Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Sentinel to natywne dla chmury rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) z możliwością pozyskiwania, instalowania i zarządzania analizą zagrożeń z wielu źródeł.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.
Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.
Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Wprowadzenie do analizy zagrożeń
Cyber threat intelligence (CTI) to informacje opisujące istniejące lub potencjalne zagrożenia dla systemów i użytkowników. Ta inteligencja przyjmuje wiele form, takich jak pisemne raporty, które szczegółowo opisują motywacje, infrastrukturę i techniki konkretnego aktora zagrożeń. Może to być również konkretne obserwacje adresów IP, domen, skrótów plików i innych artefaktów skojarzonych ze znanymi zagrożeniami cybernetycznymi.
Organizacje używają ctI do zapewnienia podstawowego kontekstu nietypowej aktywności, dzięki czemu personel ds. zabezpieczeń może szybko podjąć działania w celu ochrony swoich osób, informacji i zasobów. Możesz pozyskać CTI z wielu miejsc, takich jak:
- Źródła danych typu open source
- Społeczności dzielące się analizą zagrożeń
- Kanały źródeł informacji komercyjnej
- Lokalne informacje wywiadowcze zebrane w trakcie dochodzeń bezpieczeństwa w organizacji
W przypadku rozwiązań SIEM, takich jak Microsoft Sentinel, najbardziej typowe formy CTI to wskaźniki zagrożeń, które są również nazywane wskaźnikami naruszenia (IOC) lub wskaźnikami ataku. Wskaźniki zagrożeń to dane, które kojarzą zaobserwowane artefakty, takie jak adresy URL, skróty plików lub adresy IP ze znanymi działaniami zagrożeń, takimi jak wyłudzenie informacji, botnety lub złośliwe oprogramowanie. Ta forma analizy zagrożeń jest często nazywana taktyczną analizą zagrożeń. Jest ona stosowana do produktów zabezpieczeń i automatyzacji na dużą skalę w celu wykrywania potencjalnych zagrożeń dla organizacji i ochrony przed nimi.
Inny aspekt analizy zagrożeń reprezentuje podmioty zagrożeń, ich techniki, taktykę i procedury (TTPs), ich infrastrukturę i tożsamości swoich ofiar. Usługa Microsoft Sentinel obsługuje zarządzanie tymi aspektami oraz IOC, wyrażonymi za pomocą standardu open source do wymiany informacji o cyberzagrożeniach, znanego jako ustrukturyzowane wyrażenie informacji o zagrożeniach (STIX). Informacje o zagrożeniach wyrażone jako obiekty STIX poprawiają interoperacyjność i umożliwiają organizacjom skuteczniejsze wykrywanie zagrożeń. Użyj obiektów STIX analizy zagrożeń w usłudze Microsoft Sentinel, aby wykryć złośliwe działania obserwowane w danym środowisku i zapewnić pełny kontekst ataku w celu informowania o decyzjach dotyczących reagowania.
W poniższej tabeli przedstawiono działania wymagane do jak największej integracji analizy zagrożeń (TI) w usłudze Microsoft Sentinel:
| Akcja | Opis |
|---|---|
| Przechowywanie analizy zagrożeń w obszarze roboczym usługi Microsoft Sentinel |
|
| Zarządzanie analizą zagrożeń |
|
| Korzystanie z analizy zagrożeń |
|
Analiza zagrożeń udostępnia również przydatny kontekst w innych środowiskach usługi Microsoft Sentinel, takich jak notesy. Aby uzyskać więcej informacji, zapoznaj się z Wprowadzeniem do notesów i biblioteki MSTICPy.
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.
Importowanie i łączenie analizy zagrożeń
Większość analizy zagrożeń jest importowana przy użyciu łączników danych lub interfejsu API. Skonfiguruj reguły pozyskiwania, aby zmniejszyć szum i zapewnić, że kanały danych wywiadowczych są zoptymalizowane. Poniżej przedstawiono rozwiązania dostępne dla usługi Microsoft Sentinel.
- Konektor danych Microsoft Defender Threat Intelligence do pobierania inteligencji zagrożeń Microsoftu
- Analiza zagrożeń — łącznik danych TAXII dla standardowych źródeł danych STIX/TAXII
- Interfejs API przekazywania analizy zagrożeń dla zintegrowanych i wyselekcjonowanych źródeł danych TI przy użyciu interfejsu API REST do nawiązania połączenia (nie wymaga łącznika danych)
- Łącznik danych platformy analizy zagrożeń łączy również źródła danych TI przy użyciu starszego interfejsu API REST, ale znajduje się na ścieżce do wycofania
Te rozwiązania są używane w dowolnej kombinacji, w zależności od tego, gdzie organizacja korzysta z analizy zagrożeń. Wszystkie te łączniki danych są dostępne w centrum zawartości w ramach rozwiązania analizy zagrożeń . Aby uzyskać więcej informacji na temat tego rozwiązania, zobacz wpis Azure Marketplace Threat Intelligence.
Zobacz również ten wykaz integracji analizy zagrożeń , które są dostępne w usłudze Microsoft Sentinel.
Dodawanie analizy zagrożeń do usługi Microsoft Sentinel przy użyciu łącznika danych usługi Defender Threat Intelligence
Wprowadź publiczne, otwarte i wysokiej wierności wskaźniki kompromitacji generowane przez Defender Threat Intelligence do swojego obszaru roboczego Microsoft Sentinel za pomocą łączników danych Defender Threat Intelligence. Korzystając z prostej konfiguracji jednym kliknięciem, wykorzystaj analizę zagrożeń ze standardowych i premium łączników danych Defender Threat Intelligence do monitorowania, alertów i poszukiwania.
Istnieją dwie wersje łącznika danych, standard i premium. Dostępna jest również bezpłatna reguła analizy zagrożeń usługi Defender Threat Intelligence, która oferuje przykład tego, co zapewnia łącznik danych premium usługi Defender Threat Intelligence. Jednak w przypadku analiz dopasowujących tylko wskaźniki zgodne z regułą są przyjmowane do środowiska.
Łącznik danych usługi Premium Defender Threat Intelligence pozyska wzbogaconą przez firmę Microsoft analizę typu open source i wyselekcjonowane operacje we/wy firmy Microsoft. Te funkcje w warstwie Premium umożliwiają analizę większej liczby źródeł danych z większą elastycznością i zrozumieniem tej analizy zagrożeń. Oto tabela przedstawiająca, czego można oczekiwać po licencji i włączeniu wersji Premium.
| Bezpłatna | Premium |
|---|---|
| Publiczne wskaźniki włamania | |
| Wywiad ze źródeł otwartych (OSINT) | |
| Microsoft IOCs | |
| Wzbogacony przez firmę Microsoft OSINT |
Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Aby dowiedzieć się, jak uzyskać licencję Premium i zapoznać się ze wszystkimi różnicami między wersjami standardowymi i premium, zobacz Eksplorowanie licencji usługi Defender Threat Intelligence.
- Aby dowiedzieć się więcej na temat bezpłatnego środowiska analizy zagrożeń w usłudze Defender, zobacz Wprowadzenie do bezpłatnego środowiska analizy zagrożeń usługi Defender dla usługi Microsoft Defender XDR.
- Aby dowiedzieć się, jak włączyć usługę Defender Threat Intelligence i łączniki danych usługi Defender Threat Intelligence w warstwie Premium, zobacz Włączanie łącznika danych usługi Defender Threat Intelligence.
- Aby dowiedzieć się więcej na temat dopasowywania analiz, zobacz Używanie pasującej analizy do wykrywania zagrożeń.
Dodawanie inteligencji zagrożeń do usługi Microsoft Sentinel przy użyciu API przesyłania
Wiele organizacji korzysta z rozwiązań platformy analizy zagrożeń (TIP), aby agregować źródła wskaźników zagrożeń z różnych źródeł. Z zagregowanego źródła danych dane są wyselekcjonowane w celu zastosowania do rozwiązań zabezpieczeń, takich jak urządzenia sieciowe, rozwiązania EDR/XDR lub SIEM, takie jak Microsoft Sentinel. Interfejs API przesyłania umożliwia użycie tych rozwiązań do importowania obiektów STIX związanych z analizą zagrożeń do usługi Microsoft Sentinel.
Nowy interfejs API przekazywania nie wymaga łącznika danych i oferuje następujące ulepszenia:
- Pola wskaźnika zagrożenia są oparte na standardowym formacie STIX.
- Aplikacja Microsoft Entra wymaga roli współautora usługi Microsoft Sentinel.
- Końcowy punkt żądania API jest ograniczony do poziomu przestrzeni roboczej. Wymagane uprawnienia aplikacji Microsoft Entra umożliwiają szczegółowe przypisywanie na poziomie obszaru roboczego.
Aby uzyskać więcej informacji, zobacz Łączenie platformy inteligencji zagrożeń przy użyciu interfejsu API przesyłania
Dodawanie analizy zagrożeń do usługi Microsoft Sentinel przy użyciu łącznika danych platformy analizy zagrożeń
Uwaga
Ten łącznik danych znajduje się teraz w ścieżce do wycofania.
Podobnie jak interfejs API przekazywania, łącznik danych platformy analizy zagrożeń korzysta z interfejsu API, który umożliwia usłudze TIP lub niestandardowemu rozwiązaniu wysyłanie analizy zagrożeń do usługi Microsoft Sentinel. Jednak ten łącznik danych jest ograniczony tylko do wskaźników i jest teraz na ścieżce do wycofania. Zalecamy skorzystanie z optymalizacji, które interfejs API dla przesyłania ma do zaoferowania.
Łącznik danych TIP korzysta z interfejsu API Microsoft Graph Security tiIndicators, który nie obsługuje innych obiektów STIX. Użyj go z dowolną niestandardową platformą TIP, która komunikuje się z interfejsem API tiIndicators, aby wysyłać wskaźniki do usługi Microsoft Sentinel oraz do innych rozwiązań bezpieczeństwa Microsoft, takich jak Defender XDR.
Aby uzyskać więcej informacji na temat rozwiązań TIP zintegrowanych z usługą Microsoft Sentinel, zobacz Zintegrowane produkty platformy analizy zagrożeń. Aby uzyskać więcej informacji, zobacz Łączenie platformy analizy zagrożeń z usługą Microsoft Sentinel.
Dodawanie analizy zagrożeń do usługi Microsoft Sentinel za pomocą łącznika danych Analizy zagrożeń — TAXII
Najpopularniejszym standardem branżowym transmisji analizy zagrożeń jest połączenie formatu danych STIX i protokołu TAXII. Jeśli Twoja organizacja uzyskuje analizę zagrożeń z rozwiązań, które obsługują bieżącą wersję STIX/TAXII (2.0 lub 2.1), użyj łącznika danych Analiza zagrożeń — TAXII, aby wprowadzić analizę zagrożeń do usługi Microsoft Sentinel. Łącznik danych Analizy zagrożeń — TAXII umożliwia wbudowanemu klientowi TAXII w usłudze Microsoft Sentinel importowanie analizy zagrożeń z serwerów TAXII 2.x.
Aby zaimportować analizę zagrożeń w formacie STIX do usługi Microsoft Sentinel z serwera TAXII:
- Uzyskaj główny punkt dostępu interfejsu API serwera TAXII i identyfikator kolekcji.
- Włącz łącznik danych Analizy zagrożeń — TAXII w usłudze Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Connect Microsoft Sentinel to STIX/TAXII threat intelligence feeds (Łączenie usługi Microsoft Sentinel z źródłami danych analizy zagrożeń STIX/TAXII).
Tworzenie analizy zagrożeń i zarządzanie nią
Analiza zagrożeń obsługiwana przez usługę Microsoft Sentinel jest zarządzana obok usługi Microsoft Defender Threat Intelligence (MDTI) i analizy zagrożeń w portalu usługi Microsoft Defender.
Uwaga
Analizę zagrożeń w portalu Azure wciąż uzyskuje się dostęp poprzez Microsoft Sentinel, Zarządzanie zagrożeniami, Analiza zagrożeń.
Dwa z najbardziej typowych zadań analizy zagrożeń to tworzenie nowej analizy zagrożeń związanych z badaniami zabezpieczeń i dodawanie tagów. Interfejs zarządzania usprawnia ręczny proces zarządzania indywidualnymi informacjami o zagrożeniach dzięki kilku kluczowym funkcjom.
- Skonfiguruj reguły pozyskiwania, aby zoptymalizować informacje wywiadowcze o zagrożeniach ze źródeł przychodzących.
- Zdefiniuj relacje podczas tworzenia nowych obiektów STIX.
- Kuratować istniejące TI za pomocą konstruktora relacji.
- Skopiuj typowe metadane z nowego lub istniejącego obiektu TI z zduplikowaną funkcją.
- Dodawanie tagów dowolnych formularzy do obiektów za pomocą wielokrotnego wybierania.
Następujące obiekty STIX są dostępne w usłudze Microsoft Sentinel: 
| Obiekt STIX | Opis |
|---|---|
| Podmiot zagrożenia | Od młodocianych hakerów do państw narodowych, podmioty zagrożeń opisują motywacje, poziom wyrafinowania i dostępne zasoby. |
| Wzorzec ataku | Wzorce ataków, znane również jako techniki, taktyki i procedury, opisują konkretny składnik ataku i etap MITRE ATT&CK, na którym są stosowane. |
| Wskaźnik |
Domain name, , URLIPv4 address, IPv6 address, i File hashesX509 certificates służą do uwierzytelniania tożsamości urządzeń i serwerów na potrzeby bezpiecznej komunikacji przez Internet.
JA3 odciski palców to unikatowe identyfikatory generowane w procesie uzgadniania protokołu TLS/SSL. Pomagają one zidentyfikować określone aplikacje i narzędzia używane w ruchu sieciowym, co ułatwia wykrywanie złośliwych działań. Odciski palców rozszerzają możliwości JA3, uwzględniając również cechy specyficzne dla serwera w procesie identyfikacji odcisków palców. To rozszerzenie zapewnia bardziej kompleksowy widok ruchu sieciowego i pomaga w identyfikowaniu zagrożeń po stronie klienta i serwera.
User agents podaj informacje o oprogramowaniu klienckim wysyłającym żądania do serwera, takie jak przeglądarka lub system operacyjny. Są one przydatne podczas identyfikowania i profilowania urządzeń i aplikacji, które uzyskują dostęp do sieci. |
| Tożsamość | Opisywanie ofiar, organizacji i innych grup lub osób fizycznych wraz z sektorami biznesowymi najbardziej powiązanymi z nimi. |
| Związek | Wątki łączące wywiad zagrożeń, które ułatwiają nawiązywanie połączeń między różnymi sygnałami i punktami danych, są opisywane za pomocą relacji. |
Konfigurowanie reguł pozyskiwania
Zoptymalizuj źródła danych analizy zagrożeń, filtrując i ulepszając obiekty przed ich dostarczeniem do obszaru roboczego. Reguły pozyskiwania aktualizują atrybuty lub filtrują obiekty razem. W poniższej tabeli wymieniono niektóre przypadki użycia:
| Przypadek użycia reguły wprowadzania | Opis |
|---|---|
| Zmniejszanie szumu | Odfiltruj stare informacje o zagrożeniach, które nie były aktualizowane przez 6 miesięcy i które również mają niską pewność. |
| Rozszerzanie daty ważności | Podwyższ poziom wysokiej wierności operacji we/wy z zaufanych źródeł, przedłużając ich Valid until o 30 dni. |
| Zapamiętaj stare dni | Nowa taksonomia podmiotów zagrożeń jest świetna, ale niektórzy analitycy chcą mieć pewność, że stare nazwy są oznaczone. |
Pamiętaj o następujących wskazówkach dotyczących używania reguł przetwarzania danych:
- Wszystkie reguły mają zastosowanie w kolejności. Pozyskane obiekty analizy zagrożeń będą przetwarzane przez każdą regułę do momentu podjęcia
Deleteakcji. Jeśli na obiekcie nie zostanie podjęta żadna akcja, zostanie ono pobrane ze źródła w takim stanie, w jakim się znajduje. - Akcja
Deleteoznacza, że obiekt analizy zagrożeń jest pomijany przy przetwarzaniu, co oznacza usunięcie z potoku. Wcześniejsze wersje obiektu, które zostały już zaimportowane, nie są naruszone. - Zastosowanie nowych i edytowanych reguł może potrwać do 15 minut.
Aby uzyskać więcej informacji, zajrzyj do Pracuj z regułami zbierania analizy zagrożeń.
Utwórz relacje
Ulepszanie wykrywania zagrożeń i reagowania na nie przez ustanawianie połączeń między obiektami za pomocą konstruktora relacji. W poniższej tabeli wymieniono niektóre z jego przypadków użycia:
| Przypadek użycia relacji | Opis |
|---|---|
| Łączenie aktora zagrożenia ze wzorcem ataku | Aktor APT29 zagrożenia używa wzorca Phishing via Email ataku, aby uzyskać początkowy dostęp. |
| Łączenie wskaźnika z aktorem zagrożeń | Wskaźnik allyourbase.contoso.com domeny jest przypisywany aktorowi APT29zagrożeń. |
| Kojarzenie tożsamości (ofiary) ze wzorcem ataku | Wzorzec Phishing via Email ataku jest przeznaczony dla FourthCoffee organizacji. |
Na poniższej ilustracji pokazano, jak konstruktor relacji łączy wszystkie te przypadki użycia.
Zarządzaj informacjami o zagrożeniach
Skonfiguruj, które obiekty TI mogą być udostępniane odpowiednim grupom odbiorców, określając poziom poufności o nazwie Traffic Light Protocol (TLP).
| Kolor TLP | Czułość |
|---|---|
| Biała | Informacje mogą być udostępniane swobodnie i publicznie bez żadnych ograniczeń. |
| Zielony | Informacje mogą być udostępniane osobom równorzędnym i organizacjom partnerskim w społeczności, ale nie publicznie. Jest przeznaczona dla szerszej publiczności w społeczności. |
| Bursztynowy | Informacje mogą być udostępniane członkom organizacji, ale nie publicznie. Ma być używana w organizacji w celu ochrony poufnych informacji. |
| Czerwony | Informacje są wysoce poufne i nie powinny być udostępniane poza określoną grupą lub spotkaniem, w którym pierwotnie zostały ujawnione. |
Ustaw wartości TLP dla obiektów TI w interfejsie użytkownika podczas ich tworzenia lub edytowania. Ustawienie funkcji TLP za pośrednictwem interfejsu API jest mniej intuicyjne i wymaga wybrania jednego z czterech marking-definition identyfikatorów GUID obiektów. Aby uzyskać więcej informacji na temat konfigurowania funkcji TLP za pośrednictwem interfejsu API, zobacz object_marking_refs we wspólnych właściwościach interfejsu API przekazywania
Innym sposobem na zarządzanie TI jest użycie tagów. Tagowanie analizy zagrożeń to szybki sposób grupowania obiektów w celu ułatwienia ich znajdowania. Zazwyczaj można stosować tagi związane z konkretnym zdarzeniem. Jeśli jednak obiekt reprezentuje zagrożenia ze strony określonego znanego aktora lub dobrze znanej kampanii ataku, rozważ utworzenie relacji zamiast tagu. Po wyszukiwaniu i filtrowaniu analizy danych wywiadowczych o zagrożeniach, którymi chcesz się zająć, oznaczaj je pojedynczo lub wybierz je wszystkie jednocześnie i oznacz. Ponieważ tagowanie jest bezpłatne, zalecamy utworzenie standardowych konwencji nazewnictwa dla tagów analizy zagrożeń.
Aby uzyskać więcej informacji, zobacz Praca z analizą zagrożeń w usłudze Microsoft Sentinel.
Wyświetlanie analizy zagrożeń
Wyświetl analizę zagrożeń z poziomu interfejsu zarządzania lub korzystając z zapytań:
Z poziomu interfejsu zarządzania użyj wyszukiwania zaawansowanego, aby sortować i filtrować obiekty analizy zagrożeń bez konieczności nawet pisania zapytania usługi Log Analytics.
Użyj zapytań, aby wyświetlić analizę zagrożeń z dzienników w witrynie Azure Portal lub zaawansowane wyszukiwanie zagrożeń w portalu usługi Defender.
Tak czy inaczej, tabela
ThreatIntelligenceIndicatorw schemacie Microsoft Sentinel jest miejscem przechowywania wszystkich wskaźników zagrożeń Microsoft Sentinel. Ta tabela jest podstawą zapytań analizy zagrożeń wykonywanych przez inne funkcje usługi Microsoft Sentinel, takie jak analiza, zapytania wyszukiwania zagrożeń i skoroszyty.
Ważne
3 kwietnia 2025 r. zaprezentowaliśmy publicznie dwa nowe tabele wspierające schematy wskaźników i obiektów STIX: ThreatIntelIndicators i ThreatIntelObjects. Usługa Microsoft Sentinel pozyska wszystkie dane analizy zagrożeń w tych nowych tabelach, jednocześnie pozyskując te same dane do starszej ThreatIntelligenceIndicator tabeli do 31 lipca 2025 r.
Pamiętaj, aby zaktualizować niestandardowe zapytania, reguły analizy i wykrywania, skoroszyty i automatyzację, aby używać nowych tabel do 31 lipca 2025 r. Po tej dacie usługa Microsoft Sentinel przestanie pozyskiwać dane do starszej ThreatIntelligenceIndicator tabeli. Aktualizujemy wszystkie wbudowane rozwiązania do analizy zagrożeń w Content Hub, aby wykorzystać nowe tabele. Aby uzyskać więcej informacji na temat nowych schematów tabel, zobacz ThreatIntelIndicators i ThreatIntelObjects.
Aby uzyskać informacje na temat używania i migrowania do nowych tabel, zobacz Praca z obiektami STIX w celu ulepszenia analizy zagrożeń i wyszukiwania zagrożeń w usłudze Microsoft Sentinel (wersja zapoznawcza).
Cykl życia analizy zagrożeń
Usługa Microsoft Sentinel przechowuje dane analizy zagrożeń w tabelach analizy zagrożeń i automatycznie pozyskuje wszystkie dane co siedem dni, aby zoptymalizować wydajność zapytań.
Po utworzeniu, zaktualizowaniu lub usunięciu wskaźnika usługa Microsoft Sentinel tworzy nowy wpis w tabelach. Tylko najbardziej bieżący wskaźnik jest wyświetlany w interfejsie zarządzania. Wskaźniki deduplikacji usługi Microsoft Sentinel są oparte na Id właściwości ( IndicatorId właściwość w starszej wersji ThreatIntelligenceIndicator) i wybiera wskaźnik z najnowszymi TimeGenerated[UTC]elementami .
Właściwość Id to konkatenacja wartości SourceSystem zakodowanej w formacie base64, --- (trzy kreski), oraz stixId (który jest wartością Data.Id).
Wyświetl swoje wzbogacone dane GeoLocation i WhoIs (wersja publiczna)
Firma Microsoft wzbogaca wskaźniki adresów IP i domen o dodatkowe GeoLocation i WhoIs dane, aby zapewnić więcej kontekstu dla dochodzeń, w których znaleziono wybrany IOC.
Wyświetl dane GeoLocation oraz WhoIs w okienku Threat Intelligence dla tych typów wskaźników zagrożeń zaimportowanych do usługi Microsoft Sentinel.
Na przykład użyj GeoLocation danych, aby znaleźć informacje, takie jak organizacja lub kraj lub region dla wskaźnika IP. Użyj WhoIs danych, aby znaleźć dane, takie jak rejestrator i dane tworzenia rekordów na podstawie wskaźnika domeny.
Wykrywanie zagrożeń za pomocą analizy wskaźników zagrożeń
Najważniejszym przypadkiem użycia inteligencji zagrożeń w rozwiązaniach SIEM, takich jak Microsoft Sentinel, jest zasilanie reguł analitycznych na potrzeby wykrywania zagrożeń. Te reguły oparte na wskaźnikach porównują nieprzetworzone zdarzenia ze źródeł danych względem wskaźników zagrożeń w celu wykrywania zagrożeń w organizacji. W usłudze Microsoft Sentinel Analytics tworzysz reguły analizy oparte na zapytaniach uruchamianych zgodnie z harmonogramem i generują alerty zabezpieczeń. Wraz z konfiguracjami określają, jak często powinna być uruchamiana reguła, jakie wyniki zapytań powinny generować alerty zabezpieczeń i zdarzenia oraz, opcjonalnie, kiedy wyzwalać automatyczną odpowiedź.
Mimo że zawsze można tworzyć nowe reguły analizy od podstaw, usługa Microsoft Sentinel udostępnia zestaw wbudowanych szablonów reguł utworzonych przez inżynierów ds. zabezpieczeń firmy Microsoft, aby korzystać ze wskaźników zagrożeń. Te szablony są oparte na typie wskaźników zagrożenia (domena, e-mail, skrót pliku, adres IP lub URL) oraz na zdarzeniach z źródła danych, które chcesz dopasować. Każdy szablon zawiera listę wymaganych źródeł, które są wymagane do działania reguły. Te informacje ułatwiają ustalenie, czy niezbędne zdarzenia są już importowane w usłudze Microsoft Sentinel.
Domyślnie, kiedy te wbudowane reguły zostaną wyzwolone, zostanie utworzony alert. W usłudze Microsoft Sentinel alerty generowane na podstawie reguł analizy generują również zdarzenia zabezpieczeń. W menu usługi Microsoft Sentinel w obszarze Zarządzanie zagrożeniami wybierz pozycję Incydenty. Zdarzenia są tym, co zespoły ds. operacji zabezpieczeń klasyfikowają i badają, aby określić odpowiednie akcje reagowania. Aby uzyskać więcej informacji, zobacz Samouczek: badanie zdarzeń za pomocą usługi Microsoft Sentinel.
Aby uzyskać więcej informacji na temat używania wskaźników zagrożeń w regułach analizy, zobacz Używanie analizy zagrożeń do wykrywania zagrożeń.
Firma Microsoft zapewnia dostęp do swojej analizy zagrożeń za pośrednictwem reguły analityki Defender Threat Intelligence. Aby uzyskać więcej informacji na temat korzystania z tej reguły, która generuje alerty i zdarzenia o wysokiej wierności, zobacz Używanie pasującej analizy do wykrywania zagrożeń.
Skoroszyty dostarczają wglądu w Twoje dane wywiadowcze dotyczące zagrożeń.
Skoroszyty udostępniają zaawansowane interaktywne pulpity nawigacyjne, które zapewniają wgląd we wszystkie aspekty usługi Microsoft Sentinel, a analiza zagrożeń nie jest wyjątkiem. Użyj wbudowanego skoroszytu analizy zagrożeń , aby wizualizować kluczowe informacje na temat analizy zagrożeń. Dostosuj skoroszyt zgodnie z potrzebami biznesowymi. Utwórz nowe pulpity nawigacyjne, łącząc wiele źródeł danych, aby ułatwić wizualizowanie danych w unikatowy sposób.
Ponieważ skoroszyty usługi Microsoft Sentinel są oparte na skoroszytach usługi Azure Monitor, dostępna jest obszerna dokumentacja i wiele innych szablonów. Aby uzyskać więcej informacji, zobacz Tworzenie interaktywnych raportów za pomocą skoroszytów usługi Azure Monitor.
Istnieje również bogaty zasób dla skoroszytów usługi Azure Monitor w witrynie GitHub, w którym można pobrać więcej szablonów i współtworzyć własne szablony.
Aby uzyskać więcej informacji na temat używania i dostosowywania skoroszytu analizy zagrożeń , zobacz Visualize threat intelligence with workbooks (Wizualizowanie analizy zagrożeń za pomocą skoroszytów).
Powiązana zawartość
W tym artykule przedstawiono możliwości analizy zagrożeń obsługiwane przez usługę Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz następujące artykuły: