Usare gli indicatori di minaccia in Microsoft Sentinel
Per integrare l'intelligence sulle minacce in Microsoft Sentinel, eseguire queste operazioni:
Importa l'intelligence sulle minacce in Microsoft Sentinel abilitando i connettori dati a varie piattaforme e feed di intelligence sulle minacce.
Visualizzare e gestire l'intelligence sulle minacce importata nei log e nella pagina Intelligence sulle minacce di Microsoft Sentinel.
Rileva le minacce e genera avvisi di sicurezza ed eventi imprevisti usando i modelli predefiniti di regole di analisi basati sull'intelligence sulle minacce importata.
Visualizza informazioni chiave relative all'intelligence sulle minacce importata in Microsoft Sentinel usando la cartella di lavoro Intelligence sulle minacce.
Importante
Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Visualizzare gli indicatori di minaccia in Microsoft Sentinel
Trovare e visualizzare gli indicatori nella pagina Intelligence per le minacce
Questa procedura descrive come visualizzare e gestire gli indicatori nella pagina Intelligence sulle minacce, accessibile dal menu principale di Microsoft Sentinel. Usare la pagina Intelligence per le minacce per ordinare, filtrare e cercare gli indicatori di minaccia importati senza scrivere una query di Log Analytics.
Per visualizzare gli indicatori di intelligence sulle minacce nella pagina Intelligence per le minacce:
Per Microsoft Sentinel nella portale di Azure, in Gestione delle minacce selezionare Intelligence per le minacce.
Per Microsoft Sentinel nel portale di Defender selezionare Intelligence sulle minacce per la gestione> delle minacce di Microsoft Sentinel.>Nella griglia selezionare l'indicatore per il quale si desidera visualizzare altri dettagli. I dettagli dell'indicatore vengono visualizzati a destra, mostrando informazioni quali livelli di confidenza, tag, tipi di minaccia e altro ancora.
Microsoft Sentinel visualizza solo la versione più recente degli indicatori in questa visualizzazione. Per altre informazioni sull'aggiornamento degli indicatori, vedere Informazioni sull'intelligence sulle minacce.
Gli indicatori IP e dei nomi di dominio sono arricchiti con dati georilevati aggiuntivi e WhoIs, fornendo un maggiore contesto per le indagini in cui viene trovato l'indicatore selezionato.
Ad esempio:
Importante
L'arricchimento di GeoLocation e WhoIs è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Trovare e visualizzare gli indicatori nei log
Questa procedura descrive come visualizzare gli indicatori di minaccia importati nell'area Log di Microsoft Sentinel, insieme ad altri dati degli eventi di Microsoft Sentinel, indipendentemente dal feed di origine o dal connettore usato.
Gli indicatori di minaccia importati sono elencati nella tabella Microsoft Sentinel > ThreatIntelligenceIndicator , che è la base per le query di intelligence sulle minacce eseguite altrove in Microsoft Sentinel, ad esempio in Analisi o cartelle di lavoro.
Per visualizzare gli indicatori di intelligence sulle minacce nei log:
Per Microsoft Sentinel nella portale di Azure, in Generale selezionare Log.
Per Microsoft Sentinel nel portale di Defender selezionare Ricerca avanzata ricerca>e risposta>.La tabella ThreatIntelligenceIndicator si trova nel gruppo di Microsoft Sentinel .
Selezionare l'icona Anteprima dati (occhio) accanto al nome della tabella e selezionare il pulsante Visualizza nell'editor di query per eseguire una query che visualizzerà i record di questa tabella.
I risultati dovrebbero essere simili all'indicatore di minaccia di esempio mostrato in questo screenshot:
Creare e contrassegnare indicatori
La pagina Intelligence per le minacce consente anche di creare indicatori di minaccia direttamente all'interno dell'interfaccia di Microsoft Sentinel ed eseguire due delle attività amministrative più comuni di Intelligence per le minacce: assegnazione di tag agli indicatori e creazione di nuovi indicatori correlati alle indagini sulla sicurezza.
Creare un nuovo indicatore
Per Microsoft Sentinel nella portale di Azure, in Gestione delle minacce selezionare Intelligence per le minacce.
Per Microsoft Sentinel nel portale di Defender selezionare Intelligence sulle minacce per la gestione> delle minacce di Microsoft Sentinel.>Selezionare il pulsante Aggiungi nuovo dalla barra dei menu nella parte superiore della pagina.
Scegliere il tipo di indicatore, quindi completare il modulo nel pannello Nuovo indicatore . I campi obbligatori sono contrassegnati con un asterisco rosso (*).
Selezionare Applica. L'indicatore viene aggiunto all'elenco degli indicatori e viene inviato anche alla tabella ThreatIntelligenceIndicator in Logs.
Contrassegnare e modificare gli indicatori di minaccia
L'assegnazione di tag agli indicatori di minaccia è un modo semplice per raggrupparli per renderli più facili da trovare. In genere, è possibile applicare un tag agli indicatori correlati a un evento imprevisto specifico o a quelli che rappresentano minacce da un determinato attore noto o una campagna di attacco nota. Contrassegna gli indicatori di minaccia singolarmente o multi-selezione e li contrassegna tutti contemporaneamente. Di seguito è riportato un esempio di assegnazione di tag a più indicatori con un ID evento imprevisto. Poiché l'assegnazione di tag è in formato libero, è consigliabile creare convenzioni di denominazione standard per i tag degli indicatori delle minacce. Gli indicatori consentono l'applicazione di più tag.
Microsoft Sentinel consente anche di modificare gli indicatori, indipendentemente dal fatto che siano stati creati direttamente in Microsoft Sentinel o provenienti da origini partner, come i server TIP e TAXII. Per gli indicatori creati in Microsoft Sentinel, tutti i campi sono modificabili. Per gli indicatori provenienti da origini partner, solo campi specifici sono modificabili, inclusi tag, data di scadenza, confidenza e revocati. In entrambi i casi, tenere presente che solo la versione più recente dell'indicatore viene visualizzata nella visualizzazione della pagina Intelligence per le minacce. Per altre informazioni sull'aggiornamento degli indicatori, vedere Informazioni sull'intelligence sulle minacce.
Le cartelle di lavoro forniscono informazioni dettagliate sull'intelligence sulle minacce
Usare una cartella di lavoro di Microsoft Sentinel creata appositamente per visualizzare le informazioni chiave sull'intelligence sulle minacce in Microsoft Sentinel e personalizzare la cartella di lavoro in base alle esigenze aziendali.
Ecco come trovare la cartella di lavoro di Intelligence per le minacce fornita in Microsoft Sentinel e un esempio di come apportare modifiche alla cartella di lavoro per personalizzarla.
Dal portale di Azure passare al servizio Microsoft Sentinel.
Scegliere l'area di lavoro in cui sono stati importati gli indicatori di minaccia usando il connettore dati di Intelligence per le minacce.
Selezionare Cartelle di lavoro nella sezione Gestione delle minacce del menu di Microsoft Sentinel.
Trovare la cartella di lavoro denominata Intelligence per le minacce e verificare di disporre di dati nella tabella ThreatIntelligenceIndicator , come illustrato di seguito.
Selezionare il pulsante Salva e scegliere un percorso di Azure per archiviare la cartella di lavoro. Questo passaggio è obbligatorio se si intende modificare la cartella di lavoro in qualsiasi modo e salvare le modifiche.
Selezionare ora il pulsante Visualizza cartella di lavoro salvata per aprire la cartella di lavoro per la visualizzazione e la modifica.
Verranno ora visualizzati i grafici predefiniti forniti dal modello. Per modificare un grafico, selezionare il pulsante Modifica nella parte superiore della pagina per attivare la modalità di modifica per la cartella di lavoro.
Aggiungere un nuovo grafico degli indicatori di minaccia per tipo di minaccia. Scorrere fino alla fine della pagina e selezionare Aggiungi query.
Aggiungere il testo seguente alla casella di testo Query log dell'area di lavoro Log Analytics:
ThreatIntelligenceIndicator | summarize count() by ThreatTypeNell'elenco a discesa Visualizzazione selezionare Grafico a barre.
Selezionare il pulsante Modifica completata . È stato creato un nuovo grafico per la cartella di lavoro.
Le cartelle di lavoro offrono dashboard interattivi potenti che contengono informazioni dettagliate su tutti gli aspetti di Microsoft Sentinel. È possibile eseguire molte operazioni con le cartelle di lavoro e, mentre i modelli forniti sono un ottimo punto di partenza, è probabile che si voglia approfondire e personalizzare questi modelli o creare nuovi dashboard combinando molte origini dati diverse in modo da visualizzare i dati in modi univoci. Poiché le cartelle di lavoro di Microsoft Sentinel sono basate su cartelle di lavoro di Monitoraggio di Azure, è già disponibile una documentazione completa e molti altri modelli. Un ottimo punto di partenza è questo articolo su come creare report interattivi con cartelle di lavoro di Monitoraggio di Azure.
In GitHub è disponibile anche una vasta community di cartelle di lavoro di Monitoraggio di Azure per scaricare altri modelli e contribuire con i propri modelli.
Contenuto correlato
In questo articolo sono stati illustrati tutti i modi per usare gli indicatori di intelligence sulle minacce in Microsoft Sentinel. Per altre informazioni sull'intelligence sulle minacce in Microsoft Sentinel, vedere gli articoli seguenti:
- Informazioni sull'intelligence sulle minacce in Microsoft Sentinel.
- Connessione a Microsoft Sentinel Feed di intelligence sulle minacce STIX/TAXII.
- Vedere quali TIP, feed TAXII e arricchimenti possono essere facilmente integrati con Microsoft Sentinel.