Aggiungere entità all'intelligence sulle minacce in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal

Durante un'indagine, si esaminano le entità e il relativo contesto come parte importante della comprensione dell'ambito e della natura di un evento imprevisto. Quando si individua un'entità come nome di dominio dannoso, URL, file o indirizzo IP nell'evento imprevisto, deve essere etichettata e rilevata come indicatore di compromissione (IOC) nell'intelligence sulle minacce.

Ad esempio, si individua un indirizzo IP che esegue analisi delle porte nella rete o funziona come nodo di comando e controllo, inviando e/o ricevendo trasmissioni da un numero elevato di nodi nella rete.

Microsoft Sentinel consente di contrassegnare questi tipi di entità direttamente dall'interno dell'indagine sugli eventi imprevisti e aggiungerli all'intelligence sulle minacce. È possibile visualizzare gli indicatori aggiunti sia in Logche in Intelligence per le minacce e usarli nell'area di lavoro di Microsoft Sentinel.

Aggiungere un'entità all'intelligence per le minacce

La nuova pagina dei dettagli dell'evento imprevisto offre un altro modo per aggiungere entità all'intelligence sulle minacce, oltre al grafico di indagine. Di seguito sono illustrati entrambi i modi.

Dettagli evento imprevisto

1. Dal menu di spostamento di Microsoft Sentinel selezionare Eventi imprevisti.

2. Selezionare un evento imprevisto da analizzare. Nel pannello dei dettagli dell'evento imprevisto selezionare Visualizza dettagli completi per aprire la pagina dei dettagli dell'evento imprevisto.

   

3. Trovare l'entità dal widget Entities da aggiungere come indicatore di minaccia. È possibile filtrare l'elenco o immettere una stringa di ricerca per facilitare l'individuazione.

4. Selezionare i tre puntini a destra dell'entità e selezionare Aggiungi a TI dal menu a comparsa.

   Solo i tipi di entità seguenti possono essere aggiunti come indicatori di minaccia:

   • Nome di dominio
   • Indirizzo IP (IPv4 e IPv6)
   • URL
   • File (hash)

   

Grafico dell'indagine

Il grafico di indagine è uno strumento visivo e intuitivo che presenta connessioni e modelli e consente agli analisti di porre le domande giuste e seguire i lead. È possibile usarlo per aggiungere entità agli elenchi di indicatori di intelligence per le minacce, rendendoli disponibili nell'area di lavoro.

1. Dal menu di spostamento di Microsoft Sentinel selezionare Eventi imprevisti.

2. Selezionare un evento imprevisto da analizzare. Nel pannello dei dettagli dell'evento imprevisto selezionare il pulsante Azioni e scegliere Analizza dal menu a comparsa. Verrà aperto il grafico di indagine.

   

3. Selezionare l'entità dal grafico da aggiungere come indicatore di minaccia. Verrà aperto un pannello laterale a destra. Selezionare Aggiungi a TI.

   Solo i tipi di entità seguenti possono essere aggiunti come indicatori di minaccia:

   • Nome di dominio
   • Indirizzo IP (IPv4 e IPv6)
   • URL
   • File (hash)

   

Indipendentemente dalle due interfacce scelte, si finirà qui:

1. Verrà aperto il pannello laterale Nuovo indicatore . I campi seguenti verranno popolati automaticamente:

   • Type

     • Tipo di indicatore rappresentato dall'entità che si sta aggiungendo.
       Elenco a discesa con valori possibili: ipv4-addr, ipv6-addr, URL, file, domain-name
     • Obbligatorio; popolato automaticamente in base al tipo di entità.

   • valore

     • Il nome di questo campo viene modificato in modo dinamico nel tipo di indicatore selezionato.
     • Valore dell'indicatore stesso.
     • Obbligatorio; popolato automaticamente dal valore dell'entità.

   • Tag

     • Tag di testo libero che è possibile aggiungere all'indicatore.
     • Opzionale; popolato automaticamente dall'ID evento imprevisto. È possibile aggiungere altri utenti.

   • Nome

     • Nome dell'indicatore: questo è ciò che verrà visualizzato nell'elenco degli indicatori.
     • Opzionale; popolato automaticamente dal nome dell'evento imprevisto.

   • Autore

     • Creatore dell'indicatore.
     • Opzionale; popolato automaticamente dall'utente connesso a Microsoft Sentinel.

   Compilare i campi rimanenti di conseguenza.

   • Tipo di minaccia

     • Tipo di minaccia rappresentato dall'indicatore.
     • Opzionale; testo libero.

   • Descrizione

     • Descrizione dell'indicatore.
     • Opzionale; testo libero.

   • Dimmisionarie

     • Stato revocato dell'indicatore. Contrassegna la casella di controllo per revocare l'indicatore, deselezionare la casella di controllo per attivarla.
     • Opzionale; Boolean.

   • Attendibilità

     • Punteggio che riflette l'attendibilità della correttezza dei dati, per percentuale.
     • Opzionale; intero, 1-100

   • Kill chain

     • Fasi della Lockheed Martin Cyber Kill Chain a cui corrisponde l'indicatore.
     • Opzionale; testo libero

   • Valido da

     • Ora da cui questo indicatore viene considerato valido.
     • Obbligatorio; data/ora

   • Valido fino a

     • Ora in cui questo indicatore non deve più essere considerato valido.
     • Opzionale; data/ora

   

2. Quando tutti i campi vengono compilati per la soddisfazione, selezionare Applica. Verrà visualizzato un messaggio di conferma nell'angolo superiore destro che l'indicatore è stato creato.

3. L'entità verrà aggiunta come indicatore di minaccia nell'area di lavoro. È possibile trovarlo nell'elenco degli indicatori nella pagina Intelligence per le minacce e anche nella tabella ThreatIntelligenceIndicators in Log.

Contenuto correlato

In questo articolo si è appreso come aggiungere entità agli elenchi di indicatori di minaccia. Per altre informazioni, vedi:

• Analizzare gli eventi imprevisti con Microsoft Azure Sentinel
• Informazioni sull'intelligence sulle minacce in Microsoft Sentinel
• Usare gli indicatori di minaccia in Microsoft Sentinel