Omówienie analizy zagrożeń w usłudze Microsoft Sentinel

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel to natywne rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń w chmurze (SIEM, Security Information and Event Management) z możliwością szybkiego ściągania analizy zagrożeń z wielu źródeł.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wprowadzenie do analizy zagrożeń

Cyber threat intelligence (CTI) to informacje opisujące istniejące lub potencjalne zagrożenia dla systemów i użytkowników. Ta analiza przyjmuje wiele form, od pisemnych raportów zawierających szczegółowe informacje na temat motywacji, infrastruktury i technik określonego zagrożenia, do konkretnych obserwacji adresów IP, domen, skrótów plików i innych artefaktów skojarzonych ze znanymi zagrożeniami cybernetycznymi. Funkcja CTI jest używana przez organizacje w celu zapewnienia podstawowego kontekstu nietypowej aktywności, dzięki czemu personel ds. zabezpieczeń może szybko podjąć działania w celu ochrony swoich osób, informacji i zasobów. Usługa CTI może być pozyskiwana z wielu miejsc, takich jak źródła danych typu open source, społeczności udostępniające analizy zagrożeń, źródła danych analizy komercyjnej i lokalne analizy zebrane w trakcie badań zabezpieczeń w organizacji.

W przypadku rozwiązań SIEM, takich jak Microsoft Sentinel, najbardziej typowe formy CTI to wskaźniki zagrożeń, znane również jako wskaźniki naruszenia (IoC) lub wskaźniki ataku (IoA). Wskaźniki zagrożeń to dane, które kojarzą zaobserwowane artefakty, takie jak adresy URL, skróty plików lub adresy IP ze znanymi działaniami zagrożeń, takimi jak wyłudzenie informacji, botnety lub złośliwe oprogramowanie. Ta forma analizy zagrożeń jest często nazywana taktyczną analizą zagrożeń, ponieważ jest stosowana do produktów zabezpieczeń i automatyzacji na dużą skalę w celu wykrywania potencjalnych zagrożeń dla organizacji i ochrony przed nimi. Użyj wskaźników zagrożeń w usłudze Microsoft Sentinel, aby wykryć złośliwe działania obserwowane w danym środowisku i zapewnić kontekst śledczym ds. zabezpieczeń w celu informowania o decyzjach dotyczących reagowania.

Zintegruj analizę zagrożeń z usługą Microsoft Sentinel, wykonując następujące działania:

  • Zaimportuj analizę zagrożeń do usługi Microsoft Sentinel, włączając łączniki danych na różne platformy i źródła danych TI.

  • Wyświetlanie zaimportowanej analizy zagrożeń i zarządzanie nią w dziennikach oraz w bloku Analiza zagrożeń usługi Microsoft Sentinel.

  • Wykrywanie zagrożeń i generowanie alertów zabezpieczeń i zdarzeń przy użyciu wbudowanych szablonów reguł analizy na podstawie zaimportowanej analizy zagrożeń.

  • Wizualizuj kluczowe informacje na temat zaimportowanych danych analizy zagrożeń w usłudze Microsoft Sentinel za pomocą skoroszytu analizy zagrożeń.

Firma Microsoft wzbogaca wszystkie zaimportowane wskaźniki analizy zagrożeń za pomocą danych GeoLocation i KtoTo Is, które są wyświetlane wraz z innymi szczegółami wskaźnika.

Analiza zagrożeń udostępnia również przydatny kontekst w innych środowiskach usługi Microsoft Sentinel, takich jak wyszukiwanie zagrożeń i notesy. Aby uzyskać więcej informacji, zobacz Jupyter Notebooks in Microsoft Sentinel and Tutorial: Started with Jupyter notebooks and MSTICPy in Microsoft Sentinel (Samouczek: rozpoczynanie pracy z notesami Jupyter i biblioteką MSTICPy w usłudze Microsoft Sentinel).

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Importowanie analizy zagrożeń za pomocą łączników danych

Podobnie jak wszystkie inne dane zdarzeń w usłudze Microsoft Sentinel, wskaźniki zagrożeń są importowane przy użyciu łączników danych. Poniżej przedstawiono łączniki danych w usłudze Microsoft Sentinel udostępniane specjalnie dla wskaźników zagrożeń.

  • Łącznik danych usługi Microsoft Defender Threat Intelligence w celu pozyskiwania wskaźników zagrożeń firmy Microsoft
  • Analiza zagrożeń — TAXII dla standardowych w branży źródeł danych STIX/TAXII i
  • Interfejs API wskaźników przekazywania analizy zagrożeń dla zintegrowanych i wyselekcjonowanych źródeł danych TI przy użyciu interfejsu API REST w celu nawiązania połączenia
  • Łącznik danych platformy analizy zagrożeń łączy również źródła danych TI przy użyciu interfejsu API REST, ale znajduje się na ścieżce do wycofania

Użyj dowolnego z tych łączników danych w dowolnej kombinacji, w zależności od tego, gdzie organizacja źródła wskaźników zagrożeń. Wszystkie trzy z nich są dostępne w centrum zawartości w ramach rozwiązania analizy zagrożeń. Aby uzyskać więcej informacji na temat tego rozwiązania, zobacz wpis Azure Marketplace Threat Intelligence.

Zobacz również ten wykaz integracji analizy zagrożeń dostępnych w usłudze Microsoft Sentinel.

Dodawanie wskaźników zagrożeń do usługi Microsoft Sentinel za pomocą łącznika danych usługi Microsoft Defender Threat Intelligence

Wprowadzanie wskaźników wysokiej wierności kompromisu (IOC) generowanych przez usługę Microsoft Defender Threat Intelligence (MDTI) do obszaru roboczego usługi Microsoft Sentinel. Łącznik danych MDTI pozyskiwa te karty IOC z prostą konfiguracją jednym kliknięciem. Następnie monitoruj, ostrzegaj i poluj na podstawie analizy zagrożeń w taki sam sposób, jak w przypadku innych źródeł danych.

Aby uzyskać więcej informacji na temat łącznika danych MDTI, zobacz Włączanie łącznika danych MDTI.

Dodawanie wskaźników zagrożeń do usługi Microsoft Sentinel za pomocą łącznika danych interfejsu API przekazywania wskaźników analizy zagrożeń

Wiele organizacji korzysta z rozwiązań platformy analizy zagrożeń (TIP), aby agregować źródła wskaźników zagrożeń z różnych źródeł. Z zagregowanego źródła danych dane są wyselekcjonowane w celu zastosowania do rozwiązań zabezpieczeń, takich jak urządzenia sieciowe, rozwiązania EDR/XDR lub SIEM, takie jak Microsoft Sentinel. Łącznik danych interfejsu API przekazywania wskaźników analizy zagrożeń umożliwia użycie tych rozwiązań do importowania wskaźników zagrożeń do usługi Microsoft Sentinel.

Diagram przedstawiający ścieżkę importowania interfejsu API wskaźników przekazywania.

Ten łącznik danych korzysta z nowego interfejsu API i oferuje następujące ulepszenia:

  • Pola wskaźnika zagrożenia są oparte na standardowym formacie STIX.
  • Aplikacja Microsoft Entra wymaga tylko roli współautora usługi Microsoft Sentinel.
  • Punkt końcowy żądania interfejsu API ma zakres na poziomie obszaru roboczego, a wymagane uprawnienia aplikacji Microsoft Entra zezwalają na szczegółowe przypisywanie na poziomie obszaru roboczego.

Aby uzyskać więcej informacji, zobacz Połączenie platformy analizy zagrożeń przy użyciu interfejsu API wskaźników przekazywania

Dodawanie wskaźników zagrożeń do usługi Microsoft Sentinel przy użyciu łącznika danych Platformy analizy zagrożeń

Podobnie jak w przypadku istniejącego łącznika danych interfejsu API przekazywania wskaźników, łącznik danych platformy analizy zagrożeń korzysta z interfejsu API umożliwiającego poradom lub rozwiązaniu niestandardowemu wysyłanie wskaźników do usługi Microsoft Sentinel. Jednak ten łącznik danych znajduje się teraz na ścieżce do wycofania. Zalecamy nowe rozwiązania, aby korzystać z optymalizacji interfejsu API wskaźników przekazywania.

Łącznik danych TIP współpracuje z interfejsem API tiIndicators zabezpieczeń programu Microsoft Graph. Może być również używana przez dowolną niestandardową platformę analizy zagrożeń, która komunikuje się z interfejsem API tiIndicators w celu wysyłania wskaźników do usługi Microsoft Sentinel (oraz do innych rozwiązań zabezpieczeń firmy Microsoft, takich jak Microsoft Defender XDR).

Zrzut ekranu przedstawiający ścieżkę importowania analizy zagrożeń

Aby uzyskać więcej informacji na temat rozwiązań TIP zintegrowanych z usługą Microsoft Sentinel, zobacz Zintegrowane produkty platformy analizy zagrożeń. Aby uzyskać więcej informacji, zobacz Połączenie platformę analizy zagrożeń do usługi Microsoft Sentinel.

Dodawanie wskaźników zagrożeń do usługi Microsoft Sentinel za pomocą łącznika danych Analizy zagrożeń — TAXII

Najpopularniejszym standardem branżowym transmisji analizy zagrożeń jest połączenie formatu danych STIX i protokołu TAXII. Jeśli Twoja organizacja uzyskuje wskaźniki zagrożeń z rozwiązań obsługujących bieżącą wersję STIX/TAXII (2.0 lub 2.1), użyj łącznika danych Analiza zagrożeń — TAXII , aby wprowadzić wskaźniki zagrożeń do usługi Microsoft Sentinel. Łącznik danych Analizy zagrożeń — TAXII umożliwia wbudowanemu klientowi TAXII w usłudze Microsoft Sentinel importowanie analizy zagrożeń z serwerów TAXII 2.x.

Ścieżka importu TAXII

Aby zaimportować wskaźniki zagrożeń w formacie STIX do usługi Microsoft Sentinel z serwera TAXII:

  1. Uzyskiwanie identyfikatora głównego i identyfikatora kolekcji interfejsu API serwera TAXII

  2. Włączanie łącznika danych analizy zagrożeń — TAXII w usłudze Microsoft Sentinel

Aby uzyskać więcej informacji, zobacz Połączenie Microsoft Sentinel do źródeł danych analizy zagrożeń STIX/TAXII.

Wyświetlanie wskaźników zagrożeń i zarządzanie nimi

Wyświetlanie wskaźników i zarządzanie nimi na stronie Analiza zagrożeń. Sortuj, filtruj i wyszukuj zaimportowane wskaźniki zagrożeń bez konieczności nawet pisania zapytania usługi Log Analytics. Ta funkcja umożliwia również tworzenie wskaźników zagrożeń bezpośrednio w interfejsie usługi Microsoft Sentinel, a także wykonywanie dwóch najbardziej typowych zadań administracyjnych analizy zagrożeń: tagowanie wskaźników i tworzenie nowych wskaźników związanych z badaniami zabezpieczeń.

Tagowanie wskaźników zagrożeń jest łatwym sposobem grupowania ich w celu ułatwienia ich znalezienia. Zazwyczaj można zastosować tag do wskaźników związanych z konkretnym zdarzeniem lub do tych reprezentujących zagrożenia ze strony określonego znanego aktora lub dobrze znanej kampanii ataku. Taguj wskaźniki zagrożeń pojedynczo lub wskaźniki wielokrotnego wyboru i taguj je wszystkie jednocześnie. Oto przykładowy zrzut ekranu przedstawiający tagowanie wielu wskaźników za pomocą identyfikatora zdarzenia. Ponieważ tagowanie jest wolne, zalecaną praktyką jest utworzenie standardowych konwencji nazewnictwa tagów wskaźników zagrożeń. Wskaźniki umożliwiają stosowanie wielu tagów.

Stosowanie tagów do wskaźników zagrożeń

Zweryfikuj wskaźniki i wyświetl pomyślnie zaimportowane wskaźniki zagrożeń z obszaru roboczego analizy dzienników z włączoną usługą Microsoft Sentinel. Tabela ThreatIntelligenceIndicator w schemacie usługi Microsoft Sentinel to miejsce przechowywania wszystkich wskaźników zagrożeń usługi Microsoft Sentinel . Ta tabela jest podstawą zapytań analizy zagrożeń wykonywanych przez inne funkcje usługi Microsoft Sentinel, takie jak analiza i skoroszyty.

Oto przykładowy widok podstawowego zapytania dotyczącego wskaźników zagrożeń.

Zrzut ekranu przedstawiający stronę dzienników z przykładowym zapytaniem tabeli ThreatIntelligenceIndicator.

Wskaźniki TI są pozyskiwane do tabeli ThreatIntelligenceIndicator obszaru roboczego analizy dzienników jako tylko do odczytu. Za każdym razem, gdy wskaźnik zostanie zaktualizowany, zostanie utworzony nowy wpis w tabeli ThreatIntelligenceIndicator . Tylko najbardziej bieżący wskaźnik jest wyświetlany na stronie Analiza zagrożeń. Wskaźniki deduplikacji usługi Microsoft Sentinel opierają się na właściwościach IndicatorId i SourceSystem , a następnie wybiera wskaźnik z najnowszym wskaźnikiem TimeGenerated[UTC].

Właściwość IndicatorId jest generowana przy użyciu identyfikatora wskaźnika STIX. Gdy wskaźniki są importowane lub tworzone ze źródeł innych niż STIX, wskaźnik IndicatorId jest generowany przez źródło i wzorzec wskaźnika.

Aby uzyskać więcej informacji na temat wyświetlania wskaźników zagrożeń i zarządzania nimi, zobacz Praca ze wskaźnikami zagrożeń w usłudze Microsoft Sentinel.

Wyświetlanie danych GeoLocation i KtoTo Is (publiczna wersja zapoznawcza)

Firma Microsoft wzbogaca wskaźniki adresów IP i domeny przy użyciu dodatkowych danych GeoLocation i KtoTo Is, zapewniając więcej kontekstu do badań, w których znaleziono wybrany wskaźnik naruszenia (IOC).

Wyświetl dane GeoLocation i KtoTo Is w okienku Analiza zagrożeń dla tych typów wskaźników zagrożeń zaimportowanych do usługi Microsoft Sentinel.

Na przykład użyj danych geolokalizacji, aby znaleźć szczegółowe informacje, takie jak Organizacja lub Kraj dla wskaźnika IP, i KtoTo Is dane, aby znaleźć dane, takie jak rejestrator i dane tworzenia rekordów na podstawie wskaźnika domeny.

Wykrywanie zagrożeń za pomocą analizy wskaźników zagrożeń

Najważniejszym przypadkiem użycia wskaźników zagrożeń w rozwiązaniach SIEM, takich jak Microsoft Sentinel, jest użycie reguł analizy zasilania na potrzeby wykrywania zagrożeń. Te reguły oparte na wskaźnikach porównują nieprzetworzone zdarzenia ze źródeł danych względem wskaźników zagrożeń w celu wykrywania zagrożeń w organizacji. W usłudze Microsoft Sentinel Analytics tworzysz reguły analizy, które są uruchamiane zgodnie z harmonogramem i generują alerty zabezpieczeń. Reguły są oparte na zapytaniach wraz z konfiguracjami, które określają, jak często powinna być uruchamiana reguła, jakie wyniki zapytania powinny generować alerty zabezpieczeń i zdarzenia oraz opcjonalnie wyzwalać automatyczną odpowiedź.

Chociaż zawsze można tworzyć nowe reguły analizy od podstaw, usługa Microsoft Sentinel udostępnia zestaw wbudowanych szablonów reguł utworzonych przez inżynierów ds. zabezpieczeń firmy Microsoft w celu wykorzystania wskaźników zagrożeń. Te wbudowane szablony reguł są oparte na typie wskaźników zagrożenia (domena, poczta e-mail, skrót pliku, adres IP lub adres URL) i zdarzenia źródła danych, które chcesz dopasować. Każdy szablon zawiera listę wymaganych źródeł wymaganych do działania reguły. Ułatwia to ustalenie, czy niezbędne zdarzenia są już importowane w usłudze Microsoft Sentinel.

Domyślnie po wyzwoleniu tych wbudowanych reguł zostanie utworzony alert. W usłudze Microsoft Sentinel alerty generowane na podstawie reguł analizy generują również zdarzenia zabezpieczeń, które można znaleźć w obszarze Zdarzenia w obszarze Zarządzanie zagrożeniami w menu usługi Microsoft Sentinel. Zdarzenia są tym, co zespoły ds. operacji zabezpieczeń będą klasyfikować i badać w celu określenia odpowiednich akcji reagowania. Szczegółowe informacje znajdują się w tym samouczku: Badanie zdarzeń za pomocą usługi Microsoft Sentinel.

Aby uzyskać więcej informacji na temat używania wskaźników zagrożeń w regułach analizy, zobacz Używanie analizy zagrożeń do wykrywania zagrożeń.

Firma Microsoft zapewnia dostęp do analizy zagrożeń za pośrednictwem reguły analizy zagrożeń w usłudze Microsoft Defender. Aby uzyskać więcej informacji na temat korzystania z tej reguły, która generuje alerty i zdarzenia o wysokiej wierności, zobacz Używanie pasującej analizy do wykrywania zagrożeń

Zrzut ekranu przedstawia zdarzenie o wysokiej wierności wygenerowane przez dopasowanie analizy z dodatkowymi informacjami kontekstowymi z usługi MDTI.

Skoroszyty zapewniają szczegółowe informacje na temat analizy zagrożeń

Skoroszyty udostępniają zaawansowane interaktywne pulpity nawigacyjne, które zapewniają wgląd we wszystkie aspekty usługi Microsoft Sentinel, a analiza zagrożeń nie jest wyjątkiem. Użyj wbudowanego skoroszytu analizy zagrożeń, aby wizualizować kluczowe informacje na temat analizy zagrożeń i łatwo dostosowywać skoroszyt zgodnie z potrzebami biznesowymi. Utwórz nowe pulpity nawigacyjne łączące wiele różnych źródeł danych, aby wizualizować dane w unikatowy sposób. Ponieważ skoroszyty usługi Microsoft Sentinel są oparte na skoroszytach usługi Azure Monitor, dostępna jest już obszerna dokumentacja i wiele innych szablonów. Doskonałym miejscem do rozpoczęcia jest ten artykuł dotyczący tworzenia interaktywnych raportów przy użyciu skoroszytów usługi Azure Monitor.

Istnieje również bogata społeczność skoroszytów usługi Azure Monitor w usłudze GitHub w celu pobrania dodatkowych szablonów i współtworzenia własnych szablonów.

Aby uzyskać więcej informacji na temat używania i dostosowywania skoroszytu analizy zagrożeń, zobacz Praca ze wskaźnikami zagrożeń w usłudze Microsoft Sentinel.

Następne kroki

W tym dokumencie przedstawiono możliwości analizy zagrożeń usługi Microsoft Sentinel, w tym blok Analizy zagrożeń. Aby uzyskać praktyczne wskazówki dotyczące korzystania z możliwości analizy zagrożeń w usłudze Microsoft Sentinel, zobacz następujące artykuły: