Teilen über

Grundlegendes zu Threat Intelligence in Microsoft Sentinel

  • Artikel
  • Gilt für:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel ist eine cloudnative SIEM-Lösung (Security Information & Event Management) mit der Möglichkeit, Threat Intelligence aus zahlreichen Quellen schnell zu pullen.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Einführung in Threat Intelligence

Cyber Threat Intelligence (CTI) umfasst Informationen, die vorhandene oder potenzielle Bedrohungen für Systeme und Benutzer beschreiben. Diese Daten liegen in viele verschiedenen Formen wie schriftlichen Berichten vor, die die Motivationen von Bedrohungsakteuren, die Infrastruktur und Techniken beschreiben. Es kann sich auch um spezifische Beobachtungen von IP-Adressen, Domänen, Dateihashes und anderen Artefakten handeln, die mit bekannten Cyberbedrohungen verbunden sind.

CTI wird von Organisationen verwendet, um wichtige Kontextinformationen für ungewöhnliche Aktivitäten bereitzustellen, damit Sicherheitsverantwortliche schnell Maßnahmen zum Schutz ihrer Kollegen, Informationen und Ressourcen ergreifen können. Sie können CTI von vielen Orten aus nutzen, z. B.:

  • Open-Source-Datenfeeds
  • Communitys zum Teilen von Threat Intelligence
  • Kommerzielle Datenfeeds
  • Lokale Informationen, die im Rahmen von Sicherheitsuntersuchungen innerhalb einer Organisation gesammelt wurden

Für SIEM-Lösungen wie Microsoft Sentinel sind die am häufigsten verwendete Form von CTI Bedrohungsindikatoren, die auch als Kompromittierungsindikatoren (Indicators of Compromise, IoC) oder Angriffsindikatoren (Indicators of Attack, IoA) bezeichnet werden. Bedrohungsindikatoren sind Daten, die beobachtete Artefakte wie URLs, Dateihashes oder IP-Adressen bekannten Bedrohungsaktivitäten wie Phishing, Botnets oder Schadsoftware zuordnen. Diese Form der Threat Intelligence wird oft als taktische Threat Intelligence bezeichnet. Sie wird in großem Umfang auf Sicherheitsprodukte und Automatisierung angewandt, um potenzielle Bedrohungen für eine Organisation zu erkennen und davor zu schützen.

Verwenden Sie Bedrohungsindikatoren in Microsoft Sentinel, um schädliche Aktivitäten in Ihrer Umgebung zu erkennen und den Sicherheitsanalysten Kontextinformationen bereitzustellen, damit sie fundierte Entscheidungen für eine Reaktion treffen können.

Sie können Threat Intelligence (TI) mithilfe der folgenden Aktivitäten in Microsoft Sentinel integrieren:

  • Importieren Sie Threat Intelligence-Daten in Microsoft Sentinel, indem Sie Datenconnectors für verschiedene Threat Intelligence-Plattformen und -Feeds aktivieren.
  • Sie können die importierten Threat Intelligence-Daten in Protokollen und auf im Bereich Threat Intelligence von Microsoft Sentinel anzeigen und verwalten.
  • Erkennen Sie Bedrohungen, und generieren Sie Sicherheitswarnungen und Incidents mit den integrierten Regelvorlagen für die Analyse, die auf Ihren importierten Threat Intelligence-Daten basieren.
  • Visualisieren Sie wichtige Informationen zu Ihren Threat Intelligence-Daten in Microsoft Sentinel mithilfe der Threat Intelligence-Arbeitsmappe.

Microsoft reichert alle importierten Threat Intelligence-Indikatoren mit GeoLocation- und WhoIs-Daten an, die zusammen mit anderen Indikatorinformationen angezeigt werden.

Threat Intelligence bietet darüber hinaus nützlichen Kontext in anderen Microsoft Sentinel-Features wie etwa der Suche nach Cyberbedrohungen und Notebooks. Weitere Informationen finden Sie unter Jupyter Notebooks in Microsoft Sentinel und Tutorial: Erste Schritte mit Jupyter Notebooks und MSTICPy in Microsoft Sentinel.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Importieren von Threat Intelligence-Daten mit Datenconnectors

Bedrohungsindikatoren werden wie alle anderen Ereignisdaten mithilfe von Datenconnectors in Microsoft Sentinel importiert. Hier finden Sie die Datenconnectors in Microsoft Sentinel, die speziell für Bedrohungsindikatoren bereitgestellt werden:

  • Microsoft Defender Threat Intelligence-Datenconnector: zum Erfassen der Bedrohungsindikatoren von Microsoft
  • Premium Defender Threat Intelligence-Datenconnector: zum Erfassen des Defender Threat Intelligence Premium Intelligence-Feeds
  • Threat Intelligence – TAXII: zum Erfassen branchenüblicher STIX/TAXII-Feeds
  • API zum Hochladen von Threat Intelligence-Indikatoren: für integrierte und kuratierte Threat Intelligence-Feeds mithilfe einer REST-API zum Herstellen einer Verbindung
  • TIP-Datenconnector (Threat Intelligence-Plattform): zum Verbinden von Threat Intelligence-Feeds mithilfe einer REST-API (wird jedoch demnächst eingestellt)

Sie können jeden dieser Datenconnectors in beliebiger Kombination zusammen verwenden, je nachdem, woher Ihre Organisation Bedrohungsindikatoren bezieht. Alle drei Connectors sind im Inhaltshub als Teil der Threat Intelligence-Lösung verfügbar. Weitere Informationen zu dieser Lösung finden Sie im Azure Marketplace-Eintrag Threat Intelligence.

Weitere Informationen finden Sie auch in diesem Katalog der Threat Intelligence-Integrationen, die mit Microsoft Sentinel verfügbar sind.

Hinzufügen von Bedrohungsindikatoren in Microsoft Sentinel mit dem Defender Threat Intelligence-Datenconnector

Integrieren Sie öffentliche, Open-Source- und High Fidelity-Kompromittierungsindikatoren (IoC), die von Defender Threat Intelligence generiert werden, mit den Defender Threat Intelligence-Datenconnectors in Ihren Microsoft Sentinel-Arbeitsbereich. Nutzen Sie mit einem einfachen Setup mit nur einem Klick die Threat Intelligence der Standard- und Premium-Datenconnectors von Defender Threat Intelligence für Überwachung, Warnungen und Bedrohungssuche.

Mit der kostenlos verfügbaren Defender Threat Intelligence-Bedrohungsanalyseregel erhalten Sie ein Beispiel dafür, was der Defender Threat Intelligence Premium-Datenconnector bietet. Bei Abgleichsanalysen werden jedoch nur Indikatoren, die mit der Regel übereinstimmen, in Ihre Umgebung aufgenommen. Der Defender Threat Intelligence Premium-Datenconnector bietet Premium-Threat Intelligence und ermöglicht Analysen weiterer Datenquellen mit größerer Flexibilität und Verständnis Threat Intelligence-Daten. Die folgende Tabelle zeigt, was Sie erwarten können, wenn Sie den Defender Threat Intelligence Premium-Datenconnector lizenzieren und aktivieren.

Kostenlos Premium
Öffentliche Kompromittierungsindikatoren (IoCs)
Open-Source-Intelligence (OSINT)
Microsoft-Kompromittierungsindikatoren (IOCs)
Angereicherte Microsoft-OSINT

Weitere Informationen finden Sie in den folgenden Artikeln:

Hinzufügen von Bedrohungsindikatoren zu Microsoft Sentinel mit dem Datenconnector für die Uploadindikatoren-API der Threat Intelligence

Viele Organisationen verwenden Threat Intelligence-Plattformlösungen (TIP), um Bedrohungsindikatorenfeeds aus verschiedenen Quellen zu aggregieren. Aus dem aggregierten Feed werden die Daten für Sicherheitslösungen wie Netzwerkgeräte, EDR/XDR-Lösungen oder SIEMs wie Microsoft Sentinel kuratiert. Mit dem Datenconnector für die API zum Hochladen von Threat Intelligence-Indikatoren können Sie diese Lösungen zum Importieren von Bedrohungsindikatoren in Microsoft Sentinel verwenden.

Abbildung des Importpfads der API zum Hochladen von Indikatoren

Dieser Datenconnector verwendet eine neue API und bietet die folgenden Verbesserungen:

  • Die Bedrohungsindikatorenfelder basieren auf dem standardisierten STIX-Format.
  • Die Microsoft Entra-Anwendung benötigt nur die Rolle „Microsoft Sentinel-Mitwirkender“.
  • Der API-Anforderungsendpunkt ist auf die Arbeitsbereichsebene beschränkt. Die erforderlichen Microsoft Entra-Anwendungsberechtigungen ermöglichen eine präzise Zuweisung auf Arbeitsbereichsebene.

Weitere Informationen finden Sie unter Verbinden Ihrer Threat Intelligence-Plattform mithilfe der API zum Hochladen von Indikatoren.

Hinzufügen von Bedrohungsindikatoren in Microsoft Sentinel mit dem Datenconnector „Threat Intelligence-Plattformen“

Ganz ähnlich wie der vorhandene Datenconnector für die API zum Hochladen von Indikatoren verwendet der Datenconnector „Threat Intelligence-Plattform“ eine API, mit der Ihre TIP- oder benutzerdefinierte Lösung Indikatoren an Microsoft Sentinel senden kann. Dieser Datenconnector befindet sich jedoch jetzt in einem Pfad zur Einstellung. Es wird empfohlen, die Optimierungen zu nutzen, die die API zum Hochladen von Indikatoren bietet.

Der TIP-Datenconnector funktioniert mit der tiIndicators-API von Microsoft Graph Security. Sie können ihn auch mit beliebigen benutzerdefinierten TIPs verwenden, die mit der tiIndicators-API kommunizieren, um Indikatoren an Microsoft Sentinel (und an andere Microsoft-Sicherheitslösungen wie Defender XDR) zu senden.

Screenshot eines Threat Intelligence-Importpfads

Weitere Informationen zu den TIP-Lösungen, die in Microsoft Sentinel integriert sind, finden Sie unter Produkte der integrierten Threat Intelligence-Plattform. Siehe auch: Verbinden Ihrer Threat Intelligence-Plattform (TP) mit Microsoft Sentinel.

Fügen Sie Bedrohungsindikatoren in Microsoft Sentinel mit dem Datenconnector Threat Intelligence – TAXII hinzu

Der am weitesten verbreitete Branchenstandard für die Übertragung von Threat Intelligence-Daten ist eine Kombination aus dem STIX-Datenformat und dem TAXII-Protokoll. Wenn Ihre Organisation die Bedrohungsindikatoren aus Lösungen erhält, die die aktuelle STIX/TAXII-Version (2.0 oder 2.1) unterstützen, können Sie Ihre Bedrohungsindikatoren mit dem Datenconnector Threat Intelligence – TAXII in Microsoft Sentinel importieren. Der Datenconnector „Threat Intelligence – TAXII“ ermöglicht einem integrierten TAXII-Client in Microsoft Sentinel das Importieren von Threat Intelligence von TAXII 2.x-Servern.

Screenshot eines TAXII-Importpfads

So importieren Sie Bedrohungsindikatoren im STIX-Format in Microsoft Sentinel von einem TAXII-Server:

  1. Abrufen der Stamm- und Sammlungs-ID der TAXII-Server-API
  2. Aktivieren des TAXII-Datenconnectors für Threat Intelligence in Microsoft Sentinel

Weitere Informationen finden Sie unter Microsoft Sentinel mit STIX/TAXII Threat Intelligence-Feeds Verknüpfen.

Anzeigen und Verwalten von Bedrohungsindikatoren

Auf der Seite Threat Intelligence können Sie Ihre Indikatoren anzeigen und verwalten. Sie können Ihre importierten Bedrohungsindikatoren sortieren, filtern und durchsuchen, ohne eine Log Analytics-Abfrage schreiben zu müssen.

Screenshot der erweiterten Suchoberfläche mit ausgewählten Quell- und Musterbedingungen

Zwei der am häufigsten verwendeten Aufgaben zur Bedrohungserkennung sind die Indikatormarkierung und das Erstellen neuer Indikatoren im Zusammenhang mit Sicherheitsuntersuchungen. Erstellen oder bearbeiten Sie die Bedrohungsindikatoren direkt auf der Seite Threat Intelligence, wenn Sie nur einige wenige schnell verwalten möchten.

Das Markieren von Bedrohungsindikatoren mit Tags stellt eine einfache Möglichkeit dar, sie zu gruppieren und einfacher auffindbar zu machen. In der Regel können Sie ein Tag auf Indikatoren im Zusammenhang mit einem bestimmten Incident anwenden oder auf Indikatoren, die Bedrohungen von einem bestimmten bekannten Akteur oder einer bekannten Angriffskampagne darstellen. Nachdem Sie die gewünschten Indikatoren gefunden haben, können Sie sie einzeln markieren. Sie können mehrere Indikatoren gleichzeitig auswählen und mit Tags markieren. Da das Tagging eine Freiformangabe ist, empfiehlt es sich, Standardnamenskonventionen für Tags für Bedrohungsindikatoren zu erstellen.

Überprüfen Sie Ihre Indikatoren, und zeigen Sie Ihre erfolgreich importierten Bedrohungsindikatoren aus dem Log Analytics-Arbeitsbereich mit Microsoft Sentinel-Unterstützung an. Alle Ihre Microsoft Sentinel-Bedrohungsindikatoren werden in der Tabelle ThreatIntelligenceIndicator unter dem Microsoft Sentinel-Schema gespeichert. Diese Tabelle bildet die Grundlage für Threat Intelligence-Abfragen, die von anderen Microsoft Sentinel-Features wie Analysen und Arbeitsmappen ausgeführt werden.

Hier ist eine Beispielansicht einer einfachen Abfrage von Bedrohungsindikatoren.

Screenshot der Seite „Protokolle” mit einer Beispielabfrage der Tabelle „ThreatIntelligenceIndicator“

Threat Intelligence-Indikatoren werden schreibgeschützt in der Tabelle ThreatIntelligenceIndicator Ihres Log Analytics-Arbeitsbereichs erfasst. Wenn ein Indikator aktualisiert wird, wird ein neuer Eintrag in der Tabelle ThreatIntelligenceIndicator erstellt. Nur der aktuellste Indikator wird auf der Seite Threat Intelligence angezeigt. Microsoft Sentinel dedupliziert Indikatoren basierend auf den Eigenschaften IndicatorId und SourceSystem und wählt den Indikator mit der neuesten TimeGenerated[UTC] aus.

Die IndicatorId-Eigenschaft wird mithilfe der STIX-Indikator-ID generiert. Wenn Indikatoren aus Nicht-STIX-Quellen importiert oder erstellt werden, wird IndicatorId anhand der Quelle und des Musters des Indikators generiert.

Weitere Informationen zum Anzeigen und Verwalten von Bedrohungsindikatoren finden Sie unter Arbeiten mit Bedrohungsindikatoren in Microsoft Sentinel.

Anzeigen von GeoLocation- und WhoIs-Datenanreicherungen (öffentliche Vorschau)

Microsoft reichert IP- und Domänenindikatoren mit zusätzlichen GeoLocation- und WhoIs-Daten an, um mehr Kontext für Untersuchungen bereitzustellen, in denen der ausgewählte Kompromittierungsindikator (IoC) gefunden wurde.

Sie können GeoLocation- und WhoIs-Daten im Bereich Threat Intelligence für die Bedrohungsindikatortypen anzeigen, die in Microsoft Sentinel importiert wurden.

Sie können GeoLocation-Daten beispielsweise verwenden, um Informationen wie die Organisation oder das Land für einen IP-Indikator zu finden. Mit WhoIs-Daten können Sie Daten wie Registrierungsstelle und Datensatzerstellung aus einem Domänenindikator ermitteln.

Erkennen von Bedrohungen mit Bedrohungsindikator-Analysen

Der wichtigste Anwendungsfall für Bedrohungsindikatoren in SIEM-Lösungen wie Microsoft Sentinel ist die Unterstützung von Analyseregeln zur Bedrohungserkennung. Diese indikatorbasierten Regeln vergleichen unformatierte Ereignisse aus Ihren Datenquellen mit Ihren Bedrohungsindikatoren, um Sicherheitsbedrohungen in Ihrer Organisation zu erkennen. Sie erstellen in Microsoft Sentinel Analytics Analyseregeln, die gemäß Zeitplan ausgeführt werden und Sicherheitswarnungen generieren. Die Regeln basieren auf Abfragen. Zusammen mit den Konfigurationen legen sie fest, wie oft die Regel ausgeführt werden soll, welcher Typ von Abfrageergebnissen Sicherheitswarnungen und Incidents generieren soll, und optional, wann eine automatisierte Reaktion ausgelöst werden soll.

Sie können jederzeit neue Analyseregeln erstellen. Microsoft Sentinel bietet aber auch eine Reihe von integrierten Regelvorlagen, die von technischen Sicherheitsfachkräften bei Microsoft erstellt wurden, um Ihre Bedrohungsindikatoren zu nutzen. Diese integrierten Regelvorlagen basieren auf dem Typ der Bedrohungsindikatoren (Domäne, E-Mail, Dateihash, IP-Adresse oder URL) und den Datenquellenereignissen, die Sie abgleichen möchten. Jede Vorlage listet die Quellen auf, die für die Funktion der Regel erforderlich sind. Dies vereinfacht die Bestimmung, ob die erforderlichen Ereignisse bereits in Microsoft Sentinel importiert wurden.

Wenn diese integrierten Regeln ausgelöst werden, wird standardmäßig eine Warnung erstellt. In Microsoft Sentinel generieren die aus Analyseregeln generierten Warnungen auch Sicherheitsincidents. Wählen Sie im Microsoft Sentinel-Menü unter Bedrohungsmanagement die Option Incidents aus. Security Operations-Teams können die Incidents selektieren und untersuchen, um angemessene Reaktionen zu ermitteln. Weitere Informationen finden Sie unter Tutorial: Untersuchen von Vorfällen mit Microsoft Sentinel.

Weitere Informationen zur Verwendung von Bedrohungsindikatoren in Ihren Analyseregeln finden Sie unter Verwenden von Threat Intelligence zum Erkennen von Bedrohungen.

Microsoft bietet über die Analyseregel „Microsoft Defender Threat Intelligence“ Zugriff auf Threat Intelligence-Daten. Weitere Informationen zum Verwenden dieser Regel, die Warnungen und Incidents mit hoher Genauigkeit generiert, finden Sie unter Verwenden von Abgleichsanalysen zum Erkennen von Bedrohungen.

Screenshot eines von einer Abgleichsanalyse generierten Incidents mit hoher Genauigkeit und zusätzlichen Kontextinformationen von Defender Threat Intelligence

Arbeitsmappen für Erkenntnisse aus Threat Intelligence

Workbooks bieten leistungsstarke interaktive Dashboards, die Ihnen Erkenntnisse zu allen Aspekten von Microsoft Sentinel liefern, so auch zu Threat Intelligence. Verwenden Sie die integrierte Threat Intelligence-Arbeitsmappe, um wichtige Informationen aus Ihren Threat Intelligence-Daten zu visualisieren. Sie können die Arbeitsmappe ganz einfach an Ihre geschäftlichen Anforderungen anpassen. Erstellen Sie neue Dashboards, indem Sie mehrere Datenquellen zusammenfassen, um Ihre Daten auf einzigartige Weise zu visualisieren.

Da Microsoft Sentinel-Arbeitsmappen auf Azure Monitor-Arbeitsmappen basieren, stehen Ihnen eine umfassende Dokumentation und viele weitere Vorlagen zur Verfügung. Weitere Informationen finden Sie unter Erstellen interaktiver Berichte mit Azure Monitor-Arbeitsmappen.

Es gibt auch eine umfangreiche Ressource für Azure Monitor-Arbeitsmappen auf GitHub, von der Sie weitere Vorlagen herunterladen und eigene Vorlagen veröffentlichen können.

Weitere Informationen zur Verwendung und Anpassung der Threat Intelligence-Arbeitsmappe finden Sie unter Arbeiten mit Bedrohungsindikatoren in Microsoft Sentinel.

Zugehöriger Inhalt

In diesem Artikel haben Sie etwas über die Threat Intelligence-Funktionen von Microsoft Sentinel sowie den Bereich Threat Intelligence erfahren. Einen praktischen Leitfaden zur Verwendung der Threat Intelligence-Funktionen von Microsoft Sentinel finden Sie in den folgenden Artikeln: