Usar indicadores de ameaça em regras de análise
Potencialize suas regras de análise com seus indicadores de ameaças para gerar alertas automaticamente com base na inteligência de ameaças que você integrou.
Pré-requisitos
- Indicadores de ameaça. Esses indicadores podem ser de feeds de inteligência de ameaças, plataformas de inteligência de ameaças, importação em massa de um arquivo simples ou entrada manual.
- Origem de dados. Os eventos dos conectores de dados devem estar fluindo para o espaço de trabalho do Microsoft Sentinel.
- Uma regra de análise do formato
TI map...
. Ele deve usar esse formato para que possa mapear os indicadores de ameaça que você tem com os eventos que você ingeriu.
Configurar uma regra para gerar alertas de segurança
O exemplo a seguir mostra como habilitar e configurar uma regra para gerar alertas de segurança usando os indicadores de ameaça que você importou para o Microsoft Sentinel. Para este exemplo, use o modelo de regra chamado TI map IP entity to AzureActivity. Esta regra corresponde a qualquer indicador de ameaça de tipo de endereço IP com todos os seus eventos de Atividade do Azure. Quando uma correspondência é encontrada, um alerta é gerado junto com um incidente correspondente para investigação pela sua equipe de operações de segurança.
Esta regra de análise específica requer o conector de dados da Atividade do Azure (para importar seus eventos no nível de assinatura do Azure). Também requer um ou ambos os conectores de dados do Threat Intelligence (para importar indicadores de ameaça). Esta regra também é acionada a partir de indicadores importados ou criados manualmente.
No portal do Azure, vá para Microsoft Sentinel.
Escolha o espaço de trabalho para o qual você importou indicadores de ameaça usando os conectores de dados do Threat Intelligence e os dados da Atividade do Azure usando o conector de dados da Atividade do Azure.
No menu Microsoft Sentinel, na seção Configuração , selecione Analytics.
Selecione a guia Modelos de regra para ver a lista de modelos de regra de análise disponíveis.
Encontre a regra intitulada TI map IP entity to AzureActivity e certifique-se de que você conectou todas as fontes de dados necessárias.
Selecione a entidade IP do mapa TI para a regra AzureActivity . Em seguida, selecione Criar regra para abrir um assistente de configuração de regra. Configure as definições no assistente e, em seguida, selecione Seguinte: Definir lógica >da regra .
A parte da lógica da regra do assistente é preenchida previamente com os seguintes itens:
- A consulta usada na regra.
- Mapeamentos de entidades, que informam ao Microsoft Sentinel como reconhecer entidades como contas, endereços IP e URLs. Incidentes e investigações podem então entender como trabalhar com os dados em quaisquer alertas de segurança que foram gerados por essa regra.
- O cronograma para executar essa regra.
- O número de resultados de consulta necessários antes que um alerta de segurança seja gerado.
As configurações padrão no modelo são:
- Corra uma vez por hora.
- Combine quaisquer indicadores de ameaça de endereço IP da
ThreatIntelligenceIndicator
tabela com qualquer endereço IP encontrado na última hora de eventos daAzureActivity
tabela. - Gere um alerta de segurança se os resultados da consulta forem superiores a zero para indicar que foram encontradas correspondências.
- Verifique se a regra está ativada.
Você pode deixar as configurações padrão ou alterá-las para atender às suas necessidades. Você pode definir configurações de geração de incidentes na guia Configurações de incidente . Para obter mais informações, consulte Criar regras de análise personalizadas para detetar ameaças. Quando terminar, selecione a guia Resposta automatizada.
Configure qualquer automação que você queira acionar quando um alerta de segurança for gerado a partir dessa regra de análise. A automação no Microsoft Sentinel usa combinações de regras de automação e playbooks fornecidos pelos Aplicativos Lógicos do Azure. Para saber mais, consulte Tutorial: Usar manuais com regras de automação no Microsoft Sentinel. Quando terminar, selecione Seguinte: Revisão > para continuar.
Quando você vir uma mensagem informando que a validação da regra foi aprovada, selecione Criar.
Reveja as suas regras
Encontre suas regras ativadas na guia Regras ativas da seção Analytics do Microsoft Sentinel. Edite, habilite, desative, duplique ou exclua a regra ativa de lá. A nova regra é executada imediatamente após a ativação e, em seguida, é executada em seu cronograma definido.
De acordo com as configurações padrão, cada vez que a regra é executada em sua programação, todos os resultados encontrados geram um alerta de segurança. Para ver alertas de segurança no Microsoft Sentinel na seção Logs do Microsoft Sentinel, no grupo Microsoft Sentinel , consulte a SecurityAlert
tabela.
No Microsoft Sentinel, os alertas gerados a partir de regras de análise também geram incidentes de segurança. No menu Microsoft Sentinel, em Gerenciamento de Ameaças, selecione Incidentes. Incidentes são o que suas equipes de operações de segurança triam e investigam para determinar as ações de resposta apropriadas. Para obter mais informações, consulte Tutorial: Investigar incidentes com o Microsoft Sentinel.
Nota
Como as regras analíticas restringem pesquisas além de 14 dias, o Microsoft Sentinel atualiza os indicadores a cada 12 dias para garantir que eles estejam disponíveis para fins de correspondência por meio das regras analíticas.
Conteúdos relacionados
Neste artigo, você aprendeu como usar indicadores de inteligência de ameaças para detetar ameaças. Para obter mais informações sobre ameaças no Microsoft Sentinel, consulte os seguintes artigos:
- Trabalhe com indicadores de ameaças no Microsoft Sentinel.
- Conecte o Microsoft Sentinel aos feeds de inteligência de ameaças STIX/TAXII.
- Conecte plataformas de inteligência contra ameaças ao Microsoft Sentinel.
- Veja quais plataformas TIP, feeds TAXII e enriquecimentos podem ser prontamente integrados ao Microsoft Sentinel.