Usar indicadores de ameaça em regras de análise
Potencialize suas regras de análise com seus indicadores de ameaças para gerar alertas automaticamente com base na inteligência de ameaças que você integrou.
Pré-requisitos
Indicadores de ameaça. Eles podem ser de feeds de inteligência de ameaças, plataformas de inteligência de ameaças, importação em massa de um arquivo simples ou entrada manual.
Origem de dados. Os eventos dos conectores de dados devem estar fluindo para o espaço de trabalho do Sentinel.
Uma regra analítica do formato, "Mapa TI..." que pode mapear os indicadores de ameaça que você tem com os eventos que você ingeriu.
Configurar uma regra para gerar alertas de segurança
Abaixo está um exemplo de como habilitar e configurar uma regra para gerar alertas de segurança usando os indicadores de ameaça que você importou para o Microsoft Sentinel. Para este exemplo, use o modelo de regra chamado TI map IP entity to AzureActivity. Esta regra corresponderá a qualquer indicador de ameaça do tipo endereço IP com todos os seus eventos de Atividade do Azure. Quando uma correspondência for encontrada, um alerta será gerado juntamente com um incidente correspondente para investigação pela sua equipe de operações de segurança. Esta regra de análise específica requer o conector de dados de Atividade do Azure (para importar seus eventos de nível de assinatura do Azure) e um ou ambos os conectores de dados do Threat Intelligence (para importar indicadores de ameaça). Esta regra também será acionada a partir de indicadores importados ou criados manualmente.
No portal do Azure, navegue até o serviço Microsoft Sentinel.
Escolha o espaço de trabalho para o qual você importou indicadores de ameaça usando os conectores de dados do Threat Intelligence e os dados de atividade do Azure usando o conector de dados de atividade do Azure.
Selecione Analytics na seção Configuração do menu Microsoft Sentinel.
Selecione a guia Modelos de regra para ver a lista de modelos de regra de análise disponíveis.
Encontre a regra intitulada TI map IP entity to AzureActivity e certifique-se de ter conectado todas as fontes de dados necessárias, conforme mostrado abaixo.
Selecione a entidade IP do mapa TI para a regra AzureActivity e, em seguida, selecione Criar regra para abrir um assistente de configuração de regra. Configure as configurações no assistente e selecione Avançar: Definir lógica >da regra .
A parte da lógica da regra do assistente foi pré-preenchida com os seguintes itens:
A consulta que será usada na regra.
Mapeamentos de entidades, que informam ao Microsoft Sentinel como reconhecer entidades como Contas, endereços IP e URLs, para que incidentes e investigações entendam como trabalhar com os dados em quaisquer alertas de segurança gerados por essa regra.
O cronograma para executar essa regra.
O número de resultados de consulta necessários antes que um alerta de segurança seja gerado.
As configurações padrão no modelo são:
Corra uma vez por hora.
Combine quaisquer indicadores de ameaça de endereço IP da tabela ThreatIntelligenceIndicator com qualquer endereço IP encontrado na última hora de eventos da tabela AzureActivity .
Gere um alerta de segurança se os resultados da consulta forem maiores que zero, ou seja, se alguma correspondência for encontrada.
A regra está ativada.
Você pode deixar as configurações padrão ou alterá-las para atender às suas necessidades, e você pode definir configurações de geração de incidentes na guia Configurações de incidente . Para obter mais informações, consulte Criar regras de análise personalizadas para detetar ameaças. Quando terminar, selecione a guia Resposta automatizada.
Configure qualquer automação que você queira acionar quando um alerta de segurança for gerado a partir dessa regra de análise. A automação no Microsoft Sentinel é feita usando combinações de regras de automação e playbooks fornecidos pelos Aplicativos Lógicos do Azure. Para saber mais, consulte este Tutorial: Usar playbooks com regras de automação no Microsoft Sentinel. Quando terminar, selecione o botão Next: Review > para continuar.
Quando vir a mensagem de que a validação da regra passou, selecione o botão Criar e terminará.
Reveja as suas regras
Encontre suas regras habilitadas na guia Regras ativas da seção Analytics do Microsoft Sentinel. Edite, habilite, desative, duplique ou exclua a regra ativa de lá. A nova regra é executada imediatamente após a ativação e, em seguida, é executada em seu cronograma definido.
De acordo com as configurações padrão, cada vez que a regra for executada em sua programação, quaisquer resultados encontrados gerarão um alerta de segurança. Os alertas de segurança no Microsoft Sentinel podem ser visualizados na secção Registos do Microsoft Sentinel, na tabela SecurityAlert no grupo Microsoft Sentinel .
No Microsoft Sentinel, os alertas gerados a partir de regras de análise também geram incidentes de segurança, que podem ser encontrados em Incidentes em Gerenciamento de Ameaças no menu Microsoft Sentinel. Os incidentes são o que suas equipes de operações de segurança irão triar e investigar para determinar as ações de resposta apropriadas. Você pode encontrar informações detalhadas neste Tutorial: Investigar incidentes com o Microsoft Sentinel.
Nota
Como as regras analíticas restringem as pesquisas além de 14 dias, o Microsoft Sentinel atualiza os indicadores a cada 12 dias para garantir que eles estejam disponíveis para fins de correspondência por meio das regras analíticas.
Conteúdos relacionados
Neste artigo, você aprendeu como usar indicadores de inteligência de ameaças para detetar ameaças. Para obter mais informações sobre ameaças no Microsoft Sentinel, consulte os seguintes artigos:
- Trabalhe com indicadores de ameaças no Microsoft Sentinel.
- Conecte o Microsoft Sentinel aos feeds de inteligência de ameaças STIX/TAXII.
- Conecte plataformas de inteligência contra ameaças ao Microsoft Sentinel.
- Veja quais plataformas TIP, feeds TAXII e enriquecimentos podem ser prontamente integrados ao Microsoft Sentinel.