Partilhar via

Use análises de correspondência para detetar ameaças

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Aproveite as informações sobre ameaças produzidas pela Microsoft para gerar alertas e incidentes de alta fidelidade com a regra Microsoft Defender Threat Intelligence Analytics . Esta regra incorporada no Microsoft Sentinel corresponde a indicadores com registos CEF (Common Event Format), eventos DNS do Windows com indicadores de ameaça de domínio e IPv4, dados syslog e muito mais.

Importante

A análise de correspondência está atualmente em pré-visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter mais termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Pré-requisitos

Você deve instalar um ou mais dos conectores de dados suportados para produzir alertas e incidentes de alta fidelidade. Não é necessária uma licença premium do Microsoft Defender Threat Intelligence. Instale as soluções apropriadas do hub de conteúdo para conectar essas fontes de dados:

  • Formato de Evento Comum
  • DNS (pré-visualização)
  • Syslog
  • Registos de atividade do Office
  • Registos de atividade do Azure
  • Logs DNS do ASIM
  • Sessões da Rede ASIM

Uma captura de tela que mostra as conexões de fonte de dados da regra Microsoft Defender Threat Intelligence Analytics.

Por exemplo, dependendo da fonte de dados, você pode usar as seguintes soluções e conectores de dados:

Solução Conector de dados
Solução de formato de evento comum para o Sentinel Conector de formato de evento comum para o Microsoft Sentinel
Windows Server DNS Conector DNS para Microsoft Sentinel
Solução Syslog para Sentinel Conector Syslog para Microsoft Sentinel
Solução Microsoft 365 para Sentinel Conector do Office 365 para Microsoft Sentinel
Solução Azure Activity para Sentinel Conector de atividade do Azure para Microsoft Sentinel

Configurar a regra de análise de correspondência

A análise de correspondência é configurada quando você habilita a regra Microsoft Defender Threat Intelligence Analytics .

  1. Na seção Configuração, selecione o menu Análise.

  2. Selecione a guia Modelos de regras.

  3. Na janela de pesquisa, insira informações sobre ameaças.

  4. Selecione o modelo de regra do Microsoft Defender Threat Intelligence Analytics .

  5. Selecione Criar regra. Os detalhes da regra são somente leitura e o status padrão da regra está habilitado.

  6. Selecione Rever>Criar.

Captura de ecrã que mostra a regra Microsoft Defender Threat Intelligence Analytics ativada no separador Regras ativas.

Fontes de dados e indicadores

O Microsoft Defender Threat Intelligence Analytics faz a correspondência entre seus logs e indicadores de domínio, IP e URL das seguintes maneiras:

  • Os logs do CEF ingeridos na tabela do Log Analytics CommonSecurityLog correspondem aos indicadores de URL e domínio, se preenchidos RequestURL no campo, e aos indicadores IPv4 no DestinationIP campo.
  • Os logs DNS do Windows, quando SubType == "LookupQuery" ingeridos na tabela, correspondem aos DnsEvents indicadores de domínio preenchidos no campo e aos Name indicadores IPv4 no IPAddresses campo.
  • Os eventos Syslog, onde Facility == "cron" ingeridos na tabela, correspondem aos Syslog indicadores de domínio e IPv4 diretamente do SyslogMessage campo.
  • Os logs de atividade do Office ingeridos na tabela correspondem aos OfficeActivity indicadores IPv4 diretamente do ClientIP campo.
  • Os logs de atividade do Azure ingeridos na tabela correspondem aos AzureActivity indicadores IPv4 diretamente do CallerIpAddress campo.
  • Os logs DNS do ASIM ingeridos na tabela correspondem aos indicadores de ASimDnsActivityLogs domínio se preenchidos no campo e aos DnsQuery indicadores IPv4 no DnsResponseName campo.
  • As Sessões de Rede ASIM ingeridas na tabela correspondem aos ASimNetworkSessionLogs indicadores IPv4 se preenchidas em um ou mais dos seguintes campos: DstIpAddr, DstNatIpAddr, SrcNatIpAddr, SrcIpAddr, DvcIpAddr.

Triagem de um incidente gerado por análises correspondentes

Se a análise da Microsoft encontrar uma correspondência, todos os alertas gerados serão agrupados em incidentes.

Use as seguintes etapas para fazer a triagem dos incidentes gerados pela regra Microsoft Defender Threat Intelligence Analytics :

  1. No espaço de trabalho Microsoft Sentinel onde você habilitou a regra Microsoft Defender Threat Intelligence Analytics , selecione Incidentes e procure Microsoft Defender Threat Intelligence Analytics.

    Todos os incidentes encontrados aparecem na grade.

  2. Selecione Exibir detalhes completos para exibir entidades e outros detalhes sobre o incidente, como alertas específicos.

    Eis um exemplo.

    Captura de ecrã do incidente gerado pela correspondência da análise com o painel de detalhes.

  3. Observe a gravidade atribuída aos alertas e ao incidente. Dependendo de como o indicador é correspondido, uma severidade apropriada é atribuída a um alerta de Informational até High. Por exemplo, se o indicador for correspondido com logs de firewall que permitiram o tráfego, um alerta de alta gravidade será gerado. Se o mesmo indicador foi correspondido com logs de firewall que bloquearam o tráfego, o alerta gerado é baixo ou médio.

    Os alertas são então agrupados numa base observável do indicador. Por exemplo, todos os alertas gerados em um período de 24 horas que correspondem ao contoso.com domínio são agrupados em um único incidente com uma gravidade atribuída com base na maior gravidade do alerta.

  4. Observe as informações do indicador. Quando uma correspondência é encontrada, o indicador é publicado na tabela do Log Analytics ThreatIntelligenceIndicators e aparece na página Inteligência de ameaças . Para quaisquer indicadores publicados a partir desta regra, a fonte é definida como Microsoft Defender Threat Intelligence Analytics.

Aqui está um exemplo da ThreatIntelligenceIndicators tabela.

Captura de tela que mostra a tabela ThreatIntelligenceIndicator mostrando o indicador com SourceSystem do Microsoft Threat Intelligence Analytics.

Aqui está um exemplo da página Threat Intelligence .

Captura de tela que mostra a visão geral do Threat Intelligence com o indicador selecionado mostrando a fonte como Microsoft Threat Intelligence Analytics.

Obtenha mais contexto do Microsoft Defender Threat Intelligence

Juntamente com alertas e incidentes de alta fidelidade, alguns indicadores do Microsoft Defender Threat Intelligence incluem um link para um artigo de referência no portal da comunidade Microsoft Defender Threat Intelligence.

Captura de tela que mostra um incidente com um link para o artigo de referência do Microsoft Defender Threat Intelligence.

Para obter mais informações, consulte O que é o Microsoft Defender Threat Intelligence?.

Conteúdos relacionados

Neste artigo, você aprendeu como conectar informações sobre ameaças produzidas pela Microsoft para gerar alertas e incidentes. Para obter mais informações sobre informações sobre ameaças no Microsoft Sentinel, consulte os seguintes artigos: