII 2.x.
Další informace o importu dat indikátoru hrozby STIX/TAXII do služby Microsoft Sentinel najdete v tématu Import indikátorů hrozeb pomocí datového konektoru TAXII.
Datový konektor Platformy analýzy hrozeb
Řada organizací používá řešení TIP, jako jsou MISP, Anomali ThreatStream, Threat Připojení nebo Palo Alto Networks MineMeld, k agregaci informačních kanálů indikátorů hrozeb z různých zdrojů. Organizace používají TIP ke kurátorování dat. Pak vyberou, které indikátory hrozeb se použijí pro řešení zabezpečení, jako jsou síťová zařízení, pokročilá řešení ochrany před hrozbami nebo SIEM, jako je Microsoft Sentinel. Datový konektor Platformy analýzy hrozeb umožňuje organizacím používat integrované řešení TIP se službou Microsoft Sentinel.
Datový konektor Platformy analýzy hrozeb používá rozhraní MICROSOFT Graph Security tiIndicators API. Každá organizace, která má vlastní TIP, může tento datový konektor použít k používání tiIndicators rozhraní API a odesílání indikátorů do Microsoft Sentinelu a dalších řešení zabezpečení Microsoftu, jako je Ochrana ATP v programu Defender.
Další informace o importu dat TIP do Služby Microsoft Sentinel najdete v tématu Import indikátorů hrozeb pomocí datového konektoru Platformy.
Protokoly indikátorů hrozeb
Po importu indikátorů hrozeb do Microsoft Sentinelu pomocí datových konektorů Analýzy hrozeb – TAXII nebo Threat Intelligence Platforms můžete zobrazit importovaná data v tabulce ThreatIntelligenceIndicator v protokolech, kde jsou uložena všechna data událostí Služby Microsoft Sentinel. Tuto tabulku používají také funkce Microsoft Sentinelu, jako jsou analýzy a sešity.
Další informace o tom, jak pracovat s protokolem indikátorů hrozeb, najdete v tématu Práce s indikátory hrozeb v Microsoft Sentinelu.
Microsoft Sentinel Analytics
Nejdůležitějším využitím indikátorů hrozeb v řešeních SIEM je power analytics, které odpovídají událostem s indikátory hrozeb, aby se vytvořily výstrahy zabezpečení, incidenty a automatizované reakce. Microsoft Sentinel Analytics vytváří analytická pravidla, která se aktivují podle plánu a generují výstrahy. Parametry pravidla vyjadřujete jako dotazy. Potom nakonfigurujete, jak často se pravidlo spouští, jaké výsledky dotazů generují výstrahy zabezpečení a incidenty, a všechny automatizované odpovědi na výstrahy.
Nová analytická pravidla můžete vytvářet úplně od začátku nebo sadu předdefinovaných šablon pravidel Microsoft Sentinelu, které můžete použít nebo upravit tak, aby vyhovovaly vašim potřebám. Šablony analytických pravidel, které odpovídají indikátorům hrozeb s daty událostí, mají název počínaje mapou TI. Všichni fungují podobně.
Rozdíly mezi šablonami jsou typy indikátorů hrozeb, které se mají použít, například doména, e-mail, hodnota hash souboru, IP adresa nebo adresa URL a jaké typy událostí se mají shodovat. Každá šablona obsahuje seznam požadovaných zdrojů dat pro fungování pravidla, abyste zjistili, jestli už máte v Microsoft Sentinelu importované potřebné události.
Další informace o tom, jak vytvořit analytické pravidlo ze šablony, najdete v tématu Vytvoření analytického pravidla ze šablony.
V Microsoft Sentinelu jsou povolená analytická pravidla na kartě Aktivní pravidla v části Analýza. Aktivní pravidla můžete upravit, povolit, zakázat, duplikovat nebo odstranit.
Vygenerované výstrahy zabezpečení jsou v tabulce SecurityAlert v části Protokoly služby Microsoft Sentinel. Výstrahy zabezpečení také generují incidenty zabezpečení v části Incidenty . Týmy provozu zabezpečení mohou incidenty posoudit a prošetřit, aby určily vhodné reakce. Další informace najdete v tématu Kurz: Zkoumání incidentů pomocí služby Microsoft Sentinel.
Můžete také určit automatizaci, která se má aktivovat, když pravidla generují výstrahy zabezpečení. Automatizace v Microsoft Sentinelu používá playbooky využívající Azure Logic Apps. Další informace najdete v tématu Kurz: Nastavení automatizovaných reakcí na hrozby v Microsoft Sentinelu.
Sešit analýzy hrozeb v Microsoft Sentinelu
Sešity poskytují výkonné interaktivní řídicí panely, které poskytují přehled o všech aspektech Služby Microsoft Sentinel. K vizualizaci klíčových informací CTI můžete použít sešit Microsoft Sentinelu. Šablony poskytují výchozí bod a můžete je snadno přizpůsobit potřebám vaší firmy. Můžete vytvořit nové řídicí panely, které kombinují mnoho různých zdrojů dat a vizualizují data jedinečnými způsoby. Sešity Microsoft Sentinelu jsou založené na sešitech služby Azure Monitor, takže jsou k dispozici rozsáhlá dokumentace a šablony.
Další informace o tom, jak zobrazit a upravit sešit analýzy hrozeb v Microsoft Sentinelu, najdete v tématu Zobrazení a úprava sešitu analýzy hrozeb.
Alternativy
- Indikátory hrozeb poskytují užitečný kontext v jiných prostředích Microsoft Sentinelu, jako je proaktivní vyhledávání a poznámkové bloky. Další informace o používání CTI v poznámkových blocích najdete v poznámkových blocích Jupyter v Sentinelu.
- Každá organizace, která má vlastní TIP, může k odesílání indikátorů hrozeb do jiných řešení zabezpečení Microsoftu, jako je ochrana ATP v programu Defender, použít rozhraní API tiIndicators microsoftu.
- Microsoft Sentinel poskytuje mnoho dalších integrovaných datových konektorů pro řešení, jako je Microsoft Threat Protection, zdroje Microsoft 365 a Microsoft Defender for Cloud Apps. Existují také integrované konektory pro širší ekosystém zabezpečení pro řešení od jiných společností než Microsoft. K propojení zdrojů dat s Microsoft Sentinelem můžete použít také běžný formát událostí, Syslog nebo rozhraní REST API. Další informace najdete v tématu Připojení zdroje dat.
Podrobnosti scénáře
Kybernetická analýza hrozeb může pocházet z mnoha zdrojů, jako jsou opensourcové datové kanály, komunity sdílení analýzy hrozeb, placené informační kanály inteligentních informací a šetření zabezpečení v organizacích.
CTI může být v rozsahu od psaných zpráv o motivaci, infrastruktuře a technikách aktéra hrozeb až po konkrétní pozorování IP adres, domén a hodnot hash souborů. CTI poskytuje základní kontext pro neobvyklou činnost, takže pracovníci zabezpečení mohou rychle jednat za účelem ochrany osob a prostředků.
Nejužitenější CTI v řešeních SIEM, jako je Microsoft Sentinel, jsou data indikátorů hrozeb, někdy označovaná jako Indikátory ohrožení zabezpečení (IoCS). Indikátory hrozeb přidružují adresy URL, hodnoty hash souborů, IP adresy a další data se známými aktivitami hrozeb, jako jsou phishing, botnety nebo malware.
Tato forma analýzy hrozeb se často označuje jako taktická analýza hrozeb, protože bezpečnostní produkty a automatizace ji můžou používat ve velkém měřítku k ochraně a detekci potenciálních hrozeb. Microsoft Sentinel může pomoct detekovat, reagovat na ně a poskytovat kontext CTI pro škodlivou kybernetickou aktivitu.
Potenciální případy použití
- Připojení k opensourcovým datům indikátoru hrozeb z veřejných serverů za účelem identifikace, analýzy a reakce na aktivitu hrozeb.
- Pomocí existujících platforem analýzy hrozeb nebo vlastních řešení s rozhraním Microsoft Graph
tiIndicatorsAPI se připojte a kontrolujte přístup k datům indikátoru hrozeb. - Poskytuje kontext CTI a vytváření sestav pro bezpečnostní vyšetřovatele a zúčastněné strany.
Důležité informace
- Datové konektory Analýzy hrozeb v Microsoft Sentinelu jsou aktuálně ve verzi Public Preview. Některé funkce se nemusí podporovat nebo mohou mít omezené možnosti.
- Microsoft Sentinel používá řízení přístupu na základě role v Azure (Azure RBAC) k přiřazení předdefinovaných rolí Přispěvatel, Čtenář a Respondér uživatelům, skupinám a službám Azure. Tyto role můžou komunikovat s rolemi Azure (vlastník, přispěvatel, čtenář) a rolemi Log Analytics (čtenář Log Analytics, přispěvatel Log Analytics). V datech uložených v Microsoft Sentinelu můžete vytvářet vlastní role a používat pokročilé azure RBAC. Další informace najdete v tématu Oprávnění v Microsoft Sentinelu.
- Microsoft Sentinel je bezplatný po dobu prvních 31 dnů v jakémkoli pracovním prostoru služby Azure Monitor Log Analytics. Potom můžete pro data, která ingestujete a ukládáte, použít modely rezervace kapacity nebo průběžné platby. Další informace najdete v tématu o cenách služby Microsoft Sentinel.
Nasazení tohoto scénáře
Následující části obsahují postup:
- Povolte datové konektory Platformy analýzy hrozeb – TAXII a Platformy analýzy hrozeb.
- Vytvořte ukázkové analytické pravidlo Microsoft Sentinelu pro generování výstrah zabezpečení a incidentů z dat CTI.
- Zobrazte a upravte sešit analýzy hrozeb v Microsoft Sentinelu.
Import indikátorů hrozeb pomocí datového konektoru TAXII
Upozorňující
Následující pokyny používají Limo, anomálie zdarma STIX/TAXII feed. Tento informační kanál dosáhl konce životnosti a už se neaktualizuje. Následující pokyny se nedají dokončit jako napsané. Tento informační kanál můžete nahradit jiným informačním kanálem kompatibilním s rozhraním API, ke kterým máte přístup.
Servery TAXII 2.x inzerují kořeny rozhraní API, což jsou adresy URL, které hostují kolekce analýzy hrozeb. Pokud už znáte kořen rozhraní API serveru TAXII a ID kolekce, se kterým chcete pracovat, můžete přeskočit dopředu a povolit konektor TAXII v Microsoft Sentinelu.
Pokud nemáte kořen rozhraní API, obvykle ho můžete získat ze stránky dokumentace poskytovatele analýzy hrozeb, ale někdy je jedinou dostupnou adresou URL koncového bodu zjišťování. Kořen rozhraní API najdete pomocí koncového bodu zjišťování. Následující příklad používá koncový bod zjišťování serveru Anomali Limo ThreatStream TAXII 2.0.
V prohlížeči přejděte do koncového bodu zjišťování serveru ThreatStream TAXII 2.0,
https://limo.anomali.com/taxii. Přihlaste se pomocí uživatelského jména hosta a hesla hosta. Po přihlášení se zobrazí následující informace:{ "api_roots": [ "https://limo.anomali.com/api/v1/taxii2/feeds/", "https://limo.anomali.com/api/v1/taxii2/trusted_circles/", "https://limo.anomali.com/api/v1/taxii2/search_filters/" ], "contact": "info@anomali.com", "default": "https://limo.anomali.com/api/v1/taxii2/feeds/", "description": "TAXII 2.0 Server (guest)", "title": "ThreatStream Taxii 2.0 Server" }Pokud chcete procházet kolekce, zadejte kořen rozhraní API, který jste získali z předchozího kroku do prohlížeče:
https://limo.anomali.com/api/v1/taxii2/feeds/collections/. Zobrazí se následující informace:{ "collections": [ { "can_read": true, "can_write": false, "description": "", "id": "107", "title": "Phish Tank" }, ... { "can_read": true, "can_write": false, "description": "", "id": "41", "title": "CyberCrime" } ] }
Teď máte informace, které potřebujete k připojení Microsoft Sentinelu k jedné nebo více kolekcím serverů TAXII, které poskytuje Anomálie Limo. Příklad:
| Kořenový adresář rozhraní API | ID kolekce |
|---|---|
| Phish Tank | 107 |
| CyberCrime | 41 |
Povolení datového konektoru Threat Intelligence – TAXII v Microsoft Sentinelu:
Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel.
Vyberte pracovní prostor, do kterého chcete importovat indikátory hrozeb ze služby TAXII.
V levém podokně vyberte Datové konektory . Vyhledejte a vyberte Analýza hrozeb – TAXII (Preview) a vyberte Otevřít stránku konektoru.
Na stránce Konfigurace zadejte popisný název (pro server), například název kolekce. Zadejte kořenovou adresu URL rozhraní API a ID kolekce, které chcete importovat. V případě potřeby zadejte uživatelské jméno a heslo a vyberte Přidat.
Vaše připojení se zobrazí v seznamu nakonfigurovaných serverů TAXII 2.0. Opakujte konfiguraci pro každou kolekci, kterou chcete připojit ze stejných nebo různých serverů TAXII.
Import indikátorů hrozeb pomocí datového konektoru Platformy
Rozhraní tiIndicators API potřebuje ID aplikace (klienta), ID adresáře (tenanta) a tajný klíč klienta z tipu nebo vlastního řešení pro připojení a odeslání indikátorů hrozeb do Microsoft Sentinelu. Pokud chcete získat tyto informace, zaregistrujte aplikaci TIP nebo řešení v ID Microsoft Entra a udělte jí potřebná oprávnění.
Další informace najdete v tématu Připojení platformě analýzy hrozeb do Microsoft Sentinelu.
Vytvoření analytického pravidla ze šablony
V tomto příkladu se používá šablona pravidla s názvem Entita IP map ti na AzureActivity, která porovnává všechny indikátory hrozeb typu IP adresy IP se všemi událostmi IP adres aktivit Azure. Jakákoli shoda vygeneruje výstrahu zabezpečení a odpovídající incident pro šetření provozním týmem zabezpečení.
V příkladu se předpokládá, že jste k importu indikátorů hrozeb a datového konektoru aktivit Azure použili jeden nebo oba datové konektory analýzy hrozeb k importu událostí na úrovni předplatného Azure. K úspěšnému použití tohoto analytického pravidla potřebujete oba datové typy.
Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel.
Vyberte pracovní prostor, ve kterém jste importovali indikátory hrozeb s datovým konektorem analýzy hrozeb.
V levém podokně vyberte Analýza.
Na kartě Šablony pravidel vyhledejte a vyberte entitu TI mapování IP adresy (Preview) na AzureActivity. Vyberte Vytvořit pravidlo.
V prvním průvodci analytickým pravidlem – Vytvořte nové pravidlo ze stránky šablony a ujistěte se, že je stav pravidla nastavený na Povoleno. Pokud chcete, změňte název nebo popis pravidla. Vyberte Další: Nastavení logiky pravidla.
Stránka logiky pravidla obsahuje dotaz na pravidlo, entity pro mapování, plánování pravidel a počet výsledků dotazu, které generují výstrahu zabezpečení. Nastavení šablony se spustí jednou za hodinu. Identifikují všechny iocs IP adresy, které odpovídají ip adresě z událostí Azure. Také generují výstrahy zabezpečení pro všechny shody. Tato nastavení můžete zachovat nebo můžete libovolnou z nich změnit tak, aby vyhovovala vašim potřebám. Až budete hotovi, vyberte Další: Nastavení incidentu (Preview).
V části Nastavení incidentu (Preview) se ujistěte, že je možnost Povolit vytváření incidentů z výstrah aktivovaných tímto analytickým pravidlem. Vyberte Další: Automatizovaná odpověď.
Tento krok umožňuje nakonfigurovat automatizaci, která se aktivuje, když pravidlo vygeneruje výstrahu zabezpečení. Automatizace v Microsoft Sentinelu používá playbooky využívající Azure Logic Apps. Další informace najdete v tématu Kurz: Nastavení automatizovaných reakcí na hrozby v Microsoft Sentinelu. V tomto příkladu vyberte Další: Zkontrolovat. Po kontrole nastavení vyberte Vytvořit.
Pravidlo se aktivuje okamžitě, když se vytvoří, a pak se aktivuje podle běžného plánu.
Zobrazení a úprava sešitu analýzy hrozeb
Na webu Azure Portal vyhledejte a vyberte Microsoft Sentinel.
Vyberte pracovní prostor, ve kterém jste importovali indikátory hrozeb pomocí datového konektoru analýzy hrozeb.
V levém podokně vyberte Sešity.
Vyhledejte a vyberte sešit s názvem Analýza hrozeb.
Ujistěte se, že máte potřebná data a připojení, jak je znázorněno. Zvolte Uložit.
V automaticky otevíraných otevíraných oknech vyberte umístění a pak vyberte OK. Tento krok sešit uloží, abyste ho mohli upravit a uložit.
Výběrem možnosti Zobrazit uložený sešit otevřete sešit a zobrazte výchozí grafy, které šablona poskytuje.
Pokud chcete sešit upravit, vyberte Upravit. Výběrem možnosti Upravit vedle libovolného grafu můžete upravit dotaz a nastavení pro tento graf.
Přidání nového grafu, který zobrazuje indikátory hrozeb podle typu hrozby:
Vyberte položku Upravit. Posuňte se do dolní části stránky a vyberte Přidat>dotaz.
V části Dotaz protokolů pracovního prostoru služby Log Analytics zadejte následující dotaz:
ThreatIntelligenceIndicator | summarize count() by ThreatTypeV rozevíracím seznamu Vizualizace vyberte Pruhový graf a vyberte Úpravy dokončeno.
V horní části stránky vyberte Úpravy dokončeno. Vyberte ikonu Uložit a uložte nový graf a sešit.
Další kroky
Přejděte do úložiště Microsoft Sentinel na GitHubu a zobrazte příspěvky velké komunity a Microsoftu. Tady najdete nové nápady, šablony a konverzace o všech oblastech funkcí služby Microsoft Sentinel.
Sešity Microsoft Sentinelu jsou založené na sešitech služby Azure Monitor, takže jsou k dispozici rozsáhlá dokumentace a šablony. Skvělým místem, kde začít, je vytváření interaktivních sestav pomocí sešitů azure Monitoru. Ke stažení je kolekce komunitních šablon sešitů Azure Monitoru na GitHubu.
Další informace o doporučených technologiích najdete tady:
- Co je Microsoft Sentinel?
- Rychlý start: On-board Microsoft Sentinel
- Microsoft Graph Security tiIndicators API
- Kurz: Vyšetřování incidentů pomocí Služby Microsoft Sentinel
- Kurz: Nastavení automatizovaných reakcí na hrozby v Microsoft Sentinelu