Partilhar via

Trabalhar com indicadores de ameaça no Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Integre informações sobre ameaças no Microsoft Sentinel através das seguintes atividades:

  • Importe informações sobre ameaças para o Microsoft Sentinel habilitando conectores de dados para várias plataformas e feeds de inteligência de ameaças.
  • Exiba e gerencie as informações sobre ameaças importadas em Logs e na página Inteligência de ameaças do Microsoft Sentinel.
  • Detete ameaças e gere alertas e incidentes de segurança usando os modelos de regras do Google Analytics integrados com base em suas informações sobre ameaças importadas.
  • Visualize as principais informações sobre suas informações de ameaças importadas no Microsoft Sentinel com a pasta de trabalho Threat Intelligence.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Ver os seus indicadores de ameaça no Microsoft Sentinel

Saiba como trabalhar com indicadores de inteligência de ameaças no Microsoft Sentinel.

Encontre e visualize seus indicadores na página Inteligência de ameaças

Este procedimento descreve como exibir e gerenciar seus indicadores na página Inteligência de ameaças, que você pode acessar no menu principal do Microsoft Sentinel. Use a página Inteligência de ameaças para classificar, filtrar e pesquisar seus indicadores de ameaça importados sem escrever uma consulta do Log Analytics.

Para visualizar seus indicadores de inteligência de ameaças na página Inteligência de ameaças:

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Inteligência de ameaças.

    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel Threat management Threat intelligence (Gerenciamento de ameaças>do Microsoft Sentinel>).

  2. Na grelha, selecione o indicador para o qual pretende ver mais informações. As informações do indicador incluem níveis de confiança, tags e tipos de ameaça.

O Microsoft Sentinel exibe apenas a versão mais atual dos indicadores nessa exibição. Para obter mais informações sobre como os indicadores são atualizados, consulte Compreender a inteligência de ameaças.

Os indicadores de IP e de nomes de domínio são enriquecidos com dados adicionais GeoLocation WhoIs . Esses dados fornecem mais contexto para investigações onde o indicador selecionado é encontrado.

Eis um exemplo.

Captura de tela que mostra a página Inteligência de ameaças com um indicador mostrando dados de Geolocalização e WhoIs.

Importante

GeoLocation e WhoIs o enriquecimento está atualmente em fase de pré-visualização. Os Termos Suplementares do Azure Preview incluem mais termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Encontre e visualize seus indicadores em Logs

Este procedimento descreve como exibir os indicadores de ameaça importados na área Logs do Microsoft Sentinel, juntamente com outros dados de eventos do Microsoft Sentinel, independentemente do feed de origem ou do conector usado.

Os indicadores de ameaça importados estão listados na tabela Microsoft Sentinel ThreatIntelligenceIndicator . Esta tabela é a base para consultas de inteligência de ameaças executadas em outro lugar no Microsoft Sentinel, como no Google Analytics ou em Pastas de trabalho.

Para visualizar seus indicadores de inteligência de ameaças em Logs:

  1. Para Microsoft Sentinel no portal do Azure, em Geral, selecione Logs.

    Para o Microsoft Sentinel no portal do Defender, selecione Investigação e resposta>Caça>avançada.

  2. A ThreatIntelligenceIndicator tabela está localizada no grupo Microsoft Sentinel .

  3. Selecione o ícone Visualizar dados (o olho) ao lado do nome da tabela. Selecione Ver no editor de consultas para executar uma consulta que mostre registros desta tabela.

    Seus resultados devem ser semelhantes ao indicador de ameaça de amostra mostrado aqui.

    Captura de tela que mostra exemplos de resultados da tabela ThreatIntelligenceIndicator com os detalhes expandidos.

Criar e marcar indicadores

Use a página Inteligência de ameaças para criar indicadores de ameaças diretamente na interface do Microsoft Sentinel e execute duas tarefas administrativas comuns de inteligência de ameaças: marcação de indicadores e criação de novos indicadores relacionados a investigações de segurança.

Criar um novo indicador

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Inteligência de ameaças.

    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel Threat management Threat intelligence (Gerenciamento de ameaças>do Microsoft Sentinel>).

  2. Na barra de menus na parte superior da página, selecione Adicionar novo.

    Captura de ecrã que mostra a adição de um novo indicador de ameaça.

  3. Escolha o tipo de indicador e, em seguida, preencha o formulário no painel Novo indicador . Os campos obrigatórios estão marcados com um asterisco (*).

  4. Selecione Aplicar. O indicador é adicionado à lista de indicadores e também é enviado para a ThreatIntelligenceIndicator tabela em Logs.

Marcar e editar indicadores de ameaça

Marcar indicadores de ameaça é uma maneira fácil de agrupá-los para torná-los mais fáceis de encontrar. Normalmente, você pode aplicar tags a um indicador relacionado a um incidente específico ou se o indicador representar ameaças de um determinado ator conhecido ou campanha de ataque conhecida. Depois de pesquisar os indicadores com os quais deseja trabalhar, marque-os individualmente. Multiselecionar indicadores e marcá-los todos de uma vez com uma ou mais tags. Como a marcação é de forma livre, recomendamos que você crie convenções de nomenclatura padrão para tags de indicadores de ameaça.

Captura de tela que mostra a aplicação de tags a indicadores de ameaça.

Com o Microsoft Sentinel, você também pode editar indicadores, sejam eles criados diretamente no Microsoft Sentinel ou provenientes de fontes parceiras, como servidores TIP e TAXII. Para indicadores criados no Microsoft Sentinel, todos os campos são editáveis. Para indicadores provenientes de fontes parceiras, apenas campos específicos são editáveis, incluindo tags, Data de validade, Confiança e Revogado. De qualquer forma, apenas a versão mais recente do indicador aparece na página Threat Intelligence . Para obter mais informações sobre como os indicadores são atualizados, consulte Compreender a inteligência de ameaças.

Obtenha informações sobre suas informações sobre ameaças com pastas de trabalho

Use uma pasta de trabalho do Microsoft Sentinel criada especificamente para visualizar informações importantes sobre sua inteligência de ameaças no Microsoft Sentinel e personalizar a pasta de trabalho de acordo com suas necessidades de negócios.

Veja como encontrar a pasta de trabalho de inteligência de ameaças fornecida no Microsoft Sentinel e um exemplo de como fazer edições na pasta de trabalho para personalizá-la.

  1. No portal do Azure, vá para Microsoft Sentinel.

  2. Escolha o espaço de trabalho para o qual você importou indicadores de ameaça usando o conector de dados de inteligência de ameaças.

  3. Na seção Gerenciamento de ameaças do menu Microsoft Sentinel, selecione Pastas de trabalho.

  4. Encontre a pasta de trabalho intitulada Threat Intelligence. Verifique se você tem dados na ThreatIntelligenceIndicator tabela.

    Captura de ecrã que mostra a verificação de que tem dados.

  5. Selecione Salvar e escolha um local do Azure no qual armazenar a pasta de trabalho. Esta etapa é necessária se você pretende modificar a pasta de trabalho de qualquer forma e salvar suas alterações.

  6. Agora selecione Exibir pasta de trabalho salva para abrir a pasta de trabalho para exibição e edição.

  7. Agora você deve ver os gráficos padrão fornecidos pelo modelo. Para modificar um gráfico, selecione Editar na parte superior da página para iniciar o modo de edição da pasta de trabalho.

  8. Adicione um novo gráfico de indicadores de ameaça por tipo de ameaça. Desloque-se para a parte inferior da página e selecione Adicionar consulta.

  9. Adicione o seguinte texto à caixa de texto Consulta de Log do espaço de trabalho do Log Analytics :

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

  10. No menu suspenso Visualização, selecione Gráfico de barras.

  11. Selecione Edição concluída e exiba o novo gráfico da pasta de trabalho.

    Captura de tela que mostra um gráfico de barras para a pasta de trabalho.

As pastas de trabalho fornecem painéis interativos poderosos que fornecem informações sobre todos os aspetos do Microsoft Sentinel. Você pode fazer muitas tarefas com pastas de trabalho, e os modelos fornecidos são um ótimo ponto de partida. Personalize os modelos ou crie novos painéis combinando muitas fontes de dados para que você possa visualizar seus dados de maneiras exclusivas.

As pastas de trabalho do Microsoft Sentinel são baseadas em pastas de trabalho do Azure Monitor, portanto, documentação extensa e muitos outros modelos estão disponíveis. Para obter mais informações, consulte Criar relatórios interativos com pastas de trabalho do Azure Monitor.

Há também um recurso avançado para pastas de trabalho do Azure Monitor no GitHub, onde você pode baixar mais modelos e contribuir com seus próprios modelos.

Conteúdos relacionados

Neste artigo, você aprendeu como trabalhar com indicadores de inteligência de ameaças em todo o Microsoft Sentinel. Para obter mais informações sobre ameaças no Microsoft Sentinel, consulte os seguintes artigos: