Noções básicas da inteligência contra ameaças no Microsoft Sentinel
O Microsoft Sentinel é uma solução SIEM (gerenciamento de eventos e informações de segurança) com a capacidade de extrair rapidamente a inteligência contra ameaças de várias fontes.
Importante
O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Introdução à inteligência contra ameaças
A CTI (inteligência contra ameaças cibernéticas) se refere a informações que descrevem ameaças existentes ou possíveis para os sistemas e usuários. Essa inteligência assume diversas formas, desde relatórios por escrito que detalham as motivações, a infraestrutura e as técnicas de determinado agente de ameaças, até observações específicas de endereços IP, domínios, hashes de arquivo e outros artefatos associados a ameaças cibernéticas. As organizações usam a CTI para fornecer contexto essencial a atividades incomuns, de modo que a equipe de segurança possa tomar medidas rapidamente para proteger pessoas, informações e ativos. A CTI pode ser extraída de vários lugares, como feeds de dados de software livre, comunidades de compartilhamento de inteligência contra ameaças, feeds de inteligência comercial e inteligência local coletada durante investigações de segurança em uma organização.
Para soluções SIEM como o Microsoft Sentinel, as formas mais comuns de CTI são indicadores de ameaça, também conhecidos como IoC (Indicadores de Comprometimento) ou IoA (Indicadores de Ataque). Os indicadores de ameaça são dados que associam artefatos observados, como URLs, hashes de arquivo ou endereços IP, com atividades de ameaça conhecidas, tais como phishing, botnets ou malware. Geralmente, essa forma de inteligência contra ameaças é conhecida como inteligência tática contra ameaças, porque é aplicada a produtos de segurança e automação em grande escala para proteger e detectar possíveis ameaças a uma organização. Use indicadores de ameaças no Microsoft Sentinel para detectar atividades mal-intencionadas observadas em seu ambiente e fornecer contexto aos investigadores de segurança para informar as decisões de resposta.
Integre a TI (inteligência contra ameaças) ao Microsoft Sentinel por meio das seguintes atividades:
Importe a inteligência contra ameaças no Microsoft Sentinel ativando os conectores de dados para diversas plataformas e feeds de TI.
Visualize e gerencie a inteligência contra ameaças importada nos Logs e na folha de Inteligência contra ameaças do Microsoft Sentinel.
Use os modelos internos de regra de análise baseados na inteligência contra ameaças que você importou para detectar ameaças e gerar alertas de segurança.
Visualize as informações importantes sobre a inteligência contra ameaças importada no Microsoft Sentinel com a pasta de trabalho Inteligência contra ameaças.
A Microsoft enriquece todos os indicadores de inteligência contra ameaças importados com dados de Geolocalização e WhoIs, que são exibidos junto com outros detalhes do indicador.
A Inteligência contra Ameaças também fornece contexto prático em outras experiências do Microsoft Sentinel como Busca e Notebooks. Para obter mais informações, confira Notebooks Jupyter no Microsoft Sentinel e Tutorial: introdução aos notebooks Jupyter e MSTICPy no Microsoft Sentinel.
Observação
Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Importar inteligência contra ameaças com conectores de dados
Assim como todos os outros dados de eventos no Microsoft Sentinel, os indicadores de ameaça são importados usando os conectores de dados. Aqui estão os conectores de dados no Microsoft Sentinel fornecidos especificamente para indicadores de ameaça.
- Conector de dados de Inteligência contra Ameaças do Microsoft Defender para ingerir indicadores de ameaça da Microsoft
- Inteligência contra Ameaças - TAXII para feeds STIX/TAXII padrão do setor e
- API de indicadores de upload de inteligência contra ameaças para feeds de TI integrados e coletados usando uma API REST para se conectar
- O Conector de dados da plataforma de inteligência contra ameaças também conectar feeds de TI usando uma API REST, mas está prestes a ser substituído
Use qualquer um desses conectores de dados em qualquer combinação, dependendo de onde sua organização obtém indicadores de ameaça. Todos os três estão disponíveis no Hub de conteúdo como parte da solução de Inteligência contra Ameaças. Para obter mais informações sobre essa solução, consulte a entrada do Azure Marketplace Inteligência contra Ameaças.
Além disso, consulte este catálogo de integrações de inteligência contra ameaças disponíveis com o Microsoft Sentinel.
Adicionar indicadores de ameaça ao Microsoft Sentinel com o conector de dados de Inteligência contra Ameaças do Microsoft Defender
Traga indicadores de comprometimento de (IOC) de alta fidelidade gerados pela MDTI (Inteligência contra Ameaças do Microsoft Defender) para seu workspace do Microsoft Sentinel. O conector de dados da MDTI ingere esses IOCs com uma configurações simples de um clique. Em seguida, monitore, alerte e busque com base na inteligência contra ameaças da mesma forma que você utiliza outros feeds.
Para obter mais informações sobre o conector de dados da MDTI, veja Habilitar conector de dados da MDTI.
Adicionar indicadores de ameaça ao Microsoft Sentinel com o conector de dados da API de indicadores de upload de inteligência contra ameaças
Muitas organizações usando soluções da plataforma de inteligência contra ameaças (TIP) para agregar feeds de indicadores de ameaças de várias fontes. No feed agregado, os dados são coletados para serem aplicados a soluções de segurança, como dispositivos de rede, soluções EDR/XDR ou SIEMs, como o Microsoft Sentinel. O conector de dados da API de indicadores de upload de inteligência contra ameaças permite que você use essas soluções para importar indicadores de ameaça para o Microsoft Sentinel.
Esse conector de dados utiliza uma nova API e oferece as seguintes melhorias:
- Os campos do indicador de ameaça são baseados no formato padronizado STIX.
- O aplicativo Microsoft Entra requer apenas a função Colaborador do Microsoft Sentinel.
- O ponto de extremidade de solicitação da API é definido no nível do workspace e as permissões de aplicativo do Microsoft Entra necessárias permitem atribuição granular no nível do workspace.
Para obter mais informações, confira Conectar a plataforma de inteligência contra ameaças usando a API de indicadores de upload
Adicionar indicadores de ameaça ao Microsoft Sentinel com o conector de dados das plataformas de inteligência contra ameaças
Assim como o conector de dados da API de indicadores de upload existentes, o Conector de dados da plataforma de inteligência contra ameaças usa uma API que permite que sua solução personalizada ou TIP envie indicadores para o Microsoft Sentinel. No entanto, esse conector de dados agora está prestes a ser substituído. Recomendamos novas soluções para aproveitar as otimizações que a API de indicadores de upload tem a oferecer.
O conector de dados TIP funciona com a API tiIndicators da Segurança do Microsoft Graph. Ele também pode ser aplicado a qualquer plataforma de inteligência contra ameaças que se comunique com a API tiIndicators para enviar indicadores ao Microsoft Sentinel (e a outras soluções de segurança da Microsoft, como o Microsoft Defender XDR).
Para obter mais informações sobre as soluções de TIP integradas ao Microsoft Sentinel, consulte Produtos integrados da plataforma de inteligência contra ameaças. Para obter mais informações, confira Conectar a plataforma de inteligência contra ameaças ao Microsoft Sentinel.
Adicionar indicadores de ameaça ao Microsoft Sentinel com o conector de dados Inteligência contra Ameaças – TAXII
O padrão do setor mais amplamente adotado para a transmissão de inteligência contra ameaças é uma combinação do formato de dados STIX e do protocolo TAXII. Se sua organização obtiver indicadores de ameaças de soluções que deem suporte à versão STIX/TAXII atual (2.0 ou 2.1), use o conector de dados de Inteligência Contra Ameaças - TAXII para trazer seus indicadores de ameaças para o Microsoft Sentinel. O conector de dados Inteligência contra Ameaças – TAXII permite que um cliente TAXII interno no Microsoft Sentinel importe a inteligência contra ameaças de servidores TAXII 2.x.
Para importar os indicadores de ameaça no formato STIX para o Microsoft Sentinel de um servidor TAXII:
Obter a raiz da API do servidor TAXII e a ID da coleção
Habilitar o conector de dados Inteligência contra Ameaças – TAXII no Microsoft Sentinel
Para obter informações, confira Conectar o Microsoft Sentinel aos feeds de inteligência contra ameaças STIX/TAXII.
Exibir e gerenciar os indicadores de ameaça
Exiba e gerencie seus indicadores na página Inteligência Contra Ameaças. Classifique, filtre e pesquise seus indicadores de ameaças importados sem nem mesmo escrever uma consulta do Log Analytics. Esse recurso também permite criar indicadores de ameaças diretamente na interface do Microsoft Sentinel, bem como executar duas das tarefas administrativas de inteligência contra ameaças mais comuns: marcação de indicadores e criação de novos indicadores relacionados a investigações de segurança.
A marcação de indicadores de ameaça é um jeito fácil de agrupá-los para facilitar a localização. Normalmente, você pode aplicar uma marca a indicadores relacionados a determinado incidente, ou àqueles que representam ameaças de um ator ou de uma campanha de ataque conhecidos. Marque os indicadores de ameaça individualmente ou selecione vários indicadores e marque todos de uma vez. Aqui está um exemplo de captura de tela de marcação de vários indicadores com uma ID de incidente. Como a marcação é de forma livre, a melhor prática é criar convenções de nomenclatura padrão para as marcas de indicadores de ameaça. Os indicadores permitem a aplicação de várias marcas.
Valide seus indicadores e exiba seus indicadores de ameaça importados com êxito do workspace do Log Analytics habilitado para Microsoft Sentinel. A tabela ThreatIntelligenceIndicator no esquema do Microsoft Sentinel é onde todos os indicadores de ameaças do Microsoft Sentinel são armazenados. Essa tabela é a base para consultas de inteligência contra ameaças realizadas por outros recursos do Microsoft Sentinel, como Análise e Pastas de Trabalho.
Aqui está um exemplo de exibição de uma consulta básica para indicadores de ameaça.
Os indicadores de TI são ingeridos na tabela ThreatIntelligenceIndicator do seu espaço de trabalho de análise de log como somente leitura. Sempre que um indicador é atualizado, uma nova entrada na tabela ThreatIntelligenceIndicator é criada. No entanto, somente o indicador mais atual é exibido na página de Inteligência Contra Ameaças. O Microsoft Sentinel elimina a duplicação de indicadores com base nas propriedades IndicatorId e SourceSystem e escolhe o indicador com o TimeGenerated[UTC] mais recente.
A propriedade IndicatorId é gerada usando a ID do indicador STIX. Quando os indicadores são importados ou criados de fontes não STIX, o IndicatorId é gerado pela Origem e o Padrão do indicador.
Para obter mais detalhes sobre como exibir e gerenciar seus indicadores de ameaça, consulte Trabalhar com indicadores de ameaça no Microsoft Sentinel.
Exibir os enriquecimentos de dados de Geolocalização e WhoIs (Visualização pública)
A Microsoft enriquece os indicadores de IP e domínio com dados adicionais de Geolocalização e WhoIs, fornecendo mais contexto para investigações em que o IoC (indicador de comprometimento) selecionado é encontrado.
Exiba dados de Geolocalização e WhoIs no painel de Inteligência Contra Ameaças para esses tipos de indicadores de ameaças importados para o Microsoft Sentinel.
Por exemplo, use dados de geolocalização para encontrar detalhes como Organização ou País para um indicador de IP, e dados de Whois para localizar dados como Registrador e dados de Registrar criação de uma indicador de domínio.
Detecte ameaças com a análise de indicadores de ameaça
O caso de uso mais importante para indicadores de ameaça em soluções SIEM como o Microsoft Sentinel é impulsionar as regras de análise na detecção de ameaças. Essas regras baseadas em indicadores comparam eventos brutos de suas fontes de dados com os indicadores de ameaça para detectar ameaças à segurança em sua organização. Na Análise do Microsoft Sentinel, é possível criar regras de análise que são executadas de modo programado e geram alertas de segurança. As regras são orientadas por consultas, além de configurações que determinam com que frequência elas devem ser executadas, qual tipo de resultados de consulta devem gerar alertas e incidentes de segurança e opcionalmente disparar uma resposta automática.
Embora sempre seja possível criar regras de análise do zero, o Microsoft Azure Sentinel tem um conjunto de modelos de regras internas, criados por engenheiros de segurança da Microsoft, para utilizar os indicadores de ameaça. Esses modelos de regra internas são baseados no tipo de indicadores de ameaça (domínio, email, hash de arquivo, endereço IP ou URL) e eventos de fonte de dados que você deseja corresponder. Cada modelo lista as fontes necessárias para que a regra funcione. Isso facilita determinar se os eventos necessários já foram importados no Microsoft Sentinel.
Por padrão, quando essas regras internas forem disparadas, um alerta será criado. No Microsoft Sentinel, os alertas gerados por meio de regras de análise também geram incidentes de segurança que podem ser encontrados em Incidentes em Gerenciamento de Ameaças no menu do Microsoft Sentinel. Os incidentes são o que suas equipes de operações de segurança analisarão e investigarão para determinar as ações de resposta apropriadas. Veja informações detalhadas neste Tutorial: investigar incidentes com o Microsoft Sentinel.
Para obter mais detalhes sobre como usar indicadores de ameaça nas regras de análise, confira Usar inteligência contra ameaças para detectar ameaças.
A Microsoft fornece acesso à inteligência contra ameaças por meio da regra Análise de Inteligência contra Ameaças do Microsoft Defender. Para obter mais informações sobre como aproveitar essa regra que gera alertas e incidentes de alta fidelidade, consulte Usar análises correspondentes para detectar ameaças
As pastas de trabalho fornecem insights sobre a inteligência contra ameaças
As pastas de trabalho oferecem poderosos painéis interativos avançados que fornecem insights sobre todos os aspectos do Microsoft Sentinel, incluindo a inteligência contra ameaças. Use a pasta de trabalho de Inteligência Contra Ameaças integrada para visualizar informações importantes sobre sua inteligência contra ameaças e personalize facilmente a pasta de trabalho de acordo com suas necessidades de negócios. Crie novos painéis combinando muitas fontes de dados diferentes para visualizar seus dados de maneiras exclusivas. Como as pastas de trabalho do Microsoft Sentinel são baseadas nas pastas de trabalho Azure Monitor, já existe uma ampla documentação disponível e muitos outros modelos. Um ótimo lugar para começar é o artigo sobre como Criar relatórios interativos com as pastas de trabalho do Azure Monitor.
Há também uma rica comunidade de pastas de trabalho do Azure Monitor no GitHub para baixar modelos adicionais e contribuir com seus próprios modelos.
Para obter mais detalhes sobre como usar e personalizar a Pasta de trabalho de inteligência contra ameaças, consulte Trabalhar com indicadores de ameaça no Microsoft Sentinel.
Próximas etapas
Neste documento, você aprendeu sobre as funcionalidades de inteligência contra ameaças do Microsoft Sentinel, incluindo a folha de Inteligência contra ameaças. Para ver diretrizes práticas sobre como usar as funcionalidades de inteligência contra ameaças do Microsoft Sentinel, confira estes artigos:
- Conectar o Microsoft Sentinel aos feeds de inteligência contra ameaças STIX/TAXII.
- Conectar plataformas de inteligência contra ameaças ao Microsoft Azure Sentinel.
- Veja quais plataformas TIP, feeds TAXII e enriquecimentos podem ser integrados prontamente ao Microsoft Sentinel.
- Trabalhar com indicadores de ameaça ao longo de toda a experiência do Microsoft Sentinel.
- Detectar ameaças com regras de análise internas ou personalizadas no Microsoft Sentinel
- Investigar incidentes com o Microsoft Sentinel.