Praca ze wskaźnikami zagrożeń w usłudze Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Zintegruj analizę zagrożeń z usługą Microsoft Sentinel, wykonując następujące działania:

• Zaimportuj analizę zagrożeń do usługi Microsoft Sentinel, włączając łączniki danych na różne platformy i źródła danych TI.

• Wyświetl zaimportowaną analizę zagrożeń i zarządzaj nią w dziennikach i na stronie Analiza zagrożeń usługi Microsoft Sentinel.

• Wykrywanie zagrożeń i generowanie alertów zabezpieczeń i zdarzeń przy użyciu wbudowanych szablonów reguł analizy na podstawie zaimportowanej analizy zagrożeń.

• Wizualizuj kluczowe informacje na temat zaimportowanych danych analizy zagrożeń w usłudze Microsoft Sentinel za pomocą skoroszytu analizy zagrożeń.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wyświetlanie wskaźników zagrożeń w usłudze Microsoft Sentinel

Znajdowanie i wyświetlanie wskaźników na stronie Analiza zagrożeń

W tej procedurze opisano sposób wyświetlania wskaźników i zarządzania nimi na stronie Analiza zagrożeń dostępnych z głównego menu usługi Microsoft Sentinel. Użyj strony Analiza zagrożeń, aby sortować, filtrować i przeszukiwać zaimportowane wskaźniki zagrożeń bez konieczności pisania zapytania usługi Log Analytics.

Aby wyświetlić wskaźniki analizy zagrożeń na stronie Analiza zagrożeń:

1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Analiza zagrożeń.
   W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Threat Management>Threat Intelligence.

2. W siatce wybierz wskaźnik, dla którego chcesz wyświetlić więcej szczegółów. Szczegóły wskaźnika są wyświetlane po prawej stronie, pokazujące informacje, takie jak poziomy ufności, tagi, typy zagrożeń i inne.

3. Usługa Microsoft Sentinel wyświetla tylko najnowszą wersję wskaźników w tym widoku. Aby uzyskać więcej informacji na temat aktualizowania wskaźników, zobacz Omówienie analizy zagrożeń.

4. Wskaźniki adresów IP i nazw domen są wzbogacone dodatkowymi danymi GeoLocation i KtoTo Is, zapewniając więcej kontekstu dla badań, w których znaleziono wybrany wskaźnik.

Na przykład:

Witryna Azure Portal

Portal usługi Defender

Ważne

Wzbogacanie geolokalizacji i KtoTo I jest obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Znajdowanie i wyświetlanie wskaźników w dziennikach

W tej procedurze opisano sposób wyświetlania zaimportowanych wskaźników zagrożeń w obszarze Dzienniki usługi Microsoft Sentinel wraz z innymi danymi zdarzeń usługi Microsoft Sentinel, niezależnie od źródła danych źródłowych lub używanego łącznika.

Zaimportowane wskaźniki zagrożeń są wymienione w tabeli Microsoft Sentinel ThreatIntelligenceIndicator, która jest podstawą zapytań analizy zagrożeń uruchamianych w innym miejscu w usłudze Microsoft Sentinel>, na przykład w analizie lub skoroszytach.

Aby wyświetlić wskaźniki analizy zagrożeń w dziennikach:

1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Ogólne wybierz pozycję Dzienniki.
   W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Badanie i wyszukiwanie odpowiedzi>>Zaawansowane wyszukiwanie zagrożeń.

2. Tabela ThreatIntelligenceIndicator znajduje się w grupie Microsoft Sentinel .

3. Wybierz ikonę Podgląd danych (oko) obok nazwy tabeli i wybierz przycisk Zobacz w edytorze zapytań, aby uruchomić zapytanie, które będzie wyświetlać rekordy z tej tabeli.

   Wyniki powinny wyglądać podobnie do przykładowego wskaźnika zagrożenia pokazanego na tym zrzucie ekranu:

   

Tworzenie i tagowanie wskaźników

Strona Analiza zagrożeń umożliwia również tworzenie wskaźników zagrożeń bezpośrednio w interfejsie usługi Microsoft Sentinel i wykonywanie dwóch najbardziej typowych zadań administracyjnych analizy zagrożeń: tagowanie wskaźników i tworzenie nowych wskaźników związanych z badaniami zabezpieczeń.

Tworzenie nowego wskaźnika

1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zagrożeniami wybierz pozycję Analiza zagrożeń.
   W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Threat Management>Threat Intelligence.

2. Wybierz przycisk Dodaj nowy na pasku menu w górnej części strony.

   

3. Wybierz typ wskaźnika, a następnie wypełnij formularz na panelu Nowy wskaźnik . Wymagane pola są oznaczone czerwoną gwiazdką (*).

4. Wybierz Zastosuj. Wskaźnik jest dodawany do listy wskaźników i jest również wysyłany do tabeli ThreatIntelligenceIndicator w obszarze Dzienniki.

Tagowanie i edytowanie wskaźników zagrożeń

Tagowanie wskaźników zagrożeń jest łatwym sposobem grupowania ich w celu ułatwienia ich znalezienia. Zazwyczaj można zastosować tag do wskaźników związanych z konkretnym zdarzeniem lub do tych reprezentujących zagrożenia ze strony określonego znanego aktora lub dobrze znanej kampanii ataku. Taguj wskaźniki zagrożeń pojedynczo lub wskaźniki wielokrotnego wyboru i taguj je wszystkie jednocześnie. Poniżej przedstawiono przykład tagowania wielu wskaźników za pomocą identyfikatora zdarzenia. Ponieważ tagowanie jest wolne, zalecaną praktyką jest utworzenie standardowych konwencji nazewnictwa tagów wskaźników zagrożeń. Wskaźniki umożliwiają stosowanie wielu tagów.

Usługa Microsoft Sentinel umożliwia również edytowanie wskaźników, niezależnie od tego, czy zostały one utworzone bezpośrednio w usłudze Microsoft Sentinel, czy też pochodzą ze źródeł partnerskich, takich jak serwery TIP i TAXII. W przypadku wskaźników utworzonych w usłudze Microsoft Sentinel wszystkie pola można edytować. W przypadku wskaźników pochodzących ze źródeł partnerów można edytować tylko określone pola, w tym tagi, datę wygaśnięcia, pewność siebie i odwołane. Tak czy inaczej, należy pamiętać, że tylko najnowsza wersja wskaźnika jest wyświetlana w widoku strony Analiza zagrożeń. Aby uzyskać więcej informacji na temat aktualizowania wskaźników, zobacz Omówienie analizy zagrożeń.

Skoroszyty zapewniają szczegółowe informacje na temat analizy zagrożeń

Użyj specjalnie utworzonego skoroszytu usługi Microsoft Sentinel, aby zwizualizować kluczowe informacje o analizie zagrożeń w usłudze Microsoft Sentinel i dostosować skoroszyt zgodnie z potrzebami biznesowymi.

Poniżej przedstawiono sposób znajdowania skoroszytu analizy zagrożeń udostępnionego w usłudze Microsoft Sentinel oraz przykład sposobu wprowadzania zmian w skoroszycie w celu jego dostosowania.

1. W witrynie Azure Portal przejdź do usługi Microsoft Sentinel.

2. Wybierz obszar roboczy, do którego zaimportowaliśmy wskaźniki zagrożeń przy użyciu łącznika danych analizy zagrożeń.

3. Wybierz pozycję Skoroszyty w sekcji Zarządzanie zagrożeniami w menu usługi Microsoft Sentinel.

4. Znajdź skoroszyt zatytułowany Analiza zagrożeń i sprawdź, czy masz dane w tabeli ThreatIntelligenceIndicator, jak pokazano poniżej.

   

5. Wybierz przycisk Zapisz i wybierz lokalizację platformy Azure do przechowywania skoroszytu. Ten krok jest wymagany, jeśli zamierzasz zmodyfikować skoroszyt w dowolny sposób i zapisać zmiany.

6. Teraz wybierz przycisk Wyświetl zapisany skoroszyt , aby otworzyć skoroszyt do wyświetlania i edytowania.

7. Teraz powinny zostać wyświetlone domyślne wykresy dostarczone przez szablon. Aby zmodyfikować wykres, wybierz przycisk Edytuj w górnej części strony, aby wprowadzić tryb edycji skoroszytu.

8. Dodaj nowy wykres wskaźników zagrożeń według typu zagrożenia. Przewiń do dołu strony i wybierz pozycję Dodaj zapytanie.

9. Dodaj następujący tekst do pola tekstowego Zapytanie dziennika dziennika usługi Log Analytics:

   ThreatIntelligenceIndicator
   | summarize count() by ThreatType
   

10. Z listy rozwijanej Wizualizacja wybierz pozycję Wykres słupkowy.

11. Wybierz przycisk Gotowe edytowanie. Utworzono nowy wykres dla skoroszytu.

    

Skoroszyty udostępniają zaawansowane interaktywne pulpity nawigacyjne, które zapewniają wgląd we wszystkie aspekty usługi Microsoft Sentinel. Istnieje wiele możliwości w przypadku skoroszytów, a udostępnione szablony są doskonałym punktem wyjścia, prawdopodobnie warto zapoznać się z tymi szablonami i dostosować je lub utworzyć nowe pulpity nawigacyjne łączące wiele różnych źródeł danych, aby wizualizować dane w unikatowy sposób. Ponieważ skoroszyty usługi Microsoft Sentinel są oparte na skoroszytach usługi Azure Monitor, dostępna jest już obszerna dokumentacja i wiele innych szablonów. Doskonałym miejscem do rozpoczęcia jest ten artykuł dotyczący tworzenia interaktywnych raportów przy użyciu skoroszytów usługi Azure Monitor.

Istnieje również bogata społeczność skoroszytów usługi Azure Monitor w witrynie GitHub , aby pobrać więcej szablonów i współtworzyć własne szablony.

Powiązana zawartość

W tym artykule przedstawiono wszystkie sposoby pracy ze wskaźnikami analizy zagrożeń w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji na temat analizy zagrożeń w usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Omówienie analizy zagrożeń w usłudze Microsoft Sentinel.
• Połączenie do usługi Microsoft SentinelŹródła danych analizy zagrożeń STIX/TAXII.
• Zobacz, które elementy TIPs, taxiI feeds i wzbogacania można łatwo zintegrować z usługą Microsoft Sentinel.