Entitások hozzáadása fenyegetésfelderítéshez a Microsoft Sentinelben

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal

A vizsgálat során az entitásokat és azok kontextusát az incidens hatókörének és jellegének fontos részeként vizsgálja meg. Ha rosszindulatú tartománynévként, URL-címként, fájlként vagy IP-címként észlel egy entitást az incidensben, a fenyegetésfelderítésben fel kell címkézni és nyomon kell követni a biztonsági kockázat jelzéseként.

Felfedezhet például egy IP-címet, amely portvizsgálatokat végez a hálózaton, vagy parancs- és vezérlőcsomópontként működik azáltal, hogy a hálózat nagy számú csomópontjáról küld és/vagy fogad átviteleket.

A Microsoft Sentinel segítségével megjelölheti ezeket az entitástípusokat az incidensvizsgálat során, és hozzáadhatja őket a fenyegetésfelderítéshez. A hozzáadott jelzőket megtekintheti a Naplók és fenyegetésfelderítés területen, és használhatja őket a Microsoft Sentinel-munkaterületen.

Entitás hozzáadása a fenyegetésfelderítéshez

Az Incidens részletei oldal és a vizsgálati gráf kétféleképpen adhat hozzá entitásokat a fenyegetésfelderítéshez.

incidens részleteinek

1. A Microsoft Sentinel menüben válassza az Incidensek lehetőséget a Fenyegetéskezelés szakaszban.

2. Válasszon ki egy kivizsgálandó incidenst. Az Incidens részletei panelen válassza a Teljes adatok megtekintése lehetőséget az Incidens részletei lap megnyitásához.

3. Az Entitások panelen keresse meg azt az entitást, amelyet fenyegetésjelzőként szeretne hozzáadni. (A kereséshez szűrheti a listát, vagy megadhat egy keresési sztringet.)

   

4. Válassza ki az entitástól jobbra található három elemet, majd az előugró menüben válassza a Hozzáadás a TI-hez lehetőséget.

   Csak a következő típusú entitásokat adja hozzá fenyegetésjelzőként:

   • Tartománynév
   • IP-cím (IPv4 és IPv6)
   • URL-cím
   • Fájl (kivonat)

   

Vizsgálati grafikon

A vizsgálati gráf egy vizuális, intuitív eszköz, amely kapcsolatokat és mintákat mutat be, és lehetővé teszi az elemzők számára a megfelelő kérdések feltevését és az érdeklődők követését. Segítségével entitásokat adhat hozzá a fenyegetésintelligencia-jelzőlistákhoz azáltal, hogy elérhetővé teszi őket a munkaterületen.

1. A Microsoft Sentinel menüben válassza az Incidensek lehetőséget a Fenyegetéskezelés szakaszban.

2. Válasszon ki egy kivizsgálandó incidenst. Az Incidens részletei panelen válassza a Műveletek lehetőséget, majd az előugró menüBen válassza a Kivizsgálás lehetőséget a vizsgálati gráf megnyitásához.

   

3. Válassza ki azt az entitást a gráfból, amelyet fenyegetésjelzőként szeretne hozzáadni. A megnyíló oldalpanelen válassza a Hozzáadás a TI-hoz lehetőséget.

   Csak a következő típusú entitásokat adja hozzá fenyegetésjelzőként:

   • Tartománynév
   • IP-cím (IPv4 és IPv6)
   • URL-cím
   • Fájl (kivonat)

   

A választott két felület közül bármelyiket választja, itt köt ki.

1. Megnyílik az Új mutató oldalpanel. A rendszer automatikusan kitölti a következő mezőket:

   • Típusok

     • A hozzáadni kívánt entitás által képviselt mutató típusa.
       • Legördülő lista a lehetséges értékekkel: ipv4-addr, ipv6-addr, URL, fileés domain-name.
     • Szükséges. Az entitás típusa alapján automatikusan feltöltve.

   • Érték

     • A mező neve dinamikusan változik a kijelölt mutatótípusra.
     • A mutató értéke.
     • Szükséges. Az entitás értéke automatikusan kitölti.

   • Címkék

     • A mutatóhoz felvehető szabadszöveges címkék.
     • Opcionális. Automatikusan kitölti az incidensazonosító. Felvehet másokat is.

   • Név

     • A mutató neve. Ez a név jelenik meg a jelzők listájában.
     • Opcionális. Automatikusan kitölti az incidens neve.

   • Készítette:

     • A mutató létrehozója.
     • Opcionális. A Microsoft Sentinelbe bejelentkezett felhasználó automatikusan kitölti.

   Ennek megfelelően töltse ki a fennmaradó mezőket.

   • Fenyegetéstípusok

     • A jelző által képviselt fenyegetéstípus.
     • Opcionális. Szabad szöveg.

   • Leírás

     • A mutató leírása.
     • Opcionális. Szabad szöveg.

   • Visszavont

     • A mutató visszavont állapota. Jelölje be a jelölőnégyzetet a mutató visszavonásához. Törölje a jelet a jelölőnégyzetből, hogy aktív legyen.
     • Opcionális. Logikai.

   • Bizalom

     • Százalékban kifejezve az adatok helyességének megbízhatóságát tükröző pontszám.
     • Opcionális. Egész szám, 1-100.

   • Láncok leölése

     • A Lockheed Martin Cyber Kill Lánc fázisai, amelyekhez a mutató megfelel.
     • Opcionális. Szabad szöveg.

   • Érvényesség:

     • Az az idő, amelytől a mutató érvényesnek minősül.
     • Szükséges. Dátum/idő.

   • Érvényesség:

     • Az az időpont, amikor ez a mutató már nem tekinthető érvényesnek.
     • Opcionális. Dátum/idő.

   

2. Ha az összes mezőt elégedetten tölti ki, válassza az Alkalmaz lehetőséget. A jobb felső sarokban megjelenik egy üzenet, amely megerősíti, hogy a mutató létrejött.

3. Az entitás fenyegetésjelzőként van hozzáadva a munkaterületen. A fenyegetésintelligencia oldalán található jelzők listájában találja. A ThreatIntelligenceIndicators táblában is megtalálható a Naplókban.

Kapcsolódó tartalom

Ebben a cikkben megtanulta, hogyan adhat hozzá entitásokat a fenyegetésjelzők listájához. További információért tekintse át az alábbi cikkeket:

• Incidensek vizsgálata a Microsoft Sentinellel
• A Fenyegetésfelderítés ismertetése a Microsoft Sentinelben
• Fenyegetésjelzők használata a Microsoft Sentinelben