Compreender a inteligência sobre ameaças no Microsoft Sentinel
O Microsoft Sentinel é uma solução de Gerenciamento de Informações e Eventos de Segurança (SIEM) nativa da nuvem com a capacidade de extrair rapidamente informações sobre ameaças de várias fontes.
Importante
O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Introdução à inteligência de ameaças
Inteligência de ameaças cibernéticas (CTI) é uma informação que descreve ameaças existentes ou potenciais a sistemas e usuários. Essa inteligência assume muitas formas, desde relatórios escritos detalhando as motivações, a infraestrutura e as técnicas de um determinado agente de ameaça, até observações específicas de endereços IP, domínios, hashes de arquivos e outros artefatos associados a ameaças cibernéticas conhecidas. A CTI é usada pelas organizações para fornecer contexto essencial para atividades incomuns, para que o pessoal de segurança possa agir rapidamente para proteger suas pessoas, informações e ativos. A CTI pode ser obtida de muitos lugares, como feeds de dados de código aberto, comunidades de compartilhamento de inteligência de ameaças, feeds de inteligência comercial e inteligência local coletada no curso de investigações de segurança dentro de uma organização.
Para soluções SIEM como o Microsoft Sentinel, as formas mais comuns de CTI são indicadores de ameaça, também conhecidos como Indicadores de Compromisso (IoC) ou Indicadores de Ataque (IoA). Os indicadores de ameaça são dados que associam artefatos observados, como URLs, hashes de arquivos ou endereços IP, a atividades de ameaças conhecidas, como phishing, botnets ou malware. Essa forma de inteligência de ameaças é frequentemente chamada de inteligência tática de ameaças porque é aplicada a produtos de segurança e automação em grande escala para detetar ameaças potenciais a uma organização e protegê-las. Use indicadores de ameaça no Microsoft Sentinel para detetar atividades maliciosas observadas em seu ambiente e fornecer contexto aos investigadores de segurança para informar as decisões de resposta.
Integre informações sobre ameaças (TI) no Microsoft Sentinel através das seguintes atividades:
Importe informações sobre ameaças para o Microsoft Sentinel habilitando conectores de dados para várias plataformas e feeds de TI.
Visualize e gerencie a inteligência de ameaças importada em Logs e na folha Threat Intelligence do Microsoft Sentinel.
Detete ameaças e gere alertas e incidentes de segurança usando os modelos de regras do Google Analytics integrados com base em suas informações sobre ameaças importadas.
Visualize as principais informações sobre suas informações de ameaças importadas no Microsoft Sentinel com a pasta de trabalho Threat Intelligence.
A Microsoft enriquece todos os indicadores de inteligência de ameaças importados com dados de GeoLocalização e WhoIs, que são exibidos juntamente com outros detalhes do indicador.
O Threat Intelligence também fornece contexto útil em outras experiências do Microsoft Sentinel, como Hunting e Notebooks. Para obter mais informações, consulte Jupyter Notebooks no Microsoft Sentinel e Tutorial: Introdução aos blocos de anotações Jupyter e MSTICPy no Microsoft Sentinel.
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Importe informações sobre ameaças com conectores de dados
Assim como todos os outros dados de eventos no Microsoft Sentinel, os indicadores de ameaça são importados usando conectores de dados. Aqui estão os conectores de dados no Microsoft Sentinel fornecidos especificamente para indicadores de ameaça.
- Conector de dados do Microsoft Defender Threat Intelligence para ingerir os indicadores de ameaça da Microsoft
- Inteligência de ameaças - TAXII para feeds STIX/TAXII padrão do setor e
- API de indicadores de upload do Threat Intelligence para feeds de TI integrados e selecionados usando uma API REST para conexão
- O conector de dados da Threat Intelligence Platform também conecta feeds de TI usando uma API REST, mas está no caminho para a descontinuação
Use qualquer um desses conectores de dados em qualquer combinação juntos, dependendo de onde sua organização obtém indicadores de ameaça. Todos os três estão disponíveis no hub de conteúdo como parte da solução de Inteligência de Ameaças . Para obter mais informações sobre esta solução, consulte a entrada do Azure Marketplace Threat Intelligence.
Consulte também este catálogo de integrações de inteligência contra ameaças disponível com o Microsoft Sentinel.
Adicione indicadores de ameaça ao Microsoft Sentinel com o conector de dados do Microsoft Defender Threat Intelligence
Traga indicadores de comprometimento (IOC) de alta fidelidade gerados pelo Microsoft Defender Threat Intelligence (MDTI) para seu espaço de trabalho do Microsoft Sentinel. O conector de dados MDTI ingere esses IOCs com uma configuração simples com um clique. Em seguida, monitore, alerte e cace com base na inteligência de ameaças da mesma forma que utiliza outros feeds.
Para obter mais informações sobre o conector de dados MDTI, consulte Habilitar conector de dados MDTI.
Adicione indicadores de ameaça ao Microsoft Sentinel com o conector de dados da API Threat Intelligence Upload Indicators
Muitas organizações usam soluções de plataforma de inteligência de ameaças (TIP) para agregar feeds de indicadores de ameaças de várias fontes. A partir do feed agregado, os dados são selecionados para serem aplicados a soluções de segurança, como dispositivos de rede, soluções EDR/XDR ou SIEMs, como o Microsoft Sentinel. O conector de dados da API Threat Intelligence Upload Indicators permite que você use essas soluções para importar indicadores de ameaça para o Microsoft Sentinel.
Este conector de dados utiliza uma nova API e oferece as seguintes melhorias:
- Os campos do indicador de ameaça são baseados no formato padronizado STIX.
- O aplicativo Microsoft Entra requer apenas a função de Colaborador do Microsoft Sentinel.
- O ponto de extremidade de solicitação de API tem escopo no nível do espaço de trabalho e as permissões de aplicativo do Microsoft Entra necessárias permitem a atribuição granular no nível do espaço de trabalho.
Para obter mais informações, consulte Conectar sua plataforma de inteligência de ameaças usando a API de indicadores de upload
Adicionar indicadores de ameaças ao Microsoft Sentinel com o conector de dados de Plataformas de Informações sobre Ameaças
Assim como o conector de dados da API de indicadores de upload existente, o conector de dados da Threat Intelligence Platform usa uma API que permite que sua TIP ou solução personalizada envie indicadores para o Microsoft Sentinel. No entanto, esse conector de dados agora está em um caminho para descontinuação. Recomendamos novas soluções para aproveitar as otimizações que a API de indicadores de upload tem a oferecer.
O conector de dados TIP funciona com a API tiIndicators do Microsoft Graph Security. Ele também pode ser usado por qualquer plataforma personalizada de inteligência de ameaças que se comunica com a API tiIndicators para enviar indicadores para o Microsoft Sentinel (e para outras soluções de segurança da Microsoft, como o Microsoft Defender XDR).
Para obter mais informações sobre as soluções TIP integradas ao Microsoft Sentinel, consulte Produtos de plataforma integrada de inteligência contra ameaças. Para obter mais informações, consulte Conectar sua plataforma de inteligência de ameaças ao Microsoft Sentinel.
Adicionar indicadores de ameaça ao Microsoft Sentinel com o conector de dados Threat Intelligence - TAXII
O padrão da indústria mais amplamente adotado para a transmissão de informações sobre ameaças é uma combinação do formato de dados STIX e do protocolo TAXII. Se a sua organização obtiver indicadores de ameaça de soluções que suportem a versão STIX/TAXII atual (2.0 ou 2.1), use o conector de dados Threat Intelligence - TAXII para trazer seus indicadores de ameaça para o Microsoft Sentinel. O conector de dados Threat Intelligence - TAXII permite que um cliente TAXII integrado no Microsoft Sentinel importe informações sobre ameaças de servidores TAXII 2.x.
Para importar indicadores de ameaça formatados em STIX para o Microsoft Sentinel a partir de um servidor TAXII:
Obter a raiz da API do servidor TAXII e a ID de coleta
Habilite o conector de dados Threat Intelligence - TAXII no Microsoft Sentinel
Para obter mais informações, consulte Conectar o Microsoft Sentinel a feeds de inteligência de ameaças STIX/TAXII.
Visualize e gerencie seus indicadores de ameaça
Visualize e gerencie seus indicadores na página Inteligência de ameaças . Classifique, filtre e pesquise seus indicadores de ameaça importados sem sequer escrever uma consulta do Log Analytics. Esse recurso também permite que você crie indicadores de ameaça diretamente na interface do Microsoft Sentinel, bem como execute duas das tarefas administrativas de inteligência de ameaças mais comuns: marcação de indicadores e criação de novos indicadores relacionados a investigações de segurança.
Marcar indicadores de ameaça é uma maneira fácil de agrupá-los para torná-los mais fáceis de encontrar. Normalmente, você pode aplicar uma tag a indicadores relacionados a um incidente específico ou àqueles que representam ameaças de um determinado ator conhecido ou campanha de ataque conhecida. Marque indicadores de ameaça individualmente ou selecione vários indicadores e marque-os todos de uma vez. Aqui está um exemplo de captura de tela da marcação de vários indicadores com um ID de incidente. Como a marcação é de forma livre, uma prática recomendada é criar convenções de nomenclatura padrão para tags indicadoras de ameaça. Os indicadores permitem a aplicação de várias tags.
Valide seus indicadores e visualize seus indicadores de ameaça importados com êxito do espaço de trabalho de análise de log habilitado para Microsoft Sentinel. A tabela ThreatIntelligenceIndicator sob o esquema do Microsoft Sentinel é onde todos os seus indicadores de ameaça do Microsoft Sentinel são armazenados. Esta tabela é a base para consultas de inteligência de ameaças realizadas por outros recursos do Microsoft Sentinel, como Analytics e Workbooks.
Aqui está uma exibição de exemplo de uma consulta básica para indicadores de ameaça.
Os indicadores de TI são ingeridos na tabela ThreatIntelligenceIndicator do seu espaço de trabalho de análise de log como somente leitura. Sempre que um indicador é atualizado, uma nova entrada na tabela ThreatIntelligenceIndicator é criada. No entanto, apenas o indicador mais atual é exibido na página Threat Intelligence . O Microsoft Sentinel elimina a duplicação de indicadores com base nas propriedades IndicatorId e SourceSystem e escolhe o indicador com o mais recente TimeGenerated[UTC].
A propriedade IndicatorId é gerada usando o ID do indicador STIX. Quando os indicadores são importados ou criados de fontes não-STIX, o IndicatorId é gerado pela Fonte e Padrão do indicador.
Para obter mais detalhes sobre como exibir e gerenciar seus indicadores de ameaça, consulte Trabalhar com indicadores de ameaça no Microsoft Sentinel.
Ver o seu enriquecimento de dados GeoLocation e WhoIs (Pré-visualização pública)
A Microsoft enriquece os indicadores de IP e domínio com dados adicionais de GeoLocalização e WhoIs, fornecendo mais contexto para investigações onde o indicador de comprometimento (IOC) selecionado é encontrado.
Exiba dados de Geolocalização e WhoIs no painel Inteligência de ameaças para esses tipos de indicadores de ameaça importados para o Microsoft Sentinel.
Por exemplo, use dados de GeoLocalização para encontrar detalhes como Organização ou País para um indicador IP e dados WhoIs para encontrar dados como dados de criação de Registrador e Registro de um indicador de domínio.
Detete ameaças com análise de indicadores de ameaças
O caso de uso mais importante para indicadores de ameaça em soluções SIEM como o Microsoft Sentinel é potencializar as regras de análise para deteção de ameaças. Essas regras baseadas em indicadores comparam eventos brutos de suas fontes de dados com seus indicadores de ameaças para detetar ameaças à segurança em sua organização. No Microsoft Sentinel Analytics, você cria regras de análise que são executadas de acordo com um cronograma e gera alertas de segurança. As regras são orientadas por consultas, juntamente com configurações que determinam com que frequência a regra deve ser executada, que tipo de resultados de consulta devem gerar alertas e incidentes de segurança e, opcionalmente, acionar uma resposta automatizada.
Embora você sempre possa criar novas regras de análise do zero, o Microsoft Sentinel fornece um conjunto de modelos de regras internos, criados por engenheiros de segurança da Microsoft, para aproveitar seus indicadores de ameaça. Esses modelos de regras internos são baseados no tipo de indicadores de ameaça (domínio, e-mail, hash de arquivo, endereço IP ou URL) e eventos de fonte de dados que você deseja corresponder. Cada modelo lista as fontes necessárias para que a regra funcione. Isso facilita determinar se os eventos necessários já foram importados no Microsoft Sentinel.
Por padrão, quando essas regras internas são acionadas, um alerta será criado. No Microsoft Sentinel, os alertas gerados a partir de regras de análise também geram incidentes de segurança que podem ser encontrados em Incidentes em Gerenciamento de Ameaças no menu Microsoft Sentinel. Os incidentes são o que suas equipes de operações de segurança irão triar e investigar para determinar as ações de resposta apropriadas. Encontre informações detalhadas neste Tutorial: Investigar incidentes com o Microsoft Sentinel.
Para obter mais detalhes sobre como usar indicadores de ameaças em suas regras de análise, consulte Usar inteligência de ameaças para detetar ameaças.
A Microsoft fornece acesso às suas informações sobre ameaças através da regra Microsoft Defender Threat Intelligence Analytics . Para obter mais informações sobre como aproveitar essa regra que gera alertas e incidentes de alta fidelidade, consulte Usar análise de correspondência para detetar ameaças
As pastas de trabalho fornecem informações sobre suas informações sobre ameaças
As pastas de trabalho fornecem painéis interativos poderosos que fornecem informações sobre todos os aspetos do Microsoft Sentinel, e a inteligência contra ameaças não é exceção. Use a pasta de trabalho integrada do Threat Intelligence para visualizar informações importantes sobre sua inteligência de ameaças e personalize facilmente a pasta de trabalho de acordo com suas necessidades de negócios. Crie novos painéis combinando muitas fontes de dados diferentes para visualizar seus dados de maneiras exclusivas. Como as pastas de trabalho do Microsoft Sentinel são baseadas em pastas de trabalho do Azure Monitor, já há uma extensa documentação disponível e muitos outros modelos. Um ótimo lugar para começar é este artigo sobre como criar relatórios interativos com pastas de trabalho do Azure Monitor.
Há também uma comunidade rica de pastas de trabalho do Azure Monitor no GitHub para baixar modelos adicionais e contribuir com seus próprios modelos.
Para obter mais detalhes sobre como usar e personalizar a pasta de trabalho Threat Intelligence, consulte Trabalhar com indicadores de ameaça no Microsoft Sentinel.
Próximos passos
Neste documento, você aprendeu sobre os recursos de inteligência de ameaças do Microsoft Sentinel, incluindo a folha Threat Intelligence. Para obter orientações práticas sobre como usar os recursos de inteligência de ameaças do Microsoft Sentinel, consulte os seguintes artigos:
- Conecte o Microsoft Sentinel aos feeds de inteligência de ameaças STIX/TAXII.
- Conecte plataformas de inteligência contra ameaças ao Microsoft Sentinel.
- Veja quais plataformas TIP, feeds TAXII e enriquecimentos podem ser prontamente integrados ao Microsoft Sentinel.
- Trabalhe com indicadores de ameaça em toda a experiência do Microsoft Sentinel.
- Detete ameaças com regras de análise internas ou personalizadas no Microsoft Sentinel
- Investigue incidentes no Microsoft Sentinel.