Wskaźniki zagrożeń dla analizy zagrożeń cybernetycznych w usłudze Microsoft Sentinel

Azure Active Directory
Logic Apps
Monitor
Microsoft Sentinel

W tym artykule opisano, jak oparte na chmurze rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takie jak Microsoft Sentinel , może używać wskaźników zagrożeń do wykrywania, dostarczania kontekstu i informowania o odpowiedziach na istniejące lub potencjalne zagrożenia cybernetyczne.

Architektura

Diagram przedstawiający przepływ danych usługi Microsoft Sentinel.

Pobierz plik programu Visio z tą architekturą.

Przepływ pracy

Usługi Microsoft Sentinel można używać do:

Łączniki danych wskaźnika zagrożeń

Usługa Microsoft Sentinel importuje wskaźniki zagrożeń, podobnie jak wszystkie inne dane zdarzeń, przy użyciu łączników danych. Dwa łączniki danych usługi Microsoft Sentinel dla wskaźników zagrożeń to Analiza zagrożeń — TAXII i Platformy analizy zagrożeń. Możesz użyć łączników danych lub obu tych łączników, w zależności od tego, gdzie organizacja uzyskuje dane wskaźnika zagrożenia. Włącz łączniki danych w każdym obszarze roboczym, który chcesz odbierać dane.

Analiza zagrożeń — łącznik danych TAXII

Najczęściej stosowanym standardem branżowym transmisji CTI jest format danych STIX i protokół TAXII. Organizacje, które uzyskują wskaźniki zagrożeń z bieżących rozwiązań STIX/TAXII w wersji 2.x, mogą używać łącznika danych Analizy zagrożeń — TAXII do importowania wskaźników zagrożeń do usługi Microsoft Sentinel. Wbudowany klient TAXII usługi Microsoft Sentinel importuje analizę zagrożeń z serwerów TAXII 2.x.

Aby uzyskać szczegółowe instrukcje dotyczące importowania danych wskaźnika zagrożenia STIX/TAXII do usługi Microsoft Sentinel, zobacz Importowanie wskaźników zagrożeń za pomocą łącznika danych TAXII.

Łącznik danych platform analizy zagrożeń

Wiele organizacji korzysta z rozwiązań TIP, takich jak MISP, Anomali ThreatStream, ThreatConnect lub Palo Alto Networks MineMeld, aby agregować źródła wskaźników zagrożeń z różnych źródeł. Organizacje używają funkcji TIP do curate danych, a następnie wybierają wskaźniki zagrożeń, które mają być stosowane do różnych rozwiązań zabezpieczeń, takich jak urządzenia sieciowe, rozwiązania do zaawansowanej ochrony przed zagrożeniami lub rozwiązania SIEM, takie jak Microsoft Sentinel. Łącznik danych Platformy analizy zagrożeń umożliwia organizacjom korzystanie ze zintegrowanego rozwiązania TIP z usługą Microsoft Sentinel.

Łącznik danych Platformy analizy zagrożeń korzysta z interfejsu API tiIndicators programu Microsoft Graph Security. Każda organizacja, która ma niestandardową poradę, może używać tego łącznika danych do korzystania z interfejsu API tiIndicators i wysyłać wskaźniki do usługi Microsoft Sentinel oraz do innych rozwiązań zabezpieczeń firmy Microsoft, takich jak Defender ATP.

Aby uzyskać szczegółowe instrukcje dotyczące importowania danych TIP do usługi Microsoft Sentinel, zobacz Importowanie wskaźników zagrożeń za pomocą łącznika danych Platformy.

Dzienniki wskaźników zagrożeń

Po zaimportowaniu wskaźników zagrożeń do usługi Microsoft Sentinel przy użyciu łączników danych Analizy zagrożeń — TAXII lub Platformy analizy zagrożeń można wyświetlić zaimportowane dane w tabeli ThreatIntelligenceIndicator w obszarze Dzienniki, gdzie są przechowywane wszystkie dane zdarzeń usługi Microsoft Sentinel. Funkcje usługi Microsoft Sentinel, takie jak analiza i skoroszyty , również używają tej tabeli.

Aby wyświetlić wskaźniki zagrożeń:

  1. W Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel.

    Wybierz pozycję Microsoft Sentinel

  2. Wybierz obszar roboczy, w którym zaimportowane wskaźniki zagrożeń.

  3. W obszarze nawigacji po lewej stronie wybierz pozycję Dzienniki.

  4. Na karcie Tabele wyszukaj i wybierz tabelę ThreatIntelligenceIndicator .

  5. Wybierz ikonę podglądu danychpodglądu danych obok nazwy tabeli, aby wyświetlić dane tabeli.

  6. Wybierz pozycję Zobacz w edytorze zapytań, a następnie wybierz strzałkę listy rozwijanej z lewej strony dowolnego z wyników, aby wyświetlić informacje podobne do następującego przykładu:

    Przykładowy wynik wskaźnika zagrożenia

Analiza usługi Microsoft Sentinel

Najważniejszym zastosowaniem wskaźników zagrożeń w rozwiązaniach SIEM jest analiza zużycia energii, która jest zgodna ze zdarzeniami ze wskaźnikami zagrożeń w celu generowania alertów zabezpieczeń, zdarzeń i automatycznych odpowiedzi. Analiza usługi Microsoft Sentinel tworzy reguły analityczne wyzwalane zgodnie z harmonogramem w celu generowania alertów. Parametry reguły są wyrażane jako zapytania i konfigurowane, jak często jest uruchamiana reguła, jakie wyniki zapytania generują alerty zabezpieczeń i zdarzenia oraz wszelkie automatyczne odpowiedzi na alerty.

Możesz tworzyć nowe reguły analityczne od podstaw lub z zestawu wbudowanych szablonów reguł usługi Microsoft Sentinel, których można używać zgodnie z oczekiwaniami lub modyfikować zgodnie z potrzebami. Szablony reguł analizy, które pasują do wskaźników zagrożeń z danymi zdarzeń, są tytułowane począwszy od mapy TI i wszystkie działają podobnie. Różnice to typ wskaźników zagrożeń, które mają być używane: domena, poczta e-mail, skrót pliku, adres IP lub adres URL oraz typy zdarzeń do dopasowania. Każdy szablon zawiera listę wymaganych źródeł danych dla reguły do działania, dzięki czemu możesz zobaczyć na pierwszy rzut oka, jeśli masz już zaimportowane zdarzenia niezbędne w usłudze Microsoft Sentinel.

Aby uzyskać szczegółowe instrukcje dotyczące tworzenia reguły analizy na podstawie szablonu, zobacz Tworzenie reguły analizy na podstawie szablonu.

W usłudze Microsoft Sentinel włączone reguły analizy znajdują się na karcie Aktywne reguły w sekcji Analiza . Aktywne reguły można edytować, włączać, wyłączać, duplikować lub usuwać.

Wygenerowane alerty zabezpieczeń znajdują się w tabeli SecurityAlert w sekcji Dzienniki usługi Microsoft Sentinel. Alerty zabezpieczeń generują również zdarzenia zabezpieczeń, które znajdują się w sekcji Zdarzenia . Zespoły ds. operacji zabezpieczeń mogą klasyfikować i badać zdarzenia w celu określenia odpowiednich odpowiedzi. Aby uzyskać więcej informacji, zobacz Samouczek: badanie zdarzeń za pomocą usługi Microsoft Sentinel.

Można również wyznaczyć automatyzację do wyzwalania, gdy reguły generują alerty zabezpieczeń. Usługa Automation w usłudze Microsoft Sentinel korzysta z podręczników obsługiwanych przez usługę Azure Logic Apps. Aby uzyskać więcej informacji, zobacz Samouczek: konfigurowanie automatycznych odpowiedzi na zagrożenia w usłudze Microsoft Sentinel.

Skoroszyt analizy zagrożeń usługi Microsoft Sentinel

Skoroszyty udostępniają zaawansowane interaktywne pulpity nawigacyjne, które zapewniają wgląd we wszystkie aspekty usługi Microsoft Sentinel. Możesz użyć skoroszytu usługi Microsoft Sentinel do wizualizacji kluczowych informacji CTI. Udostępnione szablony zapewniają punkt wyjścia i można łatwo dostosować szablony do potrzeb biznesowych, tworzyć nowe pulpity nawigacyjne, które łączą wiele różnych źródeł danych i wizualizować dane na unikatowy sposób. Skoroszyty usługi Microsoft Sentinel są oparte na skoroszytach usługi Azure Monitor, dlatego dostępna jest obszerna dokumentacja i szablony.

Aby uzyskać szczegółowe instrukcje dotyczące wyświetlania i edytowania skoroszytu analizy zagrożeń usługi Microsoft Sentinel, zobacz Wyświetlanie i edytowanie skoroszytu analizy zagrożeń.

Alternatywy

  • Wskaźniki zagrożeń zapewniają przydatny kontekst w innych środowiskach usługi Microsoft Sentinel, takich jak wyszukiwanie zagrożeń i notesy. Aby uzyskać więcej informacji na temat używania funkcji CTI w notesach, zobacz Notesy Jupyter w usłudze Sentinel.

  • Każda organizacja, która ma niestandardową poradę, może używać interfejsu API tiIndicators zabezpieczeń programu Microsoft Graph do wysyłania wskaźników zagrożeń do innych rozwiązań zabezpieczeń firmy Microsoft, takich jak Defender ATP.

  • Usługa Microsoft Sentinel udostępnia wiele innych wbudowanych łączników danych do rozwiązań firmy Microsoft, takich jak Microsoft Threat Protection, źródła platformy Microsoft 365 i Microsoft Defender for Cloud Apps. Istnieją również wbudowane łączniki do szerszego ekosystemu zabezpieczeń dla rozwiązań firm innych niż Microsoft. Możesz również użyć wspólnego formatu zdarzeń, dziennika systemu lub interfejsu API REST, aby połączyć źródła danych z usługą Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Łączenie źródeł danych.

Szczegóły scenariusza

Analiza zagrożeń cybernetycznych (CTI) może pochodzić z wielu źródeł, takich jak źródła danych typu open source, społeczności udostępniające analizy zagrożeń, płatne źródła danych wywiadowczych i badania zabezpieczeń w organizacjach. Funkcja CTI może być oparta na pisanych raportach dotyczących motywacji, infrastruktury i technik aktora zagrożeń, po konkretne obserwacje adresów IP, domen i skrótów plików. CTI zapewnia podstawowy kontekst nietypowej aktywności, dzięki czemu personel ds. zabezpieczeń może działać szybko w celu ochrony osób i zasobów.

Najbardziej wykorzystywane ctI w rozwiązaniach SIEM, takich jak Microsoft Sentinel, to dane wskaźnika zagrożeń, czasami nazywane wskaźnikami naruszenia (IoCs). Wskaźniki zagrożeń kojarzą adresy URL, skróty plików, adresy IP i inne dane ze znanym działaniem zagrożeń, takimi jak wyłudzanie informacji, botnety lub złośliwe oprogramowanie. Ta forma analizy zagrożeń jest często nazywana taktyczną analizą zagrożeń, ponieważ produkty zabezpieczeń i automatyzacja mogą używać ich na dużą skalę do ochrony i wykrywania potencjalnych zagrożeń. Usługa Microsoft Sentinel może pomóc w wykrywaniu, reagowaniu na nie i dostarczaniu kontekstu CTI dla złośliwych działań cybernetycznych.

Potencjalne przypadki użycia

  • Nawiąż połączenie z danymi wskaźnika zagrożeń typu open source z serwerów publicznych, aby identyfikować, analizować i reagować na działania związane z zagrożeniami.
  • Użyj istniejących platform analizy zagrożeń lub niestandardowych rozwiązań z interfejsem API tiIndicators programu Microsoft Graph, aby połączyć się z danymi wskaźnika zagrożeń i kontrolować dostęp do nich.
  • Udostępnianie kontekstu i raportowania CTI dla badaczy zabezpieczeń i uczestników projektu.

Zagadnienia do rozważenia

  • Łączniki danych analizy zagrożeń usługi Microsoft Sentinel są obecnie dostępne w publicznej wersji zapoznawczej. Niektóre funkcje mogą nie być obsługiwane lub mogą mieć ograniczone możliwości.

  • Usługa Microsoft Sentinel używa kontroli dostępu opartej na rolach (RBAC) platformy Azure do przypisywania wbudowanych ról Współautor, Czytelnik i Osoba odpowiadająca użytkownikom, grupom i usługom platformy Azure. Mogą one współdziałać z rolami platformy Azure (właścicielem, współautorem, czytelnikiem) i usługą Log Analytics (czytelnik usługi Log Analytics, współautor usługi Log Analytics). Możesz tworzyć role niestandardowe i używać zaawansowanej kontroli dostępu opartej na rolach platformy Azure w danych przechowywanych w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Uprawnienia w usłudze Microsoft Sentinel.

  • Usługa Microsoft Sentinel jest bezpłatna przez pierwsze 31 dni w dowolnym obszarze roboczym usługi Azure Monitor Log Analytics. Następnie możesz użyć modeli rezerwacji pojemności lub płatności zgodnie z rzeczywistym użyciem na potrzeby pozyskiwanych i przechowywanych danych. Aby uzyskać szczegółowe informacje, zobacz Cennik usługi Microsoft Sentinel.

Wdrażanie tego scenariusza

W poniższych sekcjach przedstawiono szczegółowe instrukcje dotyczące wykonywania następujących czynności:

Importowanie wskaźników zagrożeń za pomocą łącznika danych TAXII

Ostrzeżenie

W poniższych instrukcjach użyto bezpłatnego kanału informacyjnego STIX/TAXII w warstwie Limo, anomalii. To źródło danych osiągnęło koniec życia i nie jest już aktualizowane. Nie można ukończyć poniższych instrukcji zgodnie z zapisem. Możesz podstawić to źródło danych przy użyciu innego źródła danych compatibile interfejsu API, do którego masz dostęp.

Serwery TAXII 2.x anonsują elementy root interfejsu API, które są adresami URL hostujących kolekcje analizy zagrożeń. Jeśli znasz już identyfikator główny interfejsu API serwera TAXII i identyfikator kolekcji , z którym chcesz pracować, możesz przejść do przodu i po prostu włączyć łącznik TAXII w usłudze Microsoft Sentinel.

Jeśli nie masz katalogu głównego interfejsu API, zazwyczaj możesz uzyskać go ze strony dokumentacji dostawcy analizy zagrożeń, ale czasami jedynymi dostępnymi informacjami jest adres URL punktu końcowego odnajdywania. Katalog główny interfejsu API można znaleźć przy użyciu punktu końcowego odnajdywania. W poniższym przykładzie użyto punktu końcowego odnajdywania serwera ANOMALi Limo ThreatStream TAXII 2.0.

  1. W przeglądarce przejdź i zaloguj się do punktu końcowego odnajdywania serwera ThreatStream TAXII 2.0 przy https://limo.anomali.com/taxiiużyciu gościa nazwy użytkownika i gościa hasła. Po zalogowaniu się zostaną wyświetlone następujące informacje:

    {
       "api_roots":
       [
           "https://limo.anomali.com/api/v1/taxii2/feeds/",
           "https://limo.anomali.com/api/v1/taxii2/trusted_circles/",
           "https://limo.anomali.com/api/v1/taxii2/search_filters/"
       ],
       "contact": "info@anomali.com",
       "default": "https://limo.anomali.com/api/v1/taxii2/feeds/",
       "description": "TAXII 2.0 Server (guest)",
       "title": "ThreatStream Taxii 2.0 Server"
    }
    
  2. Aby przeglądać kolekcje, wprowadź katalog główny interfejsu API uzyskany w poprzednim kroku w przeglądarce: https://limo.anomali.com/api/v1/taxii2/feeds/collections/. Zostaną wyświetlone informacje, takie jak:

    {
     "collections":
     [
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "107",
             "title": "Phish Tank"
         },
             ...
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "41",
             "title": "CyberCrime"
         }
     ]
    }
    

Masz teraz informacje potrzebne do połączenia usługi Microsoft Sentinel z co najmniej jedną kolekcją serwerów TAXII dostarczoną przez anomalię Limo. Przykład:

Katalog główny interfejsu API Identyfikator kolekcji
Phish Tank 107
Cyberprzestępczości 41

Aby włączyć łącznik danych Analizy zagrożeń — TAXII w usłudze Microsoft Sentinel:

  1. W Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel.

  2. Wybierz obszar roboczy, w którym chcesz zaimportować wskaźniki zagrożeń z usługi TAXII.

  3. Wybierz pozycję Łączniki danych w obszarze nawigacji po lewej stronie, wyszukaj i wybierz pozycję Analiza zagrożeń — TAXII (wersja zapoznawcza) i wybierz pozycję Otwórz stronę łącznika.

  4. Na stronie Konfiguracja wprowadź przyjazną nazwę (dla serwera), taką jak tytuł kolekcji, główny adres URL interfejsu API i identyfikator kolekcji , które chcesz zaimportować, oraz w razie potrzeby nazwa użytkownika i hasło , a następnie wybierz pozycję Dodaj.

    Strona konfiguracji TAXII

Zostanie wyświetlone połączenie w obszarze Lista skonfigurowanych serwerów TAXII 2.0. Powtórz konfigurację dla każdej kolekcji, którą chcesz połączyć z tych samych lub różnych serwerów TAXII.

Importowanie wskaźników zagrożeń za pomocą łącznika danych platform

Interfejs API tiIndicators wymaga identyfikatora aplikacji (klienta), identyfikatorakatalogu (dzierżawy) i wpisu tajnego klienta z twojego rozwiązania PORAD lub niestandardowego, aby połączyć i wysłać wskaźniki zagrożeń do usługi Microsoft Sentinel. Te informacje można uzyskać, rejestrując aplikację PORADę lub rozwiązanie w usłudze Azure Active Directory (Azure AD) i udzielając wymaganych uprawnień.

Najpierw zarejestruj aplikację w Azure AD:

  1. W Azure Portal wyszukaj i wybierz pozycję Rejestracje aplikacji, a następnie wybierz pozycję Nowa rejestracja.

  2. Na stronie Rejestrowanie aplikacji wprowadź nazwę rejestracji aplikacji PORAD lub niestandardowej aplikacji rozwiązania, wybierz pozycję Konta tylko w tym katalogu organizacyjnym, a następnie wybierz pozycję Zarejestruj.

    Rejestrowanie aplikacji

  3. Po pomyślnym zakończeniu rejestracji skopiuj i zapisz wartości identyfikatora aplikacji (klienta) i identyfikatora katalogu (dzierżawy) ze strony Przegląd zarejestrowanej aplikacji.

Następnie przyznaj uprawnienia do rozwiązania PORAD lub niestandardowego, aby nawiązać połączenie z interfejsem API tiIndicators programu Microsoft Graph i wysłać wskaźniki zagrożeń. Administrator globalny Azure AD musi również wyrazić zgodę na aplikację dla organizacji.

  1. Wybierz pozycję Uprawnienia interfejsu API w obszarze nawigacji po lewej stronie zarejestrowanej aplikacji porad lub niestandardowego rozwiązania, a następnie wybierz pozycję Dodaj uprawnienie.

  2. Na stronie Żądania uprawnień interfejsu API wybierz pozycję Microsoft Graph, a następnie wybierz pozycję Uprawnienia aplikacji.

  3. Wyszukaj i wybierz pozycję ThreatIndicators.ReadWrite.OwnedBy, a następnie wybierz pozycję Dodaj uprawnienia.

    Uprawnienia aplikacji

  4. Wybierz pozycję Udziel zgody administratora dla <dzierżawy> na stronie uprawnień interfejsu API aplikacji, aby udzielić zgody dla organizacji. Jeśli na twoim koncie nie masz roli administratora globalnego, ten przycisk jest wyłączony. Poproś administratora globalnego z organizacji o wykonanie tego kroku. Po udzieleniu zgody aplikacji powinien zostać wyświetlony zielony znacznik wyboru w obszarze Stan.

    Udzielanie zgody aplikacji

  5. Po udzieleniu uprawnień i zgody wybierz pozycję Certyfikaty & tajne w lewym obszarze nawigacji aplikacji, a następnie wybierz pozycję Nowy klucz tajny klienta.

  6. Wybierz pozycję Dodaj, aby uzyskać klucz tajnego interfejsu API dla aplikacji.

    Uzyskiwanie klucza tajnego klienta

    Pamiętaj, aby skopiować i zapisać klucz tajny klienta teraz, ponieważ nie można pobrać wpisu tajnego po przejściu z tej strony.

W zintegrowanym rozwiązaniu TIP lub niestandardowym wprowadź identyfikator aplikacji (klienta), identyfikatorkatalogu (dzierżawy) i zapisane wartości wpisów tajnych klienta . Ustaw wartość docelową usługi Microsoft Sentinel i ustaw akcję dla każdego wskaźnika. Alert jest najbardziej odpowiednią akcją dla większości zastosowań usługi Microsoft Sentinel. Interfejs API tiIndicators programu Microsoft Graph wysyła teraz wskaźniki zagrożeń do usługi Microsoft Sentinel, które są dostępne dla wszystkich obszarów roboczych usługi Microsoft Sentinel w organizacji.

Na koniec włącz łącznik danych platform analizy zagrożeń usługi Microsoft Sentinel, aby zaimportować wskaźniki zagrożeń wysyłane przez rozwiązanie TIP lub niestandardowe za pośrednictwem interfejsu API tiIndicators programu Microsoft Graph:

  1. W Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel.
  2. Wybierz obszar roboczy, w którym chcesz zaimportować wskaźniki zagrożeń z rozwiązania PORAD lub niestandardowego.
  3. Wybierz pozycję Łączniki danych w obszarze nawigacji po lewej stronie, wyszukaj i wybierz pozycję Platformy analizy zagrożeń (wersja zapoznawcza) i wybierz pozycję Otwórz stronę łącznika.
  4. Ponieważ kroki rejestracji i konfiguracji zostały już ukończone, wybierz pozycję Połącz.

W ciągu kilku minut wskaźniki zagrożeń porad lub niestandardowych rozwiązań powinny zacząć przepływać do obszaru roboczego usługi Microsoft Sentinel.

Tworzenie reguły analizy na podstawie szablonu

W tym przykładzie użyto szablonu reguły o nazwie TI mapowania jednostki IP na usługę AzureActivity, która porównuje wszystkie wskaźniki zagrożeń typu adresu IP adresu IP ze wszystkimi zdarzeniami adresu IP aktywności platformy Azure. Każde dopasowanie generuje alert zabezpieczeń i odpowiednie zdarzenie do badania przez zespół ds. operacji zabezpieczeń.

W przykładzie założono, że użyto jednego lub obu łączników danych analizy zagrożeń do importowania wskaźników zagrożeń oraz łącznika danych aktywności platformy Azure w celu zaimportowania zdarzeń na poziomie subskrypcji platformy Azure. Oba typy danych są potrzebne do pomyślnego użycia tej reguły analizy.

  1. W Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel.

  2. Wybierz obszar roboczy, w którym zaimportowaliśmy wskaźniki zagrożeń z łącznikiem danych analizy zagrożeń.

  3. W obszarze nawigacji po lewej stronie wybierz pozycję Analiza.

  4. Na karcie Szablony reguł wyszukaj i wybierz jednostkę IP mapy TI reguły (wersja zapoznawcza), a następnie wybierz pozycję Utwórz regułę.

  5. W pierwszym kreatorze reguł analitycznych — utwórz nową regułę na stronie szablonu , upewnij się, że stan reguły jest ustawiony na Włączone, a jeśli chcesz, zmień nazwę reguły lub opis. Wybierz pozycję Dalej: ustaw logikę reguły.

    Tworzenie reguły analizy

    Strona logiki reguły zawiera zapytanie dotyczące reguły, jednostek do mapowania, planowania reguł i liczby wyników zapytania, które generują alert zabezpieczeń. Ustawienia szablonu są uruchamiane raz na godzinę, identyfikuje wszystkie adresy IP IoCs zgodne z dowolnymi adresami IP z zdarzeń platformy Azure i generuje alerty zabezpieczeń dla wszystkich dopasowań. Możesz zachować te ustawienia lub zmienić dowolne z nich, aby spełniały Twoje potrzeby. Po zakończeniu wybierz pozycję Dalej: ustawienia zdarzenia (wersja zapoznawcza).

  6. W obszarze Ustawienia zdarzenia (wersja zapoznawcza) upewnij się, że dla opcji Utwórz zdarzenia z alertów wyzwalanych przez tę regułę analizy ustawiono wartość Włączone, a następnie wybierz pozycję Dalej: Automatyczna odpowiedź.

    Ten krok umożliwia skonfigurowanie automatyzacji do wyzwalania, gdy reguła generuje alert zabezpieczeń. Usługa Automation w usłudze Microsoft Sentinel korzysta z podręczników obsługiwanych przez usługę Azure Logic Apps. Aby uzyskać więcej informacji, zobacz Samouczek: konfigurowanie automatycznych odpowiedzi na zagrożenia w usłudze Microsoft Sentinel. W tym przykładzie po prostu wybierz pozycję Dalej: Przejrzyj, a po przejrzeniu ustawień wybierz pozycję Utwórz.

Reguła jest aktywowana natychmiast po utworzeniu, a następnie wyzwalana zgodnie z regularnym harmonogramem.

Wyświetlanie i edytowanie skoroszytu analizy zagrożeń

  1. W Azure Portal wyszukaj i wybierz pozycję Microsoft Sentinel.

  2. Wybierz obszar roboczy, w którym zaimportowaliśmy wskaźniki zagrożeń z łącznikiem danych analizy zagrożeń.

  3. W obszarze nawigacji po lewej stronie wybierz pozycję Skoroszyty.

  4. Wyszukaj i wybierz skoroszyt zatytułowany Analiza zagrożeń.

  5. Upewnij się, że masz wymagane dane i połączenia, jak pokazano, a następnie wybierz pozycję Zapisz.

    Skoroszyt analizy zagrożeń

    W oknie podręcznym wybierz lokalizację, a następnie wybierz przycisk OK. Ten krok zapisuje skoroszyt, aby można było go zmodyfikować i zapisać zmiany.

  6. Wybierz pozycję Wyświetl zapisany skoroszyt , aby otworzyć skoroszyt i wyświetlić domyślne wykresy, które udostępnia szablon.

Aby edytować skoroszyt, wybierz pozycję Edytuj na pasku narzędzi w górnej części strony. Możesz wybrać pozycję Edytuj obok dowolnego wykresu, aby edytować zapytanie i ustawienia dla tego wykresu.

Aby dodać nowy wykres przedstawiający wskaźniki zagrożeń według typu zagrożenia:

  1. Wybierz pozycję Edytuj w górnej części strony, przewiń do dołu strony i wybierz pozycję Dodaj, a następnie wybierz pozycję Dodaj zapytanie.

  2. W obszarze Zapytanie dzienników obszaru roboczego usługi Log Analytics wprowadź następujące zapytanie:

    
    ThreatIntelligenceIndicator
    | summarize count() by ThreatType
    
  3. Wybierz pozycję Wykres słupkowy na liście rozwijanej Wizualizacja , a następnie wybierz pozycję Gotowe edytowanie.

  4. W górnej części strony wybierz pozycję Zakończono edytowanie , a następnie wybierz ikonę Zapisz , aby zapisać nowy wykres i skoroszyt.

    Nowy wykres skoroszytu

Następne kroki

Odwiedź witrynę Microsoft Sentinel w witrynie GitHub , aby zobaczyć współtworzenie zarówno przez społeczność, jak i przez firmę Microsoft. Tutaj znajdziesz nowe pomysły, szablony i konwersacje dotyczące wszystkich obszarów funkcji usługi Microsoft Sentinel.

Skoroszyty usługi Microsoft Sentinel są oparte na skoroszytach usługi Azure Monitor, więc dostępna jest obszerna dokumentacja i szablony. Doskonałym miejscem do rozpoczęcia jest tworzenie interaktywnych raportów za pomocą skoroszytów usługi Azure Monitor. Istnieje bogata społeczność użytkowników skoroszytów usługi Azure Monitor w usłudze GitHub, w której można pobrać dodatkowe szablony i współtworzyć własne szablony.

Aby dowiedzieć się więcej o polecanych technologiach, zobacz następujące artykuły: