Use análises de correspondência para detetar ameaças
Aproveite as informações sobre ameaças produzidas pela Microsoft para gerar alertas e incidentes de alta fidelidade com a regra Microsoft Defender Threat Intelligence Analytics . Esta regra incorporada no Microsoft Sentinel corresponde a indicadores com registos CEF (Common Event Format), eventos DNS do Windows com indicadores de ameaça de domínio e IPv4, dados syslog e muito mais.
Importante
A análise de correspondência está atualmente em pré-visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Pré-requisitos
Para produzir alertas e incidentes de alta fidelidade, um ou mais conectores de dados suportados devem ser instalados, mas uma licença MDTI premium não é necessária. Instale as soluções apropriadas do hub de conteúdo para conectar essas fontes de dados.
- Common Event Format (CEF)
- DNS (Pré-visualização)
- Syslog
- Registos de atividade do Office
- Registos de atividade do Azure
Por exemplo, dependendo da fonte de dados, você pode usar as seguintes soluções e conectores de dados.
Configurar a regra de análise de correspondência
A análise de correspondência é configurada quando você habilita a regra Microsoft Defender Threat Intelligence Analytics .
Clique no menu Analytics na seção Configuração .
Selecione a guia do menu Modelos de regras.
Na janela de pesquisa, digite inteligência de ameaças.
Selecione o modelo de regra do Microsoft Defender Threat Intelligence Analytics .
Clique em Criar regra. Os detalhes da regra são somente leitura e o status padrão da regra está habilitado.
Clique em Rever>Criar.
Fontes de dados e indicadores
O Microsoft Defender Threat Intelligence (MDTI) Analytics faz a correspondência entre os seus registos e indicadores de domínio, IP e URL da seguinte forma:
Os logs CEF ingeridos na tabela Log Analytics CommonSecurityLog correspondem aos indicadores de URL e domínio, se preenchidos
RequestURLno campo, e aos indicadores IPv4 noDestinationIPcampo.Os logs DNS do Windows em que o evento
SubType == "LookupQuery"ingerido na tabela DnsEvents correspondem aos indicadores de domínio preenchidos no campo e aosNameindicadores IPv4 noIPAddressescampo.Os eventos Syslog quando
Facility == "cron"ingeridos na tabela Syslog correspondem ao domínio e aos indicadores IPv4 diretamente doSyslogMessagecampo.Os logs de atividade do Office ingeridos na tabela OfficeActivity correspondem aos indicadores IPv4 diretamente do
ClientIPcampo.Os logs de atividade do Azure ingeridos na tabela AzureActivity correspondem aos indicadores IPv4 diretamente do
CallerIpAddresscampo.
Triagem de um incidente gerado por análises correspondentes
Se a análise da Microsoft encontrar uma correspondência, todos os alertas gerados serão agrupados em incidentes.
Use as seguintes etapas para fazer a triagem dos incidentes gerados pela regra Microsoft Defender Threat Intelligence Analytics :
No espaço de trabalho Microsoft Sentinel onde você habilitou a regra Microsoft Defender Threat Intelligence Analytics , selecione Incidentes e procure Microsoft Defender Threat Intelligence Analytics.
Todos os incidentes encontrados são mostrados na grade.
Selecione Exibir detalhes completos para exibir entidades e outros detalhes sobre o incidente, como alertas específicos.
Por exemplo:
Observe a gravidade atribuída aos alertas e ao incidente. Dependendo de como o indicador é correspondido, uma severidade apropriada é atribuída a um alerta de
InformationalatéHigh. Por exemplo, se o indicador for correspondido com logs de firewall que permitiram o tráfego, um alerta de alta gravidade será gerado. Se o mesmo indicador fosse correspondido com logs de firewall que bloqueavam o tráfego, o alerta gerado seria baixo ou médio.Os alertas são então agrupados numa base observável do indicador. Por exemplo, todos os alertas gerados em um período de 24 horas que correspondem ao
contoso.comdomínio são agrupados em um único incidente com uma gravidade atribuída com base na maior gravidade do alerta.Observe os detalhes do indicador. Quando uma correspondência é encontrada, o indicador é publicado na tabela Threat IntelligenceIndicators do Log Analytics e exibido na página Threat Intelligence. Para quaisquer indicadores publicados a partir desta regra, a fonte é definida como Microsoft Defender Threat Intelligence Analytics.
Por exemplo, na tabela ThreatIntelligenceIndicators :
Na página Inteligência de ameaças :
Obtenha mais contexto do Microsoft Defender Threat Intelligence
Juntamente com alertas e incidentes de alta fidelidade, alguns indicadores MDTI incluem um link para um artigo de referência no portal da comunidade MDTI.
Para obter mais informações, consulte o portal MDTI e O que é o Microsoft Defender Threat Intelligence?
Conteúdos relacionados
Neste artigo, você aprendeu como conectar informações sobre ameaças produzidas pela Microsoft para gerar alertas e incidentes. Para obter mais informações sobre informações sobre ameaças no Microsoft Sentinel, consulte os seguintes artigos:
- Trabalhe com indicadores de ameaças no Microsoft Sentinel.
- Conecte o Microsoft Sentinel aos feeds de inteligência de ameaças STIX/TAXII.
- Conecte plataformas de inteligência contra ameaças ao Microsoft Sentinel.
- Veja quais plataformas TIP, feeds TAXII e enriquecimentos podem ser prontamente integrados ao Microsoft Sentinel.