Sdílet prostřednictvím

Práce s indikátory hrozeb v Microsoft Sentinelu

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Integrujte analýzu hrozeb (TI) do Microsoft Sentinelu prostřednictvím následujících aktivit:

  • Import analýzy hrozeb do Microsoft Sentinelu povolením datových konektorů do různých platforem a informačních kanálů TI

  • Zobrazení a správa importovaných inteligentních informací o hrozbách v protokolech a na stránce Analýzy hrozeb v Microsoft Sentinelu

  • Detekce hrozeb a generování výstrah zabezpečení a incidentů pomocí předdefinovaných šablon pravidel Analytics na základě importovaných analýz hrozeb.

  • Vizualizujte klíčové informace o importované inteligenci hrozeb v Microsoft Sentinelu pomocí sešitu analýzy hrozeb.

Důležité

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Zobrazení indikátorů hrozeb v Microsoft Sentinelu

Vyhledání a zobrazení indikátorů na stránce Analýza hrozeb

Tento postup popisuje, jak zobrazit a spravovat indikátory na stránce Analýza hrozeb, která je přístupná z hlavní nabídky Služby Microsoft Sentinel. Pomocí stránky Analýza hrozeb můžete řadit, filtrovat a prohledávat importované indikátory hrozeb bez psaní dotazu Log Analytics.

Zobrazení indikátorů analýzy hrozeb na stránce Analýza hrozeb:

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Analýzu hrozeb.
    Pro Microsoft Sentinel na portálu Defender vyberte analýzu hrozeb pro správu>hrozeb v Microsoft Sentinelu>.

  2. V mřížce vyberte indikátor, pro který chcete zobrazit další podrobnosti. Podrobnosti o indikátoru se zobrazují napravo a zobrazují informace, jako jsou úrovně spolehlivosti, značky, typy hrozeb a další.

  3. Microsoft Sentinel zobrazuje v tomto zobrazení jenom nejaktuálnější verzi indikátorů. Další informace o tom, jak se indikátory aktualizují, najdete v tématu Vysvětlení analýzy hrozeb.

  4. Indikátory IP adres a názvů domén jsou rozšířeny o další data GeoLocation a WhoIs, což poskytuje další kontext pro šetření, kde se vybraný indikátor nachází.

Příklad:

Snímek obrazovky se stránkou Analýza hrozeb s indikátorem, který zobrazuje data GeoLocation a WhoIs

Důležité

Rozšíření GeoLocation a WhoIs je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Vyhledání a zobrazení indikátorů v protokolech

Tento postup popisuje, jak zobrazit importované indikátory hrozeb v oblasti protokolů Microsoft Sentinelu spolu s dalšími daty událostí Microsoft Sentinelu bez ohledu na použitý zdrojový kanál nebo konektor.

Importované indikátory hrozeb jsou uvedeny v tabulce Microsoft Sentinel > ThreatIntelligenceIndicator, což je základ pro dotazy analýzy hrozeb spuštěné jinde v Microsoft Sentinelu, například v Analytických nebo Sešitech.

Zobrazení indikátorů analýzy hrozeb v protokolech:

  1. Pro Microsoft Sentinel na webu Azure Portal v části Obecné vyberte Protokoly.
    Pro Microsoft Sentinel na portálu Defender vyberte Prošetření a proaktivní vyhledávání proaktivního vyhledávání> odpovědí.>

  2. Tabulka ThreatIntelligenceIndicator se nachází ve skupině Microsoft Sentinel .

  3. Vyberte ikonu Náhled dat (oko) vedle názvu tabulky a výběrem tlačítka Zobrazit v editoru dotazů spusťte dotaz, který zobrazí záznamy z této tabulky.

    Výsledky by měly vypadat podobně jako indikátor ukázkové hrozby zobrazené na tomto snímku obrazovky:

    Snímek obrazovky ukazuje ukázkové výsledky tabulky ThreatIntelligenceIndicator s rozbalenými podrobnostmi.

Vytváření a označování indikátorů

Stránka Analýza hrozeb také umožňuje vytvářet indikátory hrozeb přímo v rozhraní Služby Microsoft Sentinel a provádět dvě z nejběžnějších úloh správy analýzy hrozeb: označování indikátorů a vytváření nových indikátorů souvisejících s vyšetřováním zabezpečení.

Vytvoření nového indikátoru

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Analýzu hrozeb.
    Pro Microsoft Sentinel na portálu Defender vyberte analýzu hrozeb pro správu>hrozeb v Microsoft Sentinelu>.

  2. V řádku nabídek v horní části stránky vyberte tlačítko Přidat nový.

    Přidání nového indikátoru hrozby

  3. Zvolte typ ukazatele a pak vyplňte formulář na panelu Nový indikátor . Povinná pole jsou označena červenou hvězdičkou (*).

  4. Vyberte Použít. Indikátor se přidá do seznamu indikátorů a také se odešle do tabulky ThreatIntelligenceIndicator v protokolech.

Označení a úprava indikátorů hrozeb

Označení indikátorů hrozeb je snadný způsob, jak je seskupit, aby bylo snazší je najít. Značky obvykle můžete použít na indikátor související s konkrétním incidentem nebo představující hrozby od určitého známého aktéra nebo dobře známé kampaně útoku. Jakmile hledáte indikátory, se kterými chcete pracovat, označte je jednotlivě nebo vícenásobným výběrem indikátorů a označte je všechny najednou pomocí jedné nebo více značek. Vzhledem k tomu, že označování je bezplatné, doporučuje se vytvořit standardní zásady vytváření názvů pro značky indikátorů hrozeb.

Snímek obrazovky s použitím značek na indikátory hrozeb

Microsoft Sentinel vám také umožňuje upravovat indikátory, ať už byly vytvořeny přímo v Microsoft Sentinelu, nebo pocházejí z partnerských zdrojů, jako jsou tip a servery TAXII. U indikátorů vytvořených v Microsoft Sentinelu se všechna pole dají upravovat. U indikátorů pocházejících z partnerských zdrojů se dají upravovat jenom konkrétní pole, včetně značek, data vypršení platnosti, spolehlivosti a odvolání. V obou směrech mějte na paměti, že v zobrazení stránky Analýza hrozeb se zobrazí jenom nejnovější verze indikátoru. Další informace o tom, jak se indikátory aktualizují, najdete v tématu Vysvětlení analýzy hrozeb.

Sešity poskytují přehledy o vaší analýze hrozeb

Pomocí účelového sešitu Microsoft Sentinel můžete vizualizovat klíčové informace o vaší analýze hrozeb v Microsoft Sentinelu a přizpůsobit sešit podle vašich obchodních potřeb.

Tady je postup, jak najít sešit analýzy hrozeb poskytovaný v Microsoft Sentinelu a příklad, jak sešit upravit a přizpůsobit ho.

  1. Na webu Azure Portal přejděte do služby Microsoft Sentinel .

  2. Zvolte pracovní prostor, do kterého jste importovali indikátory hrozeb pomocí datového konektoru analýzy hrozeb.

  3. V nabídce Microsoft Sentinel vyberte Sešity v části Správa hrozeb.

  4. Najděte sešit s názvem Analýza hrozeb a ověřte, že máte data v tabulce ThreatIntelligenceIndicator , jak je znázorněno níže.

    Ověření dat

  5. Vyberte tlačítko Uložit a zvolte umístění Azure, do které chcete sešit uložit. Tento krok je povinný, pokud sešit upravíte jakýmkoli způsobem a uložíte změny.

  6. Teď výběrem tlačítka Zobrazit uložený sešit otevřete sešit pro zobrazení a úpravy.

  7. Teď byste měli vidět výchozí grafy, které šablona poskytuje. Pokud chcete upravit graf, vyberte tlačítko Upravit v horní části stránky a přejděte do režimu úprav sešitu.

  8. Přidejte nový graf indikátorů hrozeb podle typu hrozby. Posuňte se do dolní části stránky a vyberte Přidat dotaz.

  9. Do textového pole log query pracovního prostoru služby Log Analytics přidejte následující text:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

  10. V rozevíracím seznamu Vizualizace vyberte Pruhový graf.

  11. Vyberte tlačítko Dokončit úpravy. Vytvořili jste nový graf pro sešit.

    Pruhový graf

Sešity poskytují výkonné interaktivní řídicí panely, které poskytují přehled o všech aspektech Služby Microsoft Sentinel. Se sešity můžete dělat hodně a i když jsou poskytnuté šablony skvělým výchozím bodem, budete se pravděpodobně chtít ponořit do těchto šablon a přizpůsobit je nebo vytvořit nové řídicí panely, které kombinují mnoho různých zdrojů dat, aby bylo možné data vizualizovat jedinečnými způsoby. Vzhledem k tomu, že sešity Microsoft Sentinelu jsou založené na sešitech služby Azure Monitor, je už k dispozici rozsáhlá dokumentace a mnoho dalších šablon. Skvělým místem, kde začít, je tento článek o vytváření interaktivních sestav pomocí sešitů služby Azure Monitor.

Existuje také bohatá komunita sešitů Azure Monitoru na GitHubu ke stažení dalších šablon a přispívání vlastních šablon.

Související obsah

V tomto článku jste se seznámili se všemi způsoby práce s indikátory analýzy hrozeb v rámci Microsoft Sentinelu. Další informace o analýze hrozeb v Microsoft Sentinelu najdete v následujících článcích: