Práce s indikátory hrozeb v Microsoft Sentinelu

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Integrujte analýzu hrozeb (TI) do Microsoft Sentinelu prostřednictvím následujících aktivit:

  • Import analýzy hrozeb do Microsoft Sentinelu povolením datových konektorů do různých platforem a informačních kanálů TI

  • Zobrazení a správa importovaných inteligentních informací o hrozbách v protokolech a na stránce Analýzy hrozeb v Microsoft Sentinelu

  • Detekce hrozeb a generování výstrah zabezpečení a incidentů pomocí předdefinovaných šablon pravidel Analytics na základě importovaných analýz hrozeb.

  • Vizualizujte klíčové informace o importované inteligenci hrozeb v Microsoft Sentinelu pomocí sešitu analýzy hrozeb.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Zobrazení indikátorů hrozeb v Microsoft Sentinelu

Vyhledání a zobrazení indikátorů na stránce Analýza hrozeb

Tento postup popisuje, jak zobrazit a spravovat indikátory na stránce Analýza hrozeb, která je přístupná z hlavní nabídky Služby Microsoft Sentinel. Pomocí stránky Analýza hrozeb můžete řadit, filtrovat a prohledávat importované indikátory hrozeb bez psaní dotazu Log Analytics.

Zobrazení indikátorů analýzy hrozeb na stránce Analýza hrozeb:

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Analýzu hrozeb.
    Pro Microsoft Sentinel na portálu Defender vyberte analýzu hrozeb pro správu>hrozeb v Microsoft Sentinelu>.

  2. V mřížce vyberte indikátor, pro který chcete zobrazit další podrobnosti. Podrobnosti o indikátoru se zobrazují napravo a zobrazují informace, jako jsou úrovně spolehlivosti, značky, typy hrozeb a další.

  3. Microsoft Sentinel zobrazuje v tomto zobrazení jenom nejaktuálnější verzi indikátorů. Další informace o tom, jak se indikátory aktualizují, najdete v tématu Vysvětlení analýzy hrozeb.

  4. Indikátory IP adres a názvů domén jsou rozšířeny o další data o geografické poloze a Kdo I, což poskytuje další kontext pro šetření, kde se nachází vybraný indikátor.

Příklad:

Důležité

Rozšíření geolokace a Kdo I je v současné době ve verzi PREVIEW. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Vyhledání a zobrazení indikátorů v protokolech

Tento postup popisuje, jak zobrazit importované indikátory hrozeb v oblasti protokolů Microsoft Sentinelu spolu s dalšími daty událostí Microsoft Sentinelu bez ohledu na použitý zdrojový kanál nebo konektor.

Importované indikátory hrozeb jsou uvedeny v tabulce Microsoft Sentinel > ThreatIntelligenceIndicator, což je základ pro dotazy analýzy hrozeb spuštěné jinde v Microsoft Sentinelu, například v Analytických nebo Sešitech.

Zobrazení indikátorů analýzy hrozeb v protokolech:

  1. Pro Microsoft Sentinel na webu Azure Portal v části Obecné vyberte Protokoly.
    Pro Microsoft Sentinel na portálu Defender vyberte Prošetření a proaktivní vyhledávání proaktivního vyhledávání> odpovědí.>

  2. Tabulka ThreatIntelligenceIndicator se nachází ve skupině Microsoft Sentinel .

  3. Vyberte ikonu Náhled dat (oko) vedle názvu tabulky a výběrem tlačítka Zobrazit v editoru dotazů spusťte dotaz, který zobrazí záznamy z této tabulky.

    Výsledky by měly vypadat podobně jako indikátor ukázkové hrozby zobrazené na tomto snímku obrazovky:

    Snímek obrazovky ukazuje ukázkové výsledky tabulky ThreatIntelligenceIndicator s rozbalenými podrobnostmi.

Vytváření a označování indikátorů

Stránka Analýza hrozeb také umožňuje vytvářet indikátory hrozeb přímo v rozhraní Služby Microsoft Sentinel a provádět dvě z nejběžnějších úloh správy analýzy hrozeb: označování indikátorů a vytváření nových indikátorů souvisejících s vyšetřováním zabezpečení.

Vytvoření nového indikátoru

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Analýzu hrozeb.
    Pro Microsoft Sentinel na portálu Defender vyberte analýzu hrozeb pro správu>hrozeb v Microsoft Sentinelu>.

  2. V řádku nabídek v horní části stránky vyberte tlačítko Přidat nový.

    Přidání nového indikátoru hrozby

  3. Zvolte typ ukazatele a pak vyplňte formulář na panelu Nový indikátor . Povinná pole jsou označena červenou hvězdičkou (*).

  4. Vyberte Použít. Indikátor se přidá do seznamu indikátorů a také se odešle do tabulky ThreatIntelligenceIndicator v protokolech.

Označení a úprava indikátorů hrozeb

Označení indikátorů hrozeb je snadný způsob, jak je seskupit, aby bylo snazší je najít. Obvykle můžete použít značku na indikátory týkající se konkrétního incidentu nebo na ty, které představují hrozby od určitého známého aktéra nebo dobře známé kampaně útoku. Označte indikátory hrozeb jednotlivě nebo vícenásobným výběrem a označte je všechny najednou. Tady je příklad označování několika indikátorů s ID incidentu. Vzhledem k tomu, že označování je bezplatné, doporučuje se vytvořit standardní zásady vytváření názvů pro značky indikátorů hrozeb. Indikátory umožňují použít více značek.

Použití značek na indikátory hrozeb

Microsoft Sentinel vám také umožňuje upravovat indikátory, ať už byly vytvořeny přímo v Microsoft Sentinelu, nebo pocházejí z partnerských zdrojů, jako jsou tip a servery TAXII. U indikátorů vytvořených v Microsoft Sentinelu se všechna pole dají upravovat. U indikátorů pocházejících z partnerských zdrojů se dají upravovat jenom konkrétní pole, včetně značek, data vypršení platnosti, spolehlivosti a odvolání. V obou směrech mějte na paměti, že v zobrazení stránky Analýza hrozeb se zobrazí jenom nejnovější verze indikátoru. Další informace o tom, jak se indikátory aktualizují, najdete v tématu Vysvětlení analýzy hrozeb.

Sešity poskytují přehledy o vaší analýze hrozeb

Pomocí účelového sešitu Microsoft Sentinel můžete vizualizovat klíčové informace o vaší analýze hrozeb v Microsoft Sentinelu a přizpůsobit sešit podle vašich obchodních potřeb.

Tady je postup, jak najít sešit analýzy hrozeb poskytovaný v Microsoft Sentinelu a příklad, jak sešit upravit a přizpůsobit ho.

  1. Na webu Azure Portal přejděte do služby Microsoft Sentinel .

  2. Zvolte pracovní prostor, do kterého jste importovali indikátory hrozeb pomocí datového konektoru analýzy hrozeb.

  3. V nabídce Microsoft Sentinel vyberte Sešity v části Správa hrozeb.

  4. Najděte sešit s názvem Analýza hrozeb a ověřte, že máte data v tabulce ThreatIntelligenceIndicator , jak je znázorněno níže.

    Ověření dat

  5. Vyberte tlačítko Uložit a zvolte umístění Azure, do které chcete sešit uložit. Tento krok je povinný, pokud sešit upravíte jakýmkoli způsobem a uložíte změny.

  6. Teď výběrem tlačítka Zobrazit uložený sešit otevřete sešit pro zobrazení a úpravy.

  7. Teď byste měli vidět výchozí grafy, které šablona poskytuje. Pokud chcete upravit graf, vyberte tlačítko Upravit v horní části stránky a přejděte do režimu úprav sešitu.

  8. Přidejte nový graf indikátorů hrozeb podle typu hrozby. Posuňte se do dolní části stránky a vyberte Přidat dotaz.

  9. Do textového pole log query pracovního prostoru služby Log Analytics přidejte následující text:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

  10. V rozevíracím seznamu Vizualizace vyberte Pruhový graf.

  11. Vyberte tlačítko Dokončit úpravy. Vytvořili jste nový graf pro sešit.

    Pruhový graf

Sešity poskytují výkonné interaktivní řídicí panely, které poskytují přehled o všech aspektech Služby Microsoft Sentinel. Se sešity můžete dělat hodně a i když jsou poskytnuté šablony skvělým výchozím bodem, budete se pravděpodobně chtít ponořit do těchto šablon a přizpůsobit je nebo vytvořit nové řídicí panely, které kombinují mnoho různých zdrojů dat, aby bylo možné data vizualizovat jedinečnými způsoby. Vzhledem k tomu, že sešity Microsoft Sentinelu jsou založené na sešitech služby Azure Monitor, je už k dispozici rozsáhlá dokumentace a mnoho dalších šablon. Skvělým místem, kde začít, je tento článek o vytváření interaktivních sestav pomocí sešitů služby Azure Monitor.

Existuje také bohatá komunita sešitů Azure Monitoru na GitHubu ke stažení dalších šablon a přispívání vlastních šablon.

Související obsah

V tomto článku jste se seznámili se všemi způsoby práce s indikátory analýzy hrozeb v rámci Microsoft Sentinelu. Další informace o analýze hrozeb v Microsoft Sentinelu najdete v následujících článcích: