Přidání entit do analýzy hrozeb v Microsoft Sentinelu

• Platí pro:

  Microsoft Sentinel in the Azure portal

Během vyšetřování prozkoumáte entity a jejich kontext jako důležitou součást porozumění rozsahu a povaze incidentu. Když v incidentu zjistíte entitu jako škodlivý název domény, adresu URL, soubor nebo IP adresu, měla by být označena a sledována jako indikátor ohrožení zabezpečení (IOC) ve vaší analýze hrozeb.

Můžete například zjistit IP adresu, která provádí prohledávání portů v síti nebo funguje jako příkaz a řídicí uzel odesláním a/nebo příjmem přenosů z velkého počtu uzlů ve vaší síti.

S Microsoft Sentinelem můžete tyto typy entit označit příznakem v rámci vyšetřování incidentu a přidat je do analýzy hrozeb. Přidané indikátory můžete zobrazit v protokolech a analýze hrozeb a používat je v pracovním prostoru Služby Microsoft Sentinel.

Přidání entity do analýzy hrozeb

Stránka Podrobnosti incidentu a graf šetření poskytují dva způsoby, jak přidat entity do analýzy hrozeb.

Podrobnosti incidentu

1. V nabídce Microsoft Sentinel vyberte v části Správa hrozeb incidenty.

2. Vyberte incident, který chcete prošetřit. V podokně Podrobnosti incidentu vyberte Zobrazit úplné podrobnosti a otevřete stránku Podrobnosti incidentu.

3. V podokně Entity vyhledejte entitu, kterou chcete přidat jako indikátor hrozby. (Seznam můžete filtrovat nebo zadat hledaný řetězec, který vám pomůže ho najít.)

   

4. Vyberte tři tečky napravo od entity a v místní nabídce vyberte Přidat do TI .

   Jako indikátory hrozeb přidejte pouze následující typy entit:

   • Název domény
   • IP adresa (IPv4 a IPv6)
   • Adresa URL
   • Soubor (hash)

   

Graf šetření

Graf šetření je vizuální a intuitivní nástroj, který prezentuje propojení a vzory a umožňuje analytikům klást správné otázky a sledovat potenciální zákazníky. Můžete je použít k přidání entit do seznamů indikátorů analýzy hrozeb tím, že je zpřístupníte v celém pracovním prostoru.

1. V nabídce Microsoft Sentinel vyberte v části Správa hrozeb incidenty.

2. Vyberte incident, který chcete prošetřit. V podokně Podrobností incidentu vyberte Akce a v místní nabídce zvolte Prozkoumat. Otevře se graf šetření.

   

3. Vyberte entitu z grafu, kterou chcete přidat jako indikátor hrozby. V bočním podokně, které se otevře, vyberte Přidat do TI.

   Jako indikátory hrozeb přidejte pouze následující typy entit:

   • Název domény
   • IP adresa (IPv4 a IPv6)
   • Adresa URL
   • Soubor (hash)

   

Ať už zvolíte jakákoli z těchto dvou rozhraní, skončíte tady.

1. Otevře se boční podokno Nový indikátor . Následující pole se vyplní automaticky:

   • Typy

     • Typ ukazatele představovaný entitou, kterou přidáváte.
       • Rozevírací seznam s možnými hodnotami: ipv4-addr, ipv6-addr, URL, file, a domain-name.
     • Povinný: Automaticky vyplněno na základě typu entity.

   • Hodnota

     • Název tohoto pole se dynamicky změní na vybraný typ ukazatele.
     • Hodnota samotného ukazatele.
     • Povinný: Automaticky naplněné hodnotou entity.

   • Značky

     • Značky volného textu, které můžete přidat do indikátoru.
     • Nepovinné. Automaticky vyplněné ID incidentu. Můžete přidat další uživatele.

   • Název

     • Název ukazatele Tento název se zobrazí v seznamu indikátorů.
     • Nepovinné. Automaticky vyplněný názvem incidentu.

   • Vytvořil/a

     • Tvůrce ukazatele.
     • Nepovinné. Automaticky vyplní uživatel přihlášený k Microsoft Sentinelu.

   Vyplňte zbývající pole odpovídajícím způsobem.

   • Typy hrozeb

     • Typ hrozby reprezentovaný indikátorem.
     • Nepovinné. Volný text.

   • Popis

     • Popis ukazatele
     • Nepovinné. Volný text.

   • Odvolaný

     • Stav indikátoru byl odvolán. Pokud chcete indikátor odvolat, zaškrtněte políčko. Zrušte zaškrtnutí políčka, aby byl aktivní.
     • Nepovinné. Logický.

   • Spolehlivost

     • Skóre, které odráží spolehlivost správnosti dat v procentech
     • Nepovinné. Celé číslo, 1–100.

   • Kill chain

     • Fáze v Lockheed Martin Cyber Kill Chain , ke kterému indikátor odpovídá.
     • Nepovinné. Volný text.

   • Platné od

     • Čas, od kterého se tento indikátor považuje za platný.
     • Povinný: Datum a čas.

   • Platné do

     • Čas, kdy by tento indikátor již neměl být považován za platný.
     • Nepovinné. Datum a čas.

   

2. Jakmile se všechna pole vyplní k vaší spokojenosti, vyberte Použít. V pravém horním rohu se zobrazí zpráva, která potvrzuje, že se indikátor vytvořil.

3. Entita se přidá jako indikátor hrozby ve vašem pracovním prostoru. Najdete ho v seznamu indikátorů na stránce Analýza hrozeb. Najdete ji také v tabulce ThreatIntelligenceIndicators v protokolech.

Související obsah

V tomto článku jste se dozvěděli, jak přidat entity do seznamů indikátorů hrozeb. Další informace najdete v následujících článcích:

• Vyšetřování incidentů s využitím služby Microsoft Sentinel
• Principy analýzy hrozeb v Microsoft Sentinelu
• Práce s indikátory hrozeb v Microsoft Sentinelu