A Fenyegetésfelderítés ismertetése a Microsoft Sentinelben

A Microsoft Sentinel egy natív felhőbeli biztonsági információ- és eseménykezelési (SIEM) megoldás, amely számos forrásból képes gyorsan lekérni a fenyegetésfelderítést.

A fenyegetésintelligencia bemutatása

A kiberfenyegetési intelligencia (CTI) a rendszerek és felhasználók meglévő vagy lehetséges fenyegetéseit leíró információ. Ez az intelligencia számos formában jelenik meg, az adott fenyegetéskezelő motivációit, infrastruktúráját és technikáit részletező írásos jelentésektől kezdve az IP-címek, tartományok, fájlkivonatok és az ismert kiberfenyegetésekhez kapcsolódó egyéb összetevők meghatározott megfigyeléseiig. A CTI-t a szervezetek arra használják, hogy alapvető kontextust biztosítsanak a szokatlan tevékenységekhez, így a biztonsági személyzet gyorsan felléphet a személyek, az információk és az eszközök védelme érdekében. A CTI számos helyről beszerezhető, például nyílt forráskódú adatforrásokból, fenyegetésfelderítés-megosztó közösségekből, kereskedelmi hírcsatornákból és a szervezeten belüli biztonsági vizsgálatok során összegyűjtött helyi intelligenciából.

Az olyan SIEM-megoldások esetében, mint a Microsoft Sentinel, a CTI leggyakoribb formái a fenyegetésjelzők, más néven a kiegyenesítés mutatói (IoC) vagy a támadásjelzők (IoA). A fenyegetésjelzők olyan adatok, amelyek megfigyelt összetevőket, például URL-címeket, fájlkivonatokat vagy IP-címeket társítanak ismert fenyegetési tevékenységekkel, például adathalászattal, botnetekkel vagy kártevőkkel. Ezt a fenyegetésintelligencia-formát gyakran nevezik taktikai fenyegetésfelderítésnek, mivel biztonsági termékekre és nagy léptékű automatizálásra alkalmazzák a szervezet potenciális fenyegetéseinek észlelésére és az ellenük való védelemre. Használjon fenyegetésjelzőket a Microsoft Sentinelben, hogy észlelje a környezetben megfigyelt rosszindulatú tevékenységeket, és kontextust biztosítson a biztonsági nyomozóknak a válaszdöntések tájékoztatásához.

A fenyegetésfelderítés (TI) integrálása a Microsoft Sentinelbe a következő tevékenységeken keresztül:

  • A fenyegetésintelligencia importálása a Microsoft Sentinelbe az adatösszekötők különböző TI-platformokon és -csatornákon való engedélyezésével.

  • Az importált fenyegetésintelligencia megtekintése és kezelése a Naplókban és a Microsoft Sentinel Fenyegetésintelligencia paneljén.

  • Észlelheti a fenyegetéseket, és biztonsági riasztásokat és incidenseket hozhat létre az importált fenyegetésintelligencia-alapú beépített Analytics-szabálysablonokkal .

  • Az importált fenyegetésintelligencia legfontosabb információinak megjelenítése a Microsoft Sentinelben a Fenyegetésfelderítés munkafüzettel.

A Microsoft az összes importált fenyegetésintelligencia-mutatót geolocation- és whoIs-adatokkal bővíti, amelyek más jelzőadatokkal együtt jelennek meg.

A fenyegetésfelderítés hasznos kontextust biztosít más Microsoft Sentinel-szolgáltatásokban is, például a vadászatban és a jegyzetfüzetekben. További információ: Jupyter Notebooks in Microsoft Sentinel and Tutorial: Get started with Jupyter notebooks and MSTICPy in Microsoft Sentinel.

Megjegyzés:

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

Fenyegetésfelderítés importálása adatösszekötőkkel

A Microsoft Sentinel többi eseményadatához hasonlóan a fenyegetésjelzők is adatösszekötőkkel importálhatók. Az alábbiakban a Microsoft Sentinel adatösszekötőit találjuk, amelyek kifejezetten a fenyegetésjelzőkhöz tartoznak.

  • Microsoft Defender Intelligens veszélyforrás-felderítés adatösszekötőt a Microsoft fenyegetésjelzőinek betöltéséhez
  • Fenyegetésfelderítés – TAXII az iparági szabványnak megfelelő STIX/TAXII-hírcsatornákhoz és
  • Threat Intelligence upload indicators API for integrated and curated TI feeds using a REST API to connect
  • A Threat Intelligence Platform adatösszekötője a TI-hírcsatornákat REST API használatával is csatlakoztatja, de az elavulás útján van

Ezeket az adatösszekötőket bármilyen kombinációban használhatja, attól függően, hogy a szervezet hol használja a fenyegetésjelzőket. Mindhárom elérhető a Content Hubban a fenyegetésfelderítési megoldás részeként. A megoldással kapcsolatos további információkért tekintse meg az Azure Marketplace Fenyegetésfelderítés című bejegyzését.

Emellett tekintse meg a Microsoft Sentinellel elérhető fenyegetésintelligencia-integrációkat tartalmazó katalógust.

Fenyegetésjelzők hozzáadása a Microsoft Sentinelhez az Microsoft Defender Intelligens veszélyforrás-felderítés adatösszekötővel

A Microsoft Defender Intelligens veszélyforrás-felderítés (MDTI) által létrehozott magas megbízhatósági mutatókat (IOC) hozza létre a Microsoft Sentinel-munkaterületen. Az MDTI-adatösszekötő egyszerű, egykattintásos beállítással betölti ezeket az IOC-ket. Ezután a fenyegetésintelligencia alapján ugyanúgy figyelhet, riasztást és vadászatot, ahogyan más hírcsatornákat használ.

Az MDTI-adatösszekötőről további információt az MDTI-adatösszekötő engedélyezése című témakörben talál.

Fenyegetésjelzők hozzáadása a Microsoft Sentinelhez a Threat Intelligence Upload Indicators API-adatösszekötővel

Számos szervezet a fenyegetésfelderítési platform (TIP) megoldásait használja a különböző forrásokból származó fenyegetésmutató-hírcsatornák összesítéséhez. Az összesített hírcsatornából az adatok olyan biztonsági megoldásokra lesznek összeválogatva, mint a hálózati eszközök, a Végponti észlelés és reagálás/XDR-megoldások vagy az olyan SIEM-ek, mint a Microsoft Sentinel. A Threat Intelligence Upload Indicators API adatösszekötője lehetővé teszi, hogy ezekkel a megoldásokkal fenyegetésjelzőket importáljon a Microsoft Sentinelbe.

Diagram showing upload indicators API import path.

Ez az adatösszekötő egy új API-t használ, és a következő fejlesztéseket kínálja:

  • A fenyegetésjelző mezők a SZABVÁNYOS STIX formátumon alapulnak.
  • A Microsoft Entra alkalmazáshoz csak Microsoft Sentinel közreműködői szerepkör szükséges.
  • Az API-kérés végpontja a munkaterület szintjén hatókörrel rendelkezik, és a Szükséges Microsoft Entra-alkalmazásengedélyek lehetővé teszik a részletes hozzárendelést a munkaterület szintjén.

További információ: Csatlakozás a fenyegetésintelligencia-platform feltöltési mutatók API-jának használatával

Add threat indicators to Microsoft Sentinel with the Threat Intelligence Platforms data connector

A meglévő api-adatösszekötőhöz hasonlóan a Threat Intelligence Platform adatösszekötője is egy API-t használ, amely lehetővé teszi, hogy a TIP vagy az egyéni megoldás mutatókat küldjön a Microsoft Sentinelbe. Ez az adatösszekötő azonban már az elavuláshoz vezető úton van. Javasoljuk, hogy az új megoldások kihasználják a feltöltési mutatók API által kínált optimalizálási lehetőségeket.

A TIP adatösszekötő a Microsoft Graph Security tiIndicators API-val működik. Bármely egyéni fenyegetésintelligencia-platform is használhatja, amely kommunikál a tiIndicators API-val, hogy mutatókat küldjön a Microsoft Sentinelnek (és más Microsoft biztonsági megoldásoknak, például a Microsoft Defender XDR-nek).

Screenshot showing threat intelligence import path

A Microsoft Sentinelbe integrált TIP-megoldásokkal kapcsolatos további információkért lásd az Integrált fenyegetésfelderítési platform termékeit. További információ: Csatlakozás a fenyegetésfelderítési platformot a Microsoft Sentinelnek.

Fenyegetésjelzők hozzáadása a Microsoft Sentinelhez a Fenyegetésintelligencia – TAXII adatösszekötővel

A fenyegetésintelligencia átvitelének legelfogadottabb iparági szabványa a STIX adatformátum és a TAXII protokoll kombinációja. Ha a szervezet az aktuális STIX/TAXII-verziót (2.0 vagy 2.1) támogató megoldásokból szerez be fenyegetésjelzőket, használja a Fenyegetésintelligencia – TAXII adatösszekötőt a fenyegetésjelzők Microsoft Sentinelbe való eljuttatásához. A Fenyegetésfelderítés – TAXII adatösszekötő lehetővé teszi, hogy a Microsoft Sentinel beépített TAXII-ügyfele a TAXII 2.x kiszolgálókról importálja a fenyegetésfelderítést.

TAXII import path

STIX formátumú fenyegetésjelzők importálása a Microsoft Sentinelbe egy TAXII-kiszolgálóról:

  1. A TAXII-kiszolgáló API-gyökér- és gyűjteményazonosítójának beszerzése

  2. A fenyegetésintelligencia engedélyezése – TAXII-adatösszekötő a Microsoft Sentinelben

További információ: Csatlakozás Microsoft Sentinel to STIX/TAXII threat intelligence feeds.

A fenyegetésjelzők megtekintése és kezelése

A jelzők megtekintése és kezelése a Fenyegetésintelligencia lapon. Log Analytics-lekérdezés írása nélkül rendezheti, szűrheti és keresheti az importált fenyegetésjelzőket. Ez a funkció azt is lehetővé teszi, hogy közvetlenül a Microsoft Sentinel felületén hozzon létre fenyegetésjelzőket, valamint végrehajtsa a fenyegetésfelderítés két leggyakoribb felügyeleti feladatát: a jelzők címkézését és a biztonsági vizsgálatokkal kapcsolatos új mutatók létrehozását.

A fenyegetésjelzők címkézésével egyszerűen csoportosíthatja őket, hogy könnyebben megtalálják őket. Jellemzően egy címkét alkalmazhat egy adott incidenshez kapcsolódó jelzőkre, vagy azokra, amelyek egy adott ismert szereplő vagy jól ismert támadási kampány fenyegetéseit képviselik. Címkézze fel egyenként a fenyegetésjelzőket, vagy jelöljön ki több választójelet, és egyszerre címkézze meg őket. Íme egy példa képernyőkép arról, hogy több mutatót címkéznek meg incidensazonosítóval. Mivel a címkézés ingyenes, ajánlott általános elnevezési konvenciók létrehozása a fenyegetésjelző címkékhez. A jelzők több címke alkalmazását teszik lehetővé.

Apply tags to threat indicators

A mutatók érvényesítéséhez és a sikeresen importált fenyegetésjelzők megtekintéséhez a forrástól függetlenül lépjen a Naplók lapra. Ebben a Log Analytics-nézetben a Microsoft Sentinel csoport ThreatIntelligenceIndicator táblája tárolja az összes Microsoft Sentinel fenyegetésjelzőt. Ez a táblázat az egyéb Microsoft Sentinel-funkciók, például az Analytics és a Munkafüzetek által végrehajtott fenyegetésfelderítési lekérdezések alapja.

Íme egy példa a Naplók lapra, amely egy alapszintű lekérdezést biztosít a fenyegetésjelzőkhöz.

Screenshot shows the logs page with a sample query of the ThreatIntelligenceIndicator table.

A TI-jelzők írásvédettként kerülnek be a Log Analytics-munkaterület ThreatIntelligenceIndicator táblájába. Egy jelző frissítésekor létrejön egy új bejegyzés a ThreatIntelligenceIndicator táblában. A Fenyegetésintelligencia lapon azonban csak a legfrissebb jelző jelenik meg. A Microsoft Sentinel a IndicatorId és a SourceSystem tulajdonságai alapján de-duplikálja a mutatókat, és a legújabb TimeGenerated[UTC] jellel választja ki a mutatót.

A IndicatorId tulajdonság a STIX mutatóazonosítóval jön létre. Ha a mutatókat nem STIX-forrásokból importálják vagy hozzák létre, a Mutatóazonosítót a mutató forrása és mintázata hozza létre.

A fenyegetésjelzők megtekintésével és kezelésével kapcsolatos további részletekért lásd : Fenyegetésjelzők használata a Microsoft Sentinelben.

A GeoLocation és a WhoIs adatdúsításának megtekintése (nyilvános előzetes verzió)

A Microsoft további GeoLocation- és WhoIs-adatokkal bővíti az IP- és tartománymutatókat, így több kontextust biztosít azokhoz a vizsgálatokhoz, ahol a kijelölt biztonsági rés (IOC) található.

A Fenyegetésintelligencia panelen megtekintheti a Microsoft Sentinelbe importált fenyegetésjelzők geolokációs és whoi-adatait.

A GeoLocation-adatokkal például olyan adatokat kereshet, mint a Szervezet vagy az Ország egy IP-jelzőhöz, a WhoIs-adatok pedig olyan adatok kereséséhez, mint a regisztrátor és a rekordlétrehozási adatok egy tartományjelzőből.

Fenyegetések észlelése fenyegetésmutató-elemzéssel

A SIEM-megoldásokban, például a Microsoft Sentinelben a fenyegetésjelzők legfontosabb használati esete a veszélyforrások észlelésére szolgáló power analytics-szabályok használata. Ezek a mutatóalapú szabályok összehasonlítják az adatforrásokból származó nyers eseményeket a fenyegetésjelzőkkel a szervezet biztonsági fenyegetéseinek észleléséhez. A Microsoft Sentinel Analyticsben olyan elemzési szabályokat hozhat létre, amelyek ütemezés szerint futnak, és biztonsági riasztásokat hoznak létre. A szabályokat lekérdezések vezérlik, valamint olyan konfigurációk, amelyek meghatározzák, hogy a szabály milyen gyakran fusson, milyen típusú lekérdezési eredmények generáljanak biztonsági riasztásokat és incidenseket, és opcionálisan automatikus választ aktiváljanak.

Bár mindig létrehozhat új elemzési szabályokat az alapoktól, a Microsoft Sentinel beépített szabálysablonokat biztosít, amelyeket a Microsoft biztonsági mérnökei hoztak létre a fenyegetésjelzők használatához. Ezek a beépített szabálysablonok a fenyegetésjelzők típusán (tartomány, e-mail, fájlkivonat, IP-cím vagy URL-cím) és az egyezni kívánt adatforráseseményeken alapulnak. Minden sablon felsorolja a szabály működéséhez szükséges forrásokat. Ez megkönnyíti annak megállapítását, hogy a szükséges események már importálva vannak-e a Microsoft Sentinelbe.

Alapértelmezés szerint a beépített szabályok aktiválásakor a rendszer riasztást hoz létre. A Microsoft Sentinelben az elemzési szabályokból létrehozott riasztások biztonsági incidenseket is létrehoznak, amelyek a Microsoft Sentinel menü Veszélyforrásokkezelése területén találhatók. Az incidensek azok, amelyeket a biztonsági műveleti csapatok a megfelelő válaszműveletek meghatározása érdekében triázsnak és kivizsgálnak. Részletes információkat ebben az oktatóanyagban talál: Incidensek vizsgálata a Microsoft Sentinellel.

A fenyegetésjelzők elemzési szabályokban való használatával kapcsolatos további részletekért lásd: Fenyegetésfelderítés használata a fenyegetések észleléséhez.

A Microsoft a Microsoft Defender Intelligens veszélyforrás-felderítés Analytics-szabályon keresztül biztosít hozzáférést a fenyegetésfelderítéshez. A magas megbízhatósági riasztásokat és incidenseket generáló szabály előnyeinek kihasználásával kapcsolatos további információkért lásd : A fenyegetések észleléséhez használt egyező elemzések használata

Screenshot that shows a high fidelity incident generated by matching analytics with additional context information from Microsoft Defender Threat Intelligence.

A munkafüzetek betekintést nyújtanak a fenyegetésfelderítésbe

A munkafüzetek hatékony interaktív irányítópultokat biztosítanak, amelyek betekintést nyújtanak a Microsoft Sentinel minden aspektusába, és a fenyegetésfelderítés sem kivétel. A beépített fenyegetésfelderítési munkafüzet használatával megjelenítheti a fenyegetésintelligencia legfontosabb adatait, és egyszerűen testre szabhatja a munkafüzetet az üzleti igényeinek megfelelően. Hozzon létre új irányítópultokat, melyek számos különböző adatforrást kombinálnak, így egyedi módon jelenítheti meg az adatokat. Mivel a Microsoft Sentinel-munkafüzetek Azure Monitor-munkafüzeteken alapulnak, már széles körű dokumentáció és sok más sablon áll rendelkezésre. Nagyszerű kiindulópont ez a cikk, amely azt ismerteti, hogyan hozhat létre interaktív jelentéseket Azure Monitor-munkafüzetekkel.

Az Azure Monitor-munkafüzetek gazdag közössége is megtalálható a GitHubon további sablonok letöltéséhez és saját sablonok hozzáadásához.

A fenyegetésintelligencia-munkafüzet használatáról és testreszabásáról további információt a Fenyegetésjelzők használata a Microsoft Sentinelben című témakörben talál.

További lépések

Ebben a dokumentumban megismerkedett a Microsoft Sentinel fenyegetésfelderítési képességeivel, beleértve a Fenyegetésfelderítés panelt is. A Microsoft Sentinel fenyegetésfelderítési képességeinek használatáról az alábbi cikkekben talál gyakorlati útmutatást: