Dodawanie jednostek do analizy zagrożeń w usłudze Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal

Podczas badania analizujesz jednostki i ich kontekst jako ważną część zrozumienia zakresu i charakteru zdarzenia. Po odnalezieniu jednostki jako złośliwej nazwy domeny, adresu URL, pliku lub adresu IP w zdarzeniu powinna być oznaczona etykietą i śledzona jako wskaźnik naruszenia (IOC) w analizie zagrożeń.

Na przykład odnajdziesz adres IP wykonujący skanowanie portów w sieci lub działa jako węzeł poleceń i sterowania, wysyłając i/lub odbierając transmisje z dużej liczby węzłów w sieci.

Usługa Microsoft Sentinel umożliwia flagowanie tych typów jednostek bezpośrednio w ramach badania zdarzeń i dodawanie ich do analizy zagrożeń. Możesz wyświetlić dodane wskaźniki zarówno w obszarze Dzienniki , jak i Analiza zagrożeń, i używać ich w obszarze roboczym usługi Microsoft Sentinel.

Dodawanie jednostki do analizy zagrożeń

Nowa strona szczegółów incydentu umożliwia dodawanie jednostek do analizy zagrożeń oprócz grafu badania. Poniżej przedstawiono oba sposoby.

Szczegóły zdarzenia

1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Incydenty.

2. Wybierz zdarzenie do zbadania. Na panelu szczegółów zdarzenia wybierz pozycję Wyświetl pełne szczegóły , aby otworzyć stronę szczegółów zdarzenia.

   

3. Znajdź jednostkę z widżetu Jednostki , które chcesz dodać jako wskaźnik zagrożenia. (Możesz filtrować listę lub wprowadzać ciąg wyszukiwania, aby ułatwić jej zlokalizowanie).

4. Wybierz trzy kropki po prawej stronie jednostki, a następnie wybierz pozycję Dodaj do ti z menu podręcznego.

   Jako wskaźniki zagrożeń można dodać tylko następujące typy jednostek:

   • Nazwa domeny
   • Adres IP (IPv4 i IPv6)
   • URL
   • Plik (skrót)

   

Wykres badania

Wykres badania to wizualne, intuicyjne narzędzie, które przedstawia połączenia i wzorce oraz umożliwia analitykom zadawanie odpowiednich pytań i obserwowanie potencjalnych klientów. Można go użyć do dodawania jednostek do list wskaźników analizy zagrożeń, udostępniając je w całym obszarze roboczym.

1. Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Incydenty.

2. Wybierz zdarzenie do zbadania. Na panelu szczegółów zdarzenia wybierz przycisk Akcje i wybierz pozycję Zbadaj z menu podręcznego. Spowoduje to otwarcie wykresu badania.

   

3. Wybierz jednostkę z grafu, który chcesz dodać jako wskaźnik zagrożenia. Panel boczny zostanie otwarty po prawej stronie. Wybierz pozycję Dodaj do ti.

   Jako wskaźniki zagrożeń można dodać tylko następujące typy jednostek:

   • Nazwa domeny
   • Adres IP (IPv4 i IPv6)
   • URL
   • Plik (skrót)

   

Niezależnie od wybranego interfejsu znajdziesz się tutaj:

1. Zostanie otwarty panel boczny Nowy wskaźnik . Następujące pola zostaną wypełnione automatycznie:

   • Type

     • Typ wskaźnika reprezentowanego przez dodaną jednostkę.
       Lista rozwijana z możliwymi wartościami: ipv4-addr, ipv6-addr, URL, file, domain-name
     • Wymagane; automatycznie wypełniane na podstawie typu jednostki.

   • Wartość

     • Nazwa tego pola zmienia się dynamicznie na wybrany typ wskaźnika.
     • Wartość samego wskaźnika.
     • Wymagane; automatycznie wypełniana przez wartość jednostki.

   • Tagi

     • Tagi wolnego tekstu, które można dodać do wskaźnika.
     • Opcjonalne; automatycznie wypełniane przez identyfikator zdarzenia. Możesz dodać inne osoby.

   • Nazwa/nazwisko

     • Nazwa wskaźnika — jest to, co będzie wyświetlane na liście wskaźników.
     • Opcjonalne; automatycznie wypełniana przez nazwę zdarzenia.

   • Utworzony przez

     • Twórca wskaźnika.
     • Opcjonalne; automatycznie wypełniane przez użytkownika zalogowanego do usługi Microsoft Sentinel.

   Wypełnij pozostałe pola odpowiednio.

   • Typ zagrożenia

     • Typ zagrożenia reprezentowany przez wskaźnik.
     • Opcjonalne; dowolny tekst.

   • Opis

     • Opis wskaźnika.
     • Opcjonalne; dowolny tekst.

   • Odwołany

     • Odwołany stan wskaźnika. Zaznacz pole wyboru, aby odwołać wskaźnik, wyczyść pole wyboru, aby je uaktywnić.
     • Opcjonalne; Boolean.

   • Ufność

     • Wynik odzwierciedla pewność poprawności danych według procentu.
     • Opcjonalne; liczba całkowita, 1–100

   • Łańcuch zabijania

     • Fazy w łańcuchu Lockheed Martin Cyber Kill Chain , do których odpowiada wskaźnik.
     • Opcjonalne; dowolny tekst

   • Prawidłowy od

     • Czas, z którego ten wskaźnik jest uznawany za prawidłowy.
     • Wymagane; data/godzina

   • Prawidłowa do

     • Czas, w którym ten wskaźnik nie powinien być już uznawany za prawidłowy.
     • Opcjonalne; data/godzina

   

2. Po wypełnieniu wszystkich pól do zadowolenia wybierz pozycję Zastosuj. W prawym górnym rogu zobaczysz komunikat potwierdzający, że wskaźnik został utworzony.

3. Jednostka zostanie dodana jako wskaźnik zagrożenia w obszarze roboczym. Można je znaleźć na liście wskaźników na stronie Analiza zagrożeń, a także w tabeli ThreatIntelligenceIndicators w obszarze Dzienniki.

Powiązana zawartość

W tym artykule przedstawiono sposób dodawania jednostek do list wskaźników zagrożeń. Aby uzyskać więcej informacji, zobacz:

• Badanie zdarzeń za pomocą usługi Microsoft Sentinel
• Omówienie analizy zagrożeń w usłudze Microsoft Sentinel
• Praca ze wskaźnikami zagrożeń w usłudze Microsoft Sentinel