Sdílet prostřednictvím

Práce s analýzou hrozeb v Microsoft Sentinelu

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Urychlete detekci a nápravu hrozeb díky zjednodušenému vytváření a správě inteligentních hrozeb. Tento článek ukazuje, jak zajistit největší integraci analýzy hrozeb v rozhraní pro správu bez ohledu na to, jestli k ní přistupujete z Microsoft Sentinelu na portálu Defender nebo na webu Azure Portal.

  • Vytvořte objekty zpravodajské analýzy hrozeb pomocí výrazu strukturovaných informací o hrozbách (STIX)
  • Správa analýzy hrozeb zobrazením, kurátorováním a vizualizací

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu, včetně pro zákazníky bez licence Microsoft Defender XDR nebo E5.

Od července 2026 bude Microsoft Sentinel podporován pouze na portálu Defender a všichni zbývající zákazníci, kteří používají Azure Portal, se automaticky přesměrují.

Doporučujeme, aby všichni zákazníci, kteří používají Microsoft Sentinel v Azure, začali plánovat přechod na portál Defender pro úplné jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu Plánování přechodu na portál Microsoft Defender pro všechny zákazníky Microsoft Sentinelu.

Přístup k rozhraní pro správu

V závislosti na tom, kde chcete pracovat s analýzami hrozeb, použijte jednu z následujících karet. I když se k rozhraní pro správu přistupuje jinak v závislosti na tom, který portál používáte, mají úlohy vytváření a správy stejný postup, jakmile se tam dostanete.

Na portálu Defender přejděte do Hrozbové zpravodajství>Správa zpravodajských informací.

Snímek obrazovky s položkou nabídky Intel Management na portálu Defender

Vytvoření analýzy hrozeb

Pomocí rozhraní pro správu můžete vytvářet objekty STIX a provádět další běžné úlohy analýzy hrozeb, jako je označování indikátorů a navazování propojení mezi objekty.

  • Definujte relace při vytváření nových objektů STIX.
  • Pomocí duplicitní funkce můžete rychle vytvořit více objektů a zkopírovat metadata z nového nebo existujícího objektu TI.

Další informace o podporovaných objektech STIX najdete v tématu Analýza hrozeb v Microsoft Sentinelu.

Vytvoření nového objektu STIX

  1. Vyberte Přidat nový>objekt TI.

    Snímek obrazovky znázorňující přidání nového indikátoru hrozby

  2. Zvolte typ objektu a pak vyplňte formulář na stránce Nový objekt TI. Povinná pole jsou označená červenou hvězdičkou (*).

  3. Zvažte určení hodnoty citlivosti nebo hodnocení TLP (Traffic Light Protocol ) pro objekt TI. Další informace o tom, co hodnoty představují, najdete v tématu Curate threat intelligence.

  4. Pokud víte, jak se tento objekt vztahuje k jinému objektu analýzy hrozeb, uveďte toto spojení pomocí typ vztahu a referenci cíle.

  5. Pokud chcete vytvořit více položek se stejnými metadaty, vyberte Přidat pro jednotlivé objekty nebo Přidat a duplikovat . Následující obrázek znázorňuje společnou část metadat každého objektu STIX, která jsou duplikována.

Snímek obrazovky znázorňující vytvoření nového objektu STIX a společná metadata dostupná pro všechny objekty

Správa analýzy hrozeb

Optimalizujte TI z vašich zdrojů pomocí pravidel příjmu dat. Spravujte stávající TI pomocí nástroje pro vytváření vztahů. Pomocí rozhraní pro správu můžete vyhledávat, filtrovat a řadit a pak do analýzy hrozeb přidávat značky.

Optimalizace informačních kanálů analýzy hrozeb s využitím pravidel příjmu dat

Snižte šum z informačních kanálů TI, rozšiřte platnost indikátorů s vysokou hodnotou a přidejte do příchozích objektů smysluplné značky. Toto jsou jen některé případy použití pravidel ingestování. Tady jsou kroky pro rozšíření data platnosti u ukazatelů vysoké hodnoty.

  1. Výběrem pravidel příjmu dat otevřete celou novou stránku pro zobrazení existujících pravidel a vytvoření nové logiky pravidla.

    Snímek obrazovky znázorňující nabídku správy analýzy hrozeb, která se zobrazuje při přechodu na pravidla příjmu dat

  2. Zadejte popisný název pravidla. Stránka pravidel příjmu dat má pro název řadu pravidel, ale je to jediný textový popis, který je k dispozici k rozlišení pravidel bez jejich úprav.

  3. Vyberte typ objektu. Tento případ použití je založen na rozšíření Valid from vlastnosti, která je k dispozici pouze pro Indicator typy objektů.

  4. Přidejte podmínku a SourceEquals vyberte vysokou hodnotu Source.

  5. Přidejte podmínkuConfidence a Greater than or equalConfidence zadejte skóre.

  6. Vyberte akci. Vzhledem k tomu, že chceme tento indikátor upravit, vyberte Edit.

  7. Vyberte akci Přidat pro Valid untilpoložku a Extend byvyberte časové období ve dnech.

  8. Zvažte přidání značky, která označuje vysokou hodnotu umístěnou na těchto indikátorech, například Extended. Datum změny se neaktualizuje pravidly příjmu dat.

  9. Vyberte pořadí, ve které má pravidlo běžet. Pravidla probíhají od nejnižšího pořadového čísla k nejvyššímu. Každé pravidlo vyhodnocuje každý přijatý objekt.

  10. Pokud je pravidlo připravené k povolení, přepněte Status na zapnuto.

  11. Výběrem možnosti Přidat vytvořte pravidlo příjmu dat.

Snímek obrazovky znázorňující vytvoření nového pravidla pro ingestování pro prodloužení platnosti do určitého data.

Další informace najdete v tématu Pravidla příjmu dat analýzy hrozeb.

Spravovat informační analýzu o hrozbách pomocí nástroje pro tvorbu vztahů.

Propojení objektů analýzy hrozeb s tvůrcem relací V editoru je současně maximálně 20 vztahů, ale více vazeb lze vytvořit více iteracemi a přidáním cílových odkazů vztahů pro nové objekty.

  1. Vyberte Přidat novou relaci>TI.

  2. Začněte existujícím objektem TI, například objektem objektu hrozby nebo vzorem útoku, ve kterém se jeden objekt připojuje k jednomu nebo více existujícím objektům, jako jsou indikátory.

  3. Přidejte typ relace podle osvědčených postupů popsaných v následující tabulce a v souhrnné tabulce referenčních relací STIX 2.1:

    Typ vztahu Popis
    Duplikát
    Odvozeno z
    Související s    		 Běžné relace definované pro libovolný objekt domény STIX (SDO)
    Pro více informací si prohlédněte referenční dokument STIX 2.1 o běžných vztazích.
    cíle Attack pattern nebo Threat actor cíle Identity
    Používá Threat actor Používá Attack pattern
    Připsáno Threat actor Přiřazeno Identity
    Označuje IndicatorOznačuje Attack pattern nebo Threat actor
    Napodobňuje Threat actor Zosobňuje Identity

  4. Jako příklad použití tvůrce relací použijte následující obrázek. Tento příklad ukazuje, jak vytvořit propojení mezi hrozbovým aktérem a vzorem útoku, indikátorem a identitou pomocí nástroje pro vytváření relací v portálu Defender.

    Snímek obrazovky znázorňující tvůrce relací

  5. Dokončete relaci konfigurací společných vlastností.

Zobrazení analýzy hrozeb v rozhraní pro správu

Pomocí rozhraní pro správu můžete řadit, filtrovat a prohledávat analýzu hrozeb z libovolného zdroje, ze které byly přijaty, aniž byste museli psát dotaz Log Analytics.

  1. V rozhraní pro správu rozbalte nabídku Co chcete hledat?

  2. Vyberte typ objektu STIX nebo ponechte výchozí všechny typy objektů.

  3. Vyberte podmínky pomocí logických operátorů.

  4. Vyberte objekt, o který chcete zobrazit další informace.

Na následujícím obrázku se k hledání použilo více zdrojů umístěním do OR skupiny, zatímco více podmínek bylo seskupeno s operátorem AND.

Snímek obrazovky znázorňující operátor OR v kombinaci s několika podmínkami AND pro vyhledávání analýzy hrozeb

Microsoft Sentinel zobrazuje v tomto zobrazení jenom nejnovější verzi informací o hrozbách. Další informace o tom, jak se objekty aktualizují, najdete v tématu Životní cyklus analýzy hrozeb.

Indikátory IP adres a názvů domén jsou rozšířeny o další GeoLocation data a WhoIs data, abyste mohli poskytnout další kontext pro všechna šetření, ve kterých se nachází indikátor.

Následuje příklad.

Snímek obrazovky zobrazující stránku Analýzy hrozeb s indikátorem, který zobrazuje data GeoLocation a WhoIs

Důležité

GeoLocation a WhoIs rozšíření je aktuálně v předběžné verzi. Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Označení a úprava zpravodajských informací o hrozbách

Označování inteligentních hrozeb je rychlý způsob, jak seskupit objekty dohromady, aby bylo snazší je najít. Obvykle můžete použít značky související s konkrétním incidentem. Pokud ale objekt představuje hrozby od určitého známého subjektu nebo dobře známé útokové kampaně, zvažte vytvoření vztahu místo značky.

  1. Pomocí rozhraní pro správu můžete řadit, filtrovat a hledat analýzu hrozeb.
  2. Jakmile najdete objekty, které chcete použít, vyberte více objektů stejného typu.
  3. Vyberte Přidat značky a označte je všechny najednou pomocí jedné nebo více značek.
  4. Vzhledem k tomu, že označování je bezplatné, doporučujeme vytvořit standardní zásady vytváření názvů pro značky ve vaší organizaci.

Zpracovávejte informace o hrozbách postupně po jednotlivých objektech, ať už jsou vytvořené přímo ve službě Microsoft Sentinel nebo pocházejí z partnerských zdrojů, jako jsou servery TIP a TAXII. U informací o hrozbách vytvořených v rozhraní pro správu se dají upravit všechna pole. U informací o hrozbách přijatých z partnerských zdrojů se dají upravovat jenom konkrétní pole, včetně značek, data vypršení platnosti, spolehlivosti a odvolání. V obou směrech se v rozhraní pro správu zobrazí pouze nejnovější verze objektu.

Další informace o tom, jak se aktualizují informace o hrozbách, najdete v tématu Zobrazení analýzy hrozeb.

Vyhledání a zobrazení analýzy hrozeb pomocí dotazů

Tento postup popisuje, jak zobrazit analýzu hrozeb s dotazy bez ohledu na zdrojový kanál nebo metodu, kterou jste použili k jejich ingestování.

Indikátory hrozeb se ukládají v tabulce Microsoft Sentinelu ThreatIntelligenceIndicator . Tato tabulka je základem pro dotazy týkající se analýzy hrozeb prováděné jinými funkcemi Microsoft Sentinelu, například Analytika, Proaktivní vyhledávání a Sešity.

Důležité

Dne 3. dubna 2025 jsme veřejně náhledovali dvě nové tabulky, které podporují indikátory STIX a schémata objektů: ThreatIntelIndicators a ThreatIntelObjects. Microsoft Sentinel bude ingestovat všechny inteligentní informace o hrozbách do těchto nových tabulek a zároveň bude dál ingestovat stejná data do starší ThreatIntelligenceIndicator tabulky až do 31. července 2025. Nezapomeňte aktualizovat vlastní dotazy, pravidla analýzy a detekce, sešity a automatizaci tak, aby nové tabulky používaly do 31. července 2025. Po tomto datu přestane Microsoft Sentinel ingestovat data do starší ThreatIntelligenceIndicator tabulky. Aktualizujeme všechna předem hotová řešení analýzy hrozeb v centru obsahu, aby využívaly nové tabulky. Další informace o nových schématech tabulek naleznete v tématu ThreatIntelIndicators a ThreatIntelObjects. Informace o používání a migraci do nových tabulek najdete v tématu (Práce s objekty STIX pro vylepšení analýzy hrozeb a proaktivního vyhledávání hrozeb v Microsoft Sentinelu (Preview)[work-with-stix-objects-indicators.md].

  1. Pro Microsoft Sentinel na portálu Defender vyberte Vyšetřování a reakce>Lov>Pokročilé vyhledávání.

  2. Tabulka ThreatIntelligenceIndicator se nachází ve skupině Microsoft Sentinel .

Snímek obrazovky s možností přidat seznam ke zhlédnutí na stránce seznamu ke zhlédnutí

Další informace najdete v tématu Zobrazení analýzy hrozeb.

Vizualizace analýzy hrozeb pomocí sešitů

Pomocí účelového sešitu Microsoft Sentinel můžete vizualizovat klíčové informace o vaší analýze hrozeb v Microsoft Sentinelu a přizpůsobit sešit podle vašich obchodních potřeb.

Tady je postup, jak najít sešit analýzy hrozeb poskytovaný v Microsoft Sentinelu a příklad, jak sešit upravit a přizpůsobit ho.

  1. Na webu Azure Portal přejděte na Microsoft Sentinel.

  2. Zvolte pracovní prostor, do kterého jste importovali indikátory hrozeb pomocí datového konektoru analýzy hrozeb.

  3. V části Správa hrozeb v nabídce Microsoft Sentinel vyberte Sešity.

  4. Najděte sešit s názvem Analýza hrozeb. Ověřte, že máte data v ThreatIntelligenceIndicator tabulce.

    Snímek obrazovky znázorňující ověření, že máte data

  5. Vyberte Uložit a zvolte umístění Azure, do kterého chcete sešit uložit. Tento krok je povinný, pokud chcete sešit upravit jakýmkoli způsobem a uložit změny.

  6. Teď vyberte Zobrazit uložený sešit a otevřete sešit pro zobrazení a úpravy.

  7. Teď byste měli vidět výchozí grafy, které šablona poskytuje. Pokud chcete upravit graf, vyberte Upravit v horní části stránky a spusťte režim úprav sešitu.

  8. Přidejte nový graf indikátorů hrozeb podle typu hrozby. Posuňte se do dolní části stránky a vyberte Přidat dotaz.

  9. Do textového pole log query pracovního prostoru služby Log Analytics přidejte následující text:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

    Další informace o následujících položkách použitých v předchozím příkladu najdete v dokumentaci Kusto:

  10. V rozevírací nabídce Vizualizace vyberte Pruhový graf.

  11. Vyberte Úpravy dokončené a zobrazte nový graf sešitu.

    Snímek obrazovky znázorňující pruhový graf sešitu

Sešity poskytují výkonné interaktivní řídicí panely, které vám nabízejí pohled na všechny aspekty Microsoft Sentinel. S sešity můžete provádět mnoho úkolů a poskytnuté šablony jsou skvělým výchozím bodem. Přizpůsobte si šablony nebo vytvořte nové řídicí panely kombinováním mnoha zdrojů dat, abyste svá data mohli vizualizovat jedinečnými způsoby.

Sešity Služby Microsoft Sentinel jsou založené na sešitech služby Azure Monitor, takže je k dispozici rozsáhlá dokumentace a mnoho dalších šablon. Další informace najdete v tématu Vytváření interaktivních sestav pomocí sešitů Azure Monitoru.

Existuje také bohatý prostředek pro sešity Azure Monitoru na GitHubu, kde si můžete stáhnout další šablony a přispívat vlastními šablonami.

Související obsah

Další informace najdete v následujících článcích:

Další informace o KQL najdete v přehledu dotazovací jazyk Kusto (KQL).

Další zdroje informací: