Práce s indikátory hrozeb v Microsoft Sentinelu
Integrujte analýzu hrozeb (TI) do Microsoft Sentinelu prostřednictvím následujících aktivit:
Import analýzy hrozeb do Microsoft Sentinelu povolením datových konektorů do různých platforem a informačních kanálů TI
Zobrazení a správa importovaných inteligentních informací o hrozbách v protokolech a na stránce Analýzy hrozeb v Microsoft Sentinelu
Detekce hrozeb a generování výstrah zabezpečení a incidentů pomocí předdefinovaných šablon pravidel Analytics na základě importovaných analýz hrozeb.
Vizualizujte klíčové informace o importované inteligenci hrozeb v Microsoft Sentinelu pomocí sešitu analýzy hrozeb.
Důležité
Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Zobrazení indikátorů hrozeb v Microsoft Sentinelu
Vyhledání a zobrazení indikátorů na stránce Analýza hrozeb
Tento postup popisuje, jak zobrazit a spravovat indikátory na stránce Analýza hrozeb, která je přístupná z hlavní nabídky Služby Microsoft Sentinel. Pomocí stránky Analýza hrozeb můžete řadit, filtrovat a prohledávat importované indikátory hrozeb bez psaní dotazu Log Analytics.
Zobrazení indikátorů analýzy hrozeb na stránce Analýza hrozeb:
Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Analýzu hrozeb.
Pro Microsoft Sentinel na portálu Defender vyberte analýzu hrozeb pro správu>hrozeb v Microsoft Sentinelu>.V mřížce vyberte indikátor, pro který chcete zobrazit další podrobnosti. Podrobnosti o indikátoru se zobrazují napravo a zobrazují informace, jako jsou úrovně spolehlivosti, značky, typy hrozeb a další.
Microsoft Sentinel zobrazuje v tomto zobrazení jenom nejaktuálnější verzi indikátorů. Další informace o tom, jak se indikátory aktualizují, najdete v tématu Vysvětlení analýzy hrozeb.
Indikátory IP adres a názvů domén jsou rozšířeny o další data GeoLocation a WhoIs, což poskytuje další kontext pro šetření, kde se vybraný indikátor nachází.
Příklad:
Důležité
Rozšíření GeoLocation a WhoIs je aktuálně ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Vyhledání a zobrazení indikátorů v protokolech
Tento postup popisuje, jak zobrazit importované indikátory hrozeb v oblasti protokolů Microsoft Sentinelu spolu s dalšími daty událostí Microsoft Sentinelu bez ohledu na použitý zdrojový kanál nebo konektor.
Importované indikátory hrozeb jsou uvedeny v tabulce Microsoft Sentinel > ThreatIntelligenceIndicator, což je základ pro dotazy analýzy hrozeb spuštěné jinde v Microsoft Sentinelu, například v Analytických nebo Sešitech.
Zobrazení indikátorů analýzy hrozeb v protokolech:
Pro Microsoft Sentinel na webu Azure Portal v části Obecné vyberte Protokoly.
Pro Microsoft Sentinel na portálu Defender vyberte Prošetření a proaktivní vyhledávání proaktivního vyhledávání> odpovědí.>Tabulka ThreatIntelligenceIndicator se nachází ve skupině Microsoft Sentinel .
Vyberte ikonu Náhled dat (oko) vedle názvu tabulky a výběrem tlačítka Zobrazit v editoru dotazů spusťte dotaz, který zobrazí záznamy z této tabulky.
Výsledky by měly vypadat podobně jako indikátor ukázkové hrozby zobrazené na tomto snímku obrazovky:
Vytváření a označování indikátorů
Stránka Analýza hrozeb také umožňuje vytvářet indikátory hrozeb přímo v rozhraní Služby Microsoft Sentinel a provádět dvě z nejběžnějších úloh správy analýzy hrozeb: označování indikátorů a vytváření nových indikátorů souvisejících s vyšetřováním zabezpečení.
Vytvoření nového indikátoru
Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Analýzu hrozeb.
Pro Microsoft Sentinel na portálu Defender vyberte analýzu hrozeb pro správu>hrozeb v Microsoft Sentinelu>.V řádku nabídek v horní části stránky vyberte tlačítko Přidat nový.
Zvolte typ ukazatele a pak vyplňte formulář na panelu Nový indikátor . Povinná pole jsou označena červenou hvězdičkou (*).
Vyberte Použít. Indikátor se přidá do seznamu indikátorů a také se odešle do tabulky ThreatIntelligenceIndicator v protokolech.
Označení a úprava indikátorů hrozeb
Označení indikátorů hrozeb je snadný způsob, jak je seskupit, aby bylo snazší je najít. Značky obvykle můžete použít na indikátor související s konkrétním incidentem nebo představující hrozby od určitého známého aktéra nebo dobře známé kampaně útoku. Jakmile hledáte indikátory, se kterými chcete pracovat, označte je jednotlivě nebo vícenásobným výběrem indikátorů a označte je všechny najednou pomocí jedné nebo více značek. Vzhledem k tomu, že označování je bezplatné, doporučuje se vytvořit standardní zásady vytváření názvů pro značky indikátorů hrozeb.
Microsoft Sentinel vám také umožňuje upravovat indikátory, ať už byly vytvořeny přímo v Microsoft Sentinelu, nebo pocházejí z partnerských zdrojů, jako jsou tip a servery TAXII. U indikátorů vytvořených v Microsoft Sentinelu se všechna pole dají upravovat. U indikátorů pocházejících z partnerských zdrojů se dají upravovat jenom konkrétní pole, včetně značek, data vypršení platnosti, spolehlivosti a odvolání. V obou směrech mějte na paměti, že v zobrazení stránky Analýza hrozeb se zobrazí jenom nejnovější verze indikátoru. Další informace o tom, jak se indikátory aktualizují, najdete v tématu Vysvětlení analýzy hrozeb.
Sešity poskytují přehledy o vaší analýze hrozeb
Pomocí účelového sešitu Microsoft Sentinel můžete vizualizovat klíčové informace o vaší analýze hrozeb v Microsoft Sentinelu a přizpůsobit sešit podle vašich obchodních potřeb.
Tady je postup, jak najít sešit analýzy hrozeb poskytovaný v Microsoft Sentinelu a příklad, jak sešit upravit a přizpůsobit ho.
Na webu Azure Portal přejděte do služby Microsoft Sentinel .
Zvolte pracovní prostor, do kterého jste importovali indikátory hrozeb pomocí datového konektoru analýzy hrozeb.
V nabídce Microsoft Sentinel vyberte Sešity v části Správa hrozeb.
Najděte sešit s názvem Analýza hrozeb a ověřte, že máte data v tabulce ThreatIntelligenceIndicator , jak je znázorněno níže.
Vyberte tlačítko Uložit a zvolte umístění Azure, do které chcete sešit uložit. Tento krok je povinný, pokud sešit upravíte jakýmkoli způsobem a uložíte změny.
Teď výběrem tlačítka Zobrazit uložený sešit otevřete sešit pro zobrazení a úpravy.
Teď byste měli vidět výchozí grafy, které šablona poskytuje. Pokud chcete upravit graf, vyberte tlačítko Upravit v horní části stránky a přejděte do režimu úprav sešitu.
Přidejte nový graf indikátorů hrozeb podle typu hrozby. Posuňte se do dolní části stránky a vyberte Přidat dotaz.
Do textového pole log query pracovního prostoru služby Log Analytics přidejte následující text:
ThreatIntelligenceIndicator | summarize count() by ThreatType
V rozevíracím seznamu Vizualizace vyberte Pruhový graf.
Vyberte tlačítko Dokončit úpravy. Vytvořili jste nový graf pro sešit.
Sešity poskytují výkonné interaktivní řídicí panely, které poskytují přehled o všech aspektech Služby Microsoft Sentinel. Se sešity můžete dělat hodně a i když jsou poskytnuté šablony skvělým výchozím bodem, budete se pravděpodobně chtít ponořit do těchto šablon a přizpůsobit je nebo vytvořit nové řídicí panely, které kombinují mnoho různých zdrojů dat, aby bylo možné data vizualizovat jedinečnými způsoby. Vzhledem k tomu, že sešity Microsoft Sentinelu jsou založené na sešitech služby Azure Monitor, je už k dispozici rozsáhlá dokumentace a mnoho dalších šablon. Skvělým místem, kde začít, je tento článek o vytváření interaktivních sestav pomocí sešitů služby Azure Monitor.
Existuje také bohatá komunita sešitů Azure Monitoru na GitHubu ke stažení dalších šablon a přispívání vlastních šablon.
Související obsah
V tomto článku jste se seznámili se všemi způsoby práce s indikátory analýzy hrozeb v rámci Microsoft Sentinelu. Další informace o analýze hrozeb v Microsoft Sentinelu najdete v následujících článcích:
- Vysvětlení analýzy hrozeb v Microsoft Sentinelu
- Připojte Microsoft Sentinel k informačním kanálům ANALÝZY hrozeb STIX/TAXII.
- Podívejte se, které TIP, informační kanály TAXII a rozšiřování je možné snadno integrovat se službou Microsoft Sentinel.