Adicionar entidades à inteligência de ameaças no Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal

Durante uma investigação, você examina as entidades e seu contexto como uma parte importante da compreensão do escopo e da natureza de um incidente. Quando você descobre uma entidade como um nome de domínio, URL, arquivo ou endereço IP mal-intencionado no incidente, ela deve ser rotulada e rastreada como um indicador de comprometimento (IOC) em sua inteligência de ameaças.

Por exemplo, você pode descobrir um endereço IP que executa varreduras de porta em sua rede ou funciona como um nó de comando e controle enviando e/ou recebendo transmissões de um grande número de nós em sua rede.

Com o Microsoft Sentinel, pode sinalizar estes tipos de entidades a partir da sua investigação de incidentes e adicioná-los à sua inteligência sobre ameaças. Você pode exibir os indicadores adicionados em Logs e Inteligência de Ameaças e usá-los em seu espaço de trabalho do Microsoft Sentinel.

Adicionar uma entidade à sua inteligência sobre ameaças

A página Detalhes do incidente e o gráfico de investigação oferecem duas maneiras de adicionar entidades à inteligência de ameaças.

Detalhes do incidente

1. No menu Microsoft Sentinel, selecione Incidentes na seção Gerenciamento de ameaças.

2. Selecione um incidente para investigar. No painel Detalhes do incidente, selecione Exibir detalhes completos para abrir a página Detalhes do incidente.

3. No painel Entidades, localize a entidade que você deseja adicionar como um indicador de ameaça. (Você pode filtrar a lista ou inserir uma cadeia de caracteres de pesquisa para ajudá-lo a localizá-la.)

   

4. Selecione os três pontos à direita da entidade e selecione Adicionar à TI no menu pop-up.

   Adicione apenas os seguintes tipos de entidades como indicadores de ameaça:

   • Nome de domínio
   • Endereço IP (IPv4 e IPv6)
   • URL
   • Arquivo (hash)

   

Gráfico de investigação

O gráfico de investigação é uma ferramenta visual e intuitiva que apresenta conexões e padrões e permite que seus analistas façam as perguntas certas e sigam leads. Use-o para adicionar entidades às suas listas de indicadores de inteligência de ameaças, disponibilizando-as em seu espaço de trabalho.

1. No menu Microsoft Sentinel, selecione Incidentes na seção Gerenciamento de ameaças.

2. Selecione um incidente para investigar. No painel Detalhes do incidente, selecione Ações e escolha Investigar no menu pop-up para abrir o gráfico de investigação.

   

3. Selecione a entidade no gráfico que você deseja adicionar como um indicador de ameaça. No painel lateral que se abre, selecione Adicionar ao TI.

   Adicione apenas os seguintes tipos de entidades como indicadores de ameaça:

   • Nome de domínio
   • Endereço IP (IPv4 e IPv6)
   • URL
   • Arquivo (hash)

   

Qualquer uma das duas interfaces que você escolher, você termina aqui.

1. O painel lateral Novo indicador é aberto. Os seguintes campos são preenchidos automaticamente:

   • Tipos

     • O tipo de indicador representado pela entidade que você está adicionando.
       • Lista suspensa com valores possíveis: ipv4-addr, ipv6-addr, URL, file, e domain-name.
     • Obrigatório. Preenchido automaticamente com base no tipo de entidade.

   • Valor

     • O nome deste campo muda dinamicamente para o tipo de indicador selecionado.
     • O valor do próprio indicador.
     • Obrigatório. Preenchido automaticamente pelo valor da entidade.

   • Etiquetas

     • Tags de texto livre que você pode adicionar ao indicador.
     • Opcional. Preenchido automaticamente pelo ID do incidente. Você pode adicionar outros.

   • Nome

     • Nome do indicador. Este nome é o que aparece na sua lista de indicadores.
     • Opcional. Preenchido automaticamente pelo nome do incidente.

   • Criado por

     • Criador do indicador.
     • Opcional. Preenchido automaticamente pelo usuário conectado ao Microsoft Sentinel.

   Preencha os restantes campos em conformidade.

   • Tipos de ameaça

     • O tipo de ameaça representado pelo indicador.
     • Opcional. Texto livre.

   • Descrição

     • Descrição do indicador.
     • Opcional. Texto livre.

   • Revogado

     • Estado revogado do indicador. Marque a caixa de seleção para revogar o indicador. Desmarque a caixa de seleção para ativá-la.
     • Opcional. Booleano.

   • Confiança

     • Pontuação que reflete a confiança na exatidão dos dados, por percentagem.
     • Opcional. Inteiro, 1-100.

   • Matar correntes

     • Fases na Lockheed Martin Cyber Kill Chain às quais o indicador corresponde.
     • Opcional. Texto livre.

   • Válido a partir de

     • O momento a partir do qual este indicador é considerado válido.
     • Obrigatório. Data/hora.

   • Válido até

     • O momento em que este indicador deve deixar de ser considerado válido.
     • Opcional. Data/hora.

   

2. Quando todos os campos estiverem preenchidos de forma satisfatória, selecione Aplicar. Uma mensagem aparece no canto superior direito para confirmar que o indicador foi criado.

3. A entidade é adicionada como um indicador de ameaça em seu espaço de trabalho. Você pode encontrá-lo na lista de indicadores na página Inteligência de ameaças. Você também pode encontrá-lo na tabela ThreatIntelligenceIndicators em Logs.

Conteúdos relacionados

Neste artigo, você aprendeu como adicionar entidades às suas listas de indicadores de ameaça. Para obter mais informações, consulte os seguintes artigos:

• Investigar incidentes com o Microsoft Sentinel
• Compreender a inteligência sobre ameaças no Microsoft Sentinel
• Trabalhar com indicadores de ameaça no Microsoft Sentinel