Este artigo descreve como uma solução de gerenciamento de eventos e informações de segurança (SIEM) baseada em nuvem, como o Microsoft Sentinel, pode usar indicadores de ameaça para detetar, fornecer contexto e informar respostas a ameaças cibernéticas existentes ou potenciais.
Arquitetura
Baixe um arquivo Visio desta arquitetura.
Fluxo de trabalho
Você pode usar o Microsoft Sentinel para:
- Importe indicadores de ameaças de servidores STIX (Structured Threat Information Expression) e TAXII (Trusted Automated Exchange of Intelligence Information) ou de qualquer solução de plataforma de inteligência de ameaças (TIP).
- Visualize e consulte dados de indicadores de ameaça.
- Crie regras de análise para gerar alertas de segurança, incidentes e respostas automatizadas a partir de dados de inteligência de ameaças cibernéticas (CTI).
- Visualize as principais informações de CTI em pastas de trabalho.
Conectores de dados indicadores de ameaça
O Microsoft Sentinel importa indicadores de ameaça, como todos os outros dados de eventos, usando conectores de dados. Os dois conectores de dados do Microsoft Sentinel para indicadores de ameaça são:
- Inteligência de ameaças – TAXII
- Plataformas de Inteligência de Ameaças
Dependendo de onde sua organização obtém seus dados de indicadores de ameaça, você pode usar um ou ambos os conectores de dados. Habilite os conectores de dados em cada espaço de trabalho onde você deseja receber os dados.
Threat Intelligence – conector de dados TAXII
O padrão industrial mais amplamente adotado para transmissão CTI é o formato de dados STIX e o protocolo TAXII. As organizações que obtêm indicadores de ameaça das soluções STIX/TAXII versão 2.x atuais podem importar seus indicadores de ameaça para o Microsoft Sentinel usando o conector de dados Threat Intelligence – TAXII. O cliente Microsoft Sentinel TAXII integrado importa informações sobre ameaças dos servidores TAXII 2.x.
Para obter mais informações sobre como importar dados de indicadores de ameaça STIX/TAXII para o Microsoft Sentinel, consulte Importar indicadores de ameaça com o conector de dados TAXII.
Conector de dados das Plataformas de Inteligência de Ameaças
Muitas organizações usam soluções TIP como MISP, Anomali ThreatStream, ThreatConnect ou Palo Alto Networks MineMeld para agregar feeds de indicadores de ameaças de várias fontes. As organizações usam a TIP para fazer a curadoria dos dados. Em seguida, eles escolhem quais indicadores de ameaça aplicar a soluções de segurança, como dispositivos de rede, soluções avançadas de proteção contra ameaças ou SIEMs, como o Microsoft Sentinel. O conector de dados Threat Intelligence Platforms permite que as organizações usem sua solução TIP integrada com o Microsoft Sentinel.
O conector de dados das Plataformas de Inteligência de Ameaças usa a API tiIndicators do Microsoft Graph Security. Qualquer organização que tenha uma TIP personalizada pode usar esse conector de dados para usar a API e enviar indicadores para o Microsoft Sentinel e outras soluções de segurança da Microsoft, como o tiIndicators Defender ATP.
Para obter mais informações sobre como importar dados TIP para o Microsoft Sentinel, consulte Importar indicadores de ameaça com o conector de dados Plataformas.
Registos de indicadores de ameaças
Depois de importar indicadores de ameaça para o Microsoft Sentinel usando os conectores de dados Threat Intelligence – TAXII ou Threat Intelligence Platforms, você pode exibir os dados importados na tabela ThreatIntelligenceIndicator em Logs, onde todos os dados de eventos do Microsoft Sentinel são armazenados. Os recursos do Microsoft Sentinel, como o Google Analytics e as pastas de trabalho, também usam essa tabela.
Para obter mais informações sobre como trabalhar com o log de indicadores de ameaça, consulte Trabalhar com indicadores de ameaça no Microsoft Sentinel.
Análise do Microsoft Sentinel
O uso mais crucial para indicadores de ameaça em soluções SIEM é alimentar análises que combinem eventos com indicadores de ameaça para produzir alertas de segurança, incidentes e respostas automatizadas. O Microsoft Sentinel Analytics cria regras de análise que são acionadas dentro do cronograma para gerar alertas. Você expressa parâmetros de regra como consultas. Em seguida, você configura a frequência com que a regra é executada, quais resultados da consulta geram alertas e incidentes de segurança e quaisquer respostas automatizadas aos alertas.
Você pode criar novas regras de análise do zero ou um conjunto de modelos de regras internos do Microsoft Sentinel que você pode usar ou modificar para atender às suas necessidades. Os modelos de regras de análise que correspondem aos indicadores de ameaça com os dados de eventos são todos intitulados começando com o mapa de TI. Todos eles funcionam de forma semelhante.
As diferenças de modelo são o tipo de indicadores de ameaça a serem usados, como domínio, e-mail, hash de arquivo, endereço IP ou URL, e quais tipos de evento corresponder. Cada modelo lista as fontes de dados necessárias para que a regra funcione, para que você possa ver se já tem os eventos necessários importados no Microsoft Sentinel.
Para obter mais informações sobre como criar uma regra de análise a partir de um modelo, consulte Criar uma regra de análise a partir de um modelo.
No Microsoft Sentinel, as regras de análise habilitadas estão na guia Regras ativas da seção Análise . Você pode editar, habilitar, desabilitar, duplicar ou excluir regras ativas.
Os alertas de segurança gerados estão na tabela SecurityAlert na seção Logs do Microsoft Sentinel. Os alertas de segurança também geram incidentes de segurança na seção Incidentes . As equipas de operações de segurança podem triar e investigar os incidentes para determinar as respostas adequadas. Para obter mais informações, consulte Tutorial: Investigar incidentes com o Microsoft Sentinel.
Você também pode designar automação para acionar quando as regras geram alertas de segurança. A automação no Microsoft Sentinel usa playbooks fornecidos pelos Aplicativos Lógicos do Azure. Para obter mais informações, consulte Tutorial: Configurar respostas automatizadas a ameaças no Microsoft Sentinel.
Pasta de trabalho do Microsoft Sentinel Threat Intelligence
As pastas de trabalho fornecem painéis interativos poderosos que fornecem informações sobre todos os aspetos do Microsoft Sentinel. Você pode usar uma pasta de trabalho do Microsoft Sentinel para visualizar as principais informações de CTI. Os modelos fornecem um ponto de partida e você pode personalizá-los facilmente para suas necessidades de negócios. Você pode criar novos painéis que combinam muitas fontes de dados diferentes e visualizar seus dados de maneiras exclusivas. As pastas de trabalho do Microsoft Sentinel são baseadas em pastas de trabalho do Azure Monitor, portanto, documentação e modelos abrangentes estão disponíveis.
Para obter mais informações sobre como exibir e editar a pasta de trabalho de inteligência de ameaças do Microsoft Sentinel, consulte Exibir e editar a pasta de trabalho de inteligência de ameaças.
Alternativas
- Os indicadores de ameaça fornecem contexto útil em outras experiências do Microsoft Sentinel, como caça e notebooks. Para obter mais informações sobre como usar a CTI em blocos de anotações, consulte Blocos de anotações Jupyter no Sentinel.
- Qualquer organização que tenha uma TIP personalizada pode usar a API tiIndicators do Microsoft Graph Security para enviar indicadores de ameaça para outras soluções de segurança da Microsoft, como o Defender ATP.
- O Microsoft Sentinel fornece muitos outros conectores de dados internos para soluções como a Proteção contra Ameaças da Microsoft, fontes do Microsoft 365 e Microsoft Defender for Cloud Apps. Há também conectores internos para o ecossistema de segurança mais amplo para soluções que não são da Microsoft. Você também pode usar o formato de evento comum, Syslog ou API REST para conectar suas fontes de dados ao Microsoft Sentinel. Para obter mais informações, consulte Conectar fontes de dados.
Detalhes do cenário
A inteligência de ameaças cibernéticas pode vir de muitas fontes, como feeds de dados de código aberto, comunidades de compartilhamento de inteligência de ameaças, feeds de inteligência pagos e investigações de segurança dentro das organizações.
A CTI pode variar de relatórios escritos sobre as motivações, infraestrutura e técnicas de um agente de ameaças a observações específicas de endereços IP, domínios e hashes de arquivos. A CTI fornece contexto essencial para atividades incomuns, para que o pessoal de segurança possa agir rapidamente para proteger pessoas e bens.
A CTI mais utilizada em soluções SIEM como o Microsoft Sentinel são os dados de indicadores de ameaça, às vezes chamados de Indicadores de Comprometimento (IoCs). Os indicadores de ameaça associam URLs, hashes de ficheiros, endereços IP e outros dados a atividades de ameaças conhecidas, como phishing, botnets ou malware.
Essa forma de inteligência de ameaças é frequentemente chamada de inteligência tática de ameaças porque os produtos de segurança e automação podem usá-la em grande escala para proteger e detetar ameaças potenciais. O Microsoft Sentinel pode ajudar a detetar, responder e fornecer contexto de CTI para atividades cibernéticas maliciosas.
Potenciais casos de utilização
- Conecte-se a dados de indicadores de ameaças de código aberto de servidores públicos para identificar, analisar e responder à atividade de ameaças.
- Use plataformas de inteligência de ameaças existentes ou soluções personalizadas com a API do Microsoft Graph
tiIndicatorspara conectar e controlar o acesso a dados de indicadores de ameaça. - Fornecer contexto e relatórios de CTI para investigadores de segurança e partes interessadas.
Considerações
- Os conectores de dados do Microsoft Sentinel Threat Intelligence estão atualmente em visualização pública. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas.
- O Microsoft Sentinel usa o controle de acesso baseado em função do Azure (Azure RBAC) para atribuir as funções internas de Colaborador, Leitor e Respondente a usuários, grupos e serviços do Azure. Essas funções podem interagir com as funções do Azure (Proprietário, Colaborador, Leitor) e funções do Log Analytics (leitor do Log Analytics, colaborador do Log Analytics). Você pode criar funções personalizadas e usar o RBAC do Azure avançado nos dados armazenados no Microsoft Sentinel. Para obter mais informações, consulte Permissões no Microsoft Sentinel.
- O Microsoft Sentinel é gratuito durante os primeiros 31 dias em qualquer espaço de trabalho do Azure Monitor Log Analytics. Depois, você pode usar modelos de pagamento conforme o uso ou Reservas de capacidade para os dados que ingere e armazena. Para obter mais informações, consulte Preços do Microsoft Sentinel.
Implementar este cenário
As seções a seguir fornecem etapas sobre como:
- Habilite os conectores de dados Threat Intelligence – TAXII e Threat Intelligence Platforms .
- Crie um exemplo de regra do Microsoft Sentinel Analytics para gerar alertas de segurança e incidentes a partir de dados de CTI.
- Exiba e edite a pasta de trabalho do Microsoft Sentinel Threat Intelligence.
Importe indicadores de ameaça com o conector de dados TAXII
Aviso
As instruções a seguir usam Limo, o feed STIX/TAXII gratuito da Anomali. Este feed chegou ao fim da vida útil e não está mais sendo atualizado. As instruções a seguir não podem ser preenchidas como escritas. Você pode substituir esse feed por outro feed compatível com API que você possa acessar.
Os servidores TAXII 2.x anunciam raízes de API, que são URLs que hospedam coleções de informações sobre ameaças. Se você já sabe a raiz da API do servidor TAXII e a ID de coleta com a qual deseja trabalhar, pode pular e habilitar o conector TAXII no Microsoft Sentinel.
Se você não tiver a raiz da API, geralmente pode obtê-la na página de documentação do provedor de inteligência de ameaças, mas às vezes a única informação disponível é a URL do ponto de extremidade de descoberta. Você pode encontrar a raiz da API usando o ponto de extremidade de descoberta. O exemplo a seguir usa o ponto de extremidade de descoberta do servidor Anomali Limo ThreatStream TAXII 2.0.
Em um navegador, vá para o ponto de extremidade de descoberta do servidor ThreatStream TAXII 2.0,
https://limo.anomali.com/taxii. Inicie sessão utilizando o nome de utilizador convidado e palavra-passe convidado. Depois de iniciar sessão, verá as seguintes informações:{ "api_roots": [ "https://limo.anomali.com/api/v1/taxii2/feeds/", "https://limo.anomali.com/api/v1/taxii2/trusted_circles/", "https://limo.anomali.com/api/v1/taxii2/search_filters/" ], "contact": "info@anomali.com", "default": "https://limo.anomali.com/api/v1/taxii2/feeds/", "description": "TAXII 2.0 Server (guest)", "title": "ThreatStream Taxii 2.0 Server" }Para procurar coleções, insira a raiz da API que você obteve da etapa anterior em seu navegador:
https://limo.anomali.com/api/v1/taxii2/feeds/collections/. Você vê informações como:{ "collections": [ { "can_read": true, "can_write": false, "description": "", "id": "107", "title": "Phish Tank" }, ... { "can_read": true, "can_write": false, "description": "", "id": "41", "title": "CyberCrime" } ] }
Agora você tem as informações necessárias para conectar o Microsoft Sentinel a uma ou mais coleções de servidores TAXII fornecidas pelo Anomali Limo. Por exemplo:
| Raiz da API | ID da coleção |
|---|---|
| Tanque Phish | 107 |
| Cibercrime | 41 |
Para ativar o conector de dados Threat Intelligence – TAXII no Microsoft Sentinel:
No portal do Azure, procure e selecione Microsoft Sentinel.
Selecione o espaço de trabalho onde deseja importar indicadores de ameaça do serviço TAXII.
Selecione Conectores de dados no painel mais à esquerda. Procure e selecione Threat Intelligence – TAXII (Preview) e selecione Abrir página do conector.
Na página Configuração, insira um valor Nome amigável (para servidor), como o título da coleção. Insira a URL raiz da API e a ID da coleção que você deseja importar. Digite um nome de usuário e senha, se necessário, e selecione Adicionar.
Você vê sua conexão em uma lista de servidores TAXII 2.0 configurados. Repita a configuração para cada coleção que você deseja conectar a partir do mesmo ou de servidores TAXII diferentes.
Importe indicadores de ameaça com o conector de dados Plataformas
A tiIndicators API precisa da ID do aplicativo (cliente), da ID do diretório (locatário) e do segredo do cliente da sua TIP ou solução personalizada para se conectar e enviar indicadores de ameaça ao Microsoft Sentinel. Para obter essas informações, registre a TIP ou o aplicativo de solução no Microsoft Entra ID e conceda as permissões necessárias.
Para obter mais informações, consulte Conectar sua plataforma de inteligência de ameaças ao Microsoft Sentinel.
Criar uma regra do Google Analytics a partir de um modelo
Este exemplo usa o modelo de regra chamado TI map IP entity to AzureActivity, que compara quaisquer indicadores de ameaça do tipo de endereço IP com todos os seus eventos de endereço IP da Atividade do Azure. Qualquer partida gera um alerta de segurança e um incidente correspondente para investigação pela sua equipa de operações de segurança.
O exemplo pressupõe que você tenha usado um ou ambos os conectores de dados de inteligência de ameaças para importar indicadores de ameaça e o conector de dados de Atividade do Azure para importar seus eventos de nível de assinatura do Azure. Você precisa de ambos os tipos de dados para usar essa regra de análise com êxito.
No portal do Azure, procure e selecione Microsoft Sentinel.
Selecione o espaço de trabalho onde você importou indicadores de ameaça com o conector de dados de inteligência de ameaças.
No painel mais à esquerda, selecione Análise.
Na guia Modelos de regra, procure e selecione a entidade IP de mapa de TI da regra (Visualização) para AzureActivity. Selecione Criar regra.
No primeiro assistente de regra analítica - Criar nova regra a partir da página do modelo, verifique se o Status da regra está definido como Habilitado. Altere o nome ou a descrição da regra, se desejar. Selecione Avançar : Definir lógica da regra.
A página de lógica da regra contém a consulta para a regra, entidades a serem mapeadas, agendamento de regras e o número de resultados da consulta que geram um alerta de segurança. As configurações do modelo são executadas uma vez por hora. Eles identificam qualquer endereço IP IoCs que corresponda a quaisquer endereços IP de eventos do Azure. Também geram alertas de segurança para todas as partidas. Você pode manter essas configurações ou alterar qualquer uma delas para atender às suas necessidades. Quando terminar, selecione Seguinte: Definições de incidentes (Pré-visualização).
Em Configurações de incidentes (Visualização), verifique se Criar incidentes a partir de alertas acionados por esta regra de análise está definido como Habilitado. Selecione Next: Resposta automatizada.
Esta etapa permite configurar a automação para acionar quando a regra gerar um alerta de segurança. A automação no Microsoft Sentinel usa playbooks fornecidos pelos Aplicativos Lógicos do Azure. Para obter mais informações, consulte Tutorial: Configurar respostas automatizadas a ameaças no Microsoft Sentinel. Para este exemplo, selecione Avançar: Revisão. Depois de rever as definições, selecione Criar.
Sua regra é ativada imediatamente quando é criada e, em seguida, é acionada na programação regular.
Exibir e editar a pasta de trabalho de inteligência de ameaças
No portal do Azure, procure e selecione Microsoft Sentinel.
Selecione o espaço de trabalho onde você importou indicadores de ameaça com qualquer conector de dados de inteligência de ameaças.
No painel mais à esquerda, selecione Pastas de trabalho.
Procure e selecione a pasta de trabalho intitulada Threat Intelligence.
Certifique-se de ter os dados e conexões necessários, conforme mostrado. Selecione Guardar.
Na janela pop-up, selecione um local e, em seguida, selecione OK. Esta etapa salva a pasta de trabalho para que você possa modificá-la e salvar suas alterações.
Selecione Exibir pasta de trabalho salva para abri-la e ver os gráficos padrão fornecidos pelo modelo.
Para editar a pasta de trabalho, selecione Editar. Você pode selecionar Editar ao lado de qualquer gráfico para editar a consulta e as configurações desse gráfico.
Para adicionar um novo gráfico que mostra indicadores de ameaça por tipo de ameaça:
Selecione Editar. Desloque-se para a parte inferior da página e selecione Adicionar>consulta.
Em Consulta de Logs do espaço de trabalho do Log Analytics, insira a seguinte consulta:
ThreatIntelligenceIndicator | summarize count() by ThreatTypeSelecione Gráfico de barras no menu suspenso Visualização e selecione Edição concluída.
Na parte superior da página, selecione Edição concluída. Selecione o ícone Salvar para salvar seu novo gráfico e pasta de trabalho.
Próximos passos
Vá para o repositório Microsoft Sentinel no GitHub para ver as contribuições da comunidade em geral e da Microsoft. Aqui você encontra novas ideias, modelos e conversas sobre todas as áreas de recursos do Microsoft Sentinel.
As pastas de trabalho do Microsoft Sentinel são baseadas em pastas de trabalho do Azure Monitor, portanto, documentação e modelos abrangentes estão disponíveis. Um ótimo lugar para começar é Criar relatórios interativos com pastas de trabalho do Azure Monitor. Há uma coleção de Modelos de Pasta de Trabalho do Azure Monitor orientados pela comunidade no GitHub para download.
Para saber mais sobre as tecnologias em destaque, consulte:
- O que é o Microsoft Sentinel?
- Guia de início rápido: Microsoft Sentinel integrado
- Microsoft Graph Security tiIndicators API
- Tutorial: Investigar incidentes com o Microsoft Sentinel
- Tutorial: Configurar respostas automatizadas a ameaças no Microsoft Sentinel