Индикаторы угроз для аналитики киберугроз в Microsoft Sentinel

Azure Active Directory
Logic Apps
Azure Monitor
Microsoft Sentinel

В этой статье описывается, как облачные системы управления информационной безопасностью и событиями безопасности (SIEM), например Microsoft Sentinel, могут использовать индикаторы угроз для обнаружения имеющихся или потенциальных киберугроз, предоставления контекста и правильного реагирования на эти угрозы.

Архитектура

Схема, показывающая поток данных Microsoft Sentinel.

Скачайте файл Visio этой архитектуры.

Рабочий процесс

Решение Microsoft Sentinel может использоваться для решения следующих задач.

  • Импорт индикаторов угроз с серверов STIX и TAXII или любой платформы аналитики угроз (TIP).
  • Просмотр и запрос данных индикаторов угроз.
  • Создание правил аналитики для генерации оповещений системы безопасности, инцидентов и автоматических ответов на основе данных CTI.
  • Визуализация ключевых сведений CTI в книгах.

Соединители данных индикаторов угроз

Microsoft Sentinel импортирует индикаторы угроз так же, как и все другие данные о событиях, — с помощью соединителей данных. Microsoft Sentinel использует два соединителя данных для импорта индикаторов: TAXII и платформы аналитики угроз (TIP). Выбор соединителя данных зависит от того, каким образом организация получает данные индикаторов угроз. Включите соединители данных в каждой рабочей области, для которой требуется получить данные.

Аналитика угроз — соединитель данных TAXII

Отраслевыми стандартами передачи CTI являются формат данных STIX и протокол TAXII. Организации, получающие индикаторы угроз из существующих решений STIX/TAXII версии 2.x, могут использовать соединитель данных Аналитика угроз — TAXII для импорта индикаторов угроз в Microsoft Sentinel. Встроенный в Microsoft Sentinel клиент TAXII импортирует данные аналитики угроз с серверов TAXII 2.x.

Подробные инструкции по импорту данных индикаторов угроз STIX/TAXII в Microsoft Sentinel см. в разделе Импорт индикаторов угроз с помощью соединителя данных TAXII.

Соединитель данных TIP

Многие организации используют решения TIP (например, MISP, Anomali ThreatStream, ThreatConnect, Palo Alto Networks MineMeld), чтобы объединять каналы индикаторов угроз из различных источников. Такие организации используют TIP для курирования данных, а затем выбирают, какие индикаторы угроз применить к тому или иному решению по обеспечению безопасности: сетевым устройствам, решениям для расширенной защиты от угроз или решениям SIEM, к которым относится и Microsoft Sentinel. Соединитель данных TIP позволяет организациям использовать собственное решение TIP, интегрированное с Microsoft Sentinel.

Соединитель данных TIP использует API индикаторов tiIndicator Microsoft Graph Security. Любая организация, у которой есть собственная платформа TIP, может использовать этот соединитель данных для получения API индикаторов tiIndicator и отправки индикаторов в Microsoft Sentinel или другие решения Майкрософт для обеспечения безопасности, например в ATP в Защитнике Microsoft.

Подробные инструкции по импорту данных TIP в Microsoft Sentinel см. в разделе Импорт индикаторов угроз с помощью соединителя данных TIP.

Журналы индикаторов угроз

Данные индикаторов угроз, импортированные в Microsoft Sentinel с помощью соединителя данных TAXII или TIP, находятся в таблице ThreatIntelligenceIndicator в журналах, где хранятся все данные событий Microsoft Sentinel. Некоторые функции Microsoft Sentinel, например Аналитика и Книги, также используют эту таблицу.

Чтобы просмотреть индикаторы угроз, выполните следующие действия.

  1. На портале Microsoft Azure найдите и выберите Microsoft Sentinel.

    Выбор Microsoft Sentinel

  2. Выберите рабочую область, в которую были импортированы индикаторы угроз.

  3. В области навигации слева выберите раздел Журналы.

  4. На вкладке Таблицы найдите и выберите таблицу ThreatIntelligenceIndicator.

  5. Щелкните значок предварительного просмотра данных предварительного просмотра данных рядом с именем таблицы, чтобы просмотреть данные таблицы.

  6. Выберите пункт Просмотреть в редакторе запросов, а затем щелкните стрелку раскрывающегося списка слева от любого результата, чтобы просмотреть сведения (см. пример ниже).

    Пример результата индикатора угрозы

Microsoft Sentinel Analytics

Индикаторы угроз в решениях SIEM используются прежде всего для запуска процессов аналитики, которые сопоставляют события с индикаторами угроз. На основе этого сопоставления генерируются оповещения системы безопасности, инциденты и автоматические ответы. Microsoft Sentinel Analytics создает правила аналитики, которые активируются по расписанию и генерируют оповещения. Параметры правил задаются в виде запросов. Необходимо также определить, как часто выполняется правило, какие результаты запроса генерируют оповещения и инциденты в системе безопасности и любые автоматические ответы на оповещения.

Новые правила аналитики можно создавать с нуля или на основе встроенных шаблонов правил Microsoft Sentinel, которые можно использовать "как есть" или изменять в соответствии с потребностями. Имена шаблонов правил аналитики для сопоставления индикаторов угроз с данными событий начинаются с TI map. Принципы работы всех таких шаблонов похожи. Разница лишь в типах индикаторов угроз (угрозы домена, адреса электронной почты, хэшируемого файла, IP- или URL-адреса) и сопоставляемых типах событий. В каждом шаблоне перечислены источники данных, необходимые для работы правила, чтобы вы могли быстро определить, импортированы ли нужные события в Microsoft Sentinel.

Подробные инструкции по созданию правил аналитики на основе шаблонов см. в разделе Создание правила аналитики на основе шаблона.

В Microsoft Sentinel включенные правила аналитики находятся на вкладке Активные правила раздела Аналитика. Активные правила можно редактировать, включать и отключать, дублировать и удалять.

Сгенерированные оповещения сохраняются в таблице Оповещения системы безопасности в разделе Журналы Microsoft Sentinel. Оповещения системы безопасности генерируют инциденты безопасности, которые приведены в разделе Инциденты. Специалисты по обеспечению безопасности рассматривают и исследуют эти инциденты, чтобы определить соответствующие ответы. Дополнительные сведения см. в разделе Руководство по исследованию инцидентов с помощью Microsoft Sentinel.

Можно также настроить автоматизацию для активации, когда правила генерируют оповещения системы безопасности. Служба автоматизации в Microsoft Sentinel использует модули PlayBook на базе Azure Logic Apps. Дополнительные сведения см. в Руководстве по настройке автоматических ответов на угрозы в Microsoft Sentinel.

Книги аналитики угроз в Microsoft Sentinel

Книги представляют собой мощные интерактивные панели мониторинга, с помощью которых вы можете получать представление обо всех аспектах работы Microsoft Sentinel. Книгу Microsoft Sentinel можно использовать для визуализации основных сведений о CTI. Предоставленные шаблоны предоставляют собой отправную точку. Вы можете с легкостью настраивать шаблоны с учетом бизнес-задач, создавать новые информационные панели, объединяющие различные источники данных, и визуализировать данные уникальным образом. Книги Microsoft Sentinel основаны на книгах Azure Monitor, а значит, вам доступны полная документация и множество шаблонов.

Подробные инструкции по просмотру и изменению книги аналитики угроз Microsoft Sentinel см. в разделе Просмотр и изменение книги аналитики угроз.

Альтернативные варианты

  • Индикаторы угроз дают полезный контекст и для других служб Microsoft Sentinel, например Охота и Записные книжки. Дополнительные сведения об использовании CTI в записных книжках см. в статье Записные книжки Jupyter в Sentinel.

  • Любая организация, у которой есть настраиваемая платформа TIP, может использовать API индикаторов tiIndicator Microsoft Graph для отправки индикаторов угроз в другие решения Майкрософт для обеспечения безопасности, например в ATP в Защитнике Microsoft.

  • Microsoft Sentinel включает множество других встроенных соединителей данных для таких решений Майкрософт, как Защита от угроз, источники Microsoft 365 и Microsoft Defender для облачных приложений. Существуют также встроенные соединители для более широкой экосистемы решений сторонних разработчиков. Кроме того, чтобы подключить источники данных к Microsoft Sentinel, вы можете использовать общий формат событий, Syslog или REST API. Дополнительные сведения см. в статье Подключение источников данных.

Сведения о сценарии

Источниками данных аналитики киберугроз (CTI) могут служить потоки данных с открытым кодом, сообщества по обмену данными аналитики угроз, платные каналы аналитических данных, результаты исследования безопасности в организациях и т. п. CTI может варьироваться от письменных отчетов о мотивации злоумышленника, инфраструктуре и применяемых методах до конкретных обнаруженных IP-адресах, доменах и хэшей файлов. CTI предоставляет важный контекст о необычных действиях, поэтому персонал по обеспечению безопасности может быстро реагировать для защиты людей и ресурсов.

Наиболее часто используемые CTI в решениях SIEM, таких как Microsoft Sentinel, — это данные индикатора угроз, иногда называемые индикаторами взлома (IoC). Индикаторы угроз связывают URL-адреса, хэши файлов, IP-адреса и другие данные с известными действиями злоумышленников, такими как фишинг, ботнеты или вредоносные программы. Такая форма анализа угроз часто называется тактической аналитикой угроз, поскольку продукты для обеспечения безопасности и автоматизация могут использовать ее в крупном масштабе для защиты и обнаружения потенциальных угроз. Microsoft Sentinel помогает обнаруживать угрозы и реагировать на них, а также предоставляет контекст CTI для вредоносных кибератак.

Потенциальные варианты использования

  • Подключение к источникам данных индикаторов угроз с открытым исходным кодом с общедоступных серверов для выявления и анализа угроз, и реагирования на них.
  • Использование существующих платформ для анализа угроз или пользовательских решений c API индикаторов tiIndicatorMicrosoft Graph для подключения и контроля доступа к данным индикаторов угроз.
  • Предоставление контекста и отчетов CTI специалистам по исследованию угроз безопасности и заинтересованным лицам.

Рекомендации

  • Соединители данных аналитики угроз в Microsoft Sentinel в настоящее время доступны в общедоступной предварительной версии. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены.

  • Microsoft Sentinel использует технологию управления доступом на основе ролей Azure (Azure RBAC) для назначения встроенных ролей участник, читатель и респондент пользователям, группам и службам Azure. Эти роли могут взаимодействовать с ролями Azure (владелец, участник, читатель) и Log Analytics (читатель Log Analytics, участник Log Analytics). Вы также можете создавать настраиваемые роли и использовать расширенные возможности Azure RBAC для данных, хранящихся в Microsoft Sentinel. Дополнительные сведения см. в статье Разрешения в Microsoft Sentinel.

  • Доступ к Microsoft Sentinel предоставляется бесплатно на 31 день в любой рабочей области Log Analytics службы Azure Monitor. После окончания этого периода вы можете воспользоваться моделями с оплатой по мере использования или с резервированием мощности для принятых и сохраненных данных. Дополнительные сведения см. на веб-странице Цены на Microsoft Sentinel.

Развертывание этого сценария

Следующие разделы содержат подробные инструкции по выполнению следующих задач.

Импорт индикаторов угроз с помощью соединителя данных TAXII

Серверы TAXII 2.x объявляют корневые адреса API, то есть URL-адреса, на которых размещены коллекции аналитики угроз. Если вы знаете корневой адрес API и идентификатор коллекции сервера TAXII, с которыми хотите работать, можете просто включить соединитель TAXII в Microsoft Sentinel.

Как правило, корневой адрес API указан на странице документации поставщика вашего средства аналитики угроз, но в некоторых случаях единственным источником информации является URL-адрес конечной точки обнаружения. С помощью конечной точки обнаружения вы можете найти корневой адрес API. В примере ниже мы используем конечную точку обнаружения сервера ThreatStream TAXII 2.0 Anomali Limo.

  1. В веб-браузере перейдите к конечной точке обнаружения сервера ThreatStream TAXII 2.0 https://limo.anomali.com/taxii и выполните вход, используя имя пользователя guest и пароль guest. После входа в систему отобразятся следующие сведения:

    {
       "api_roots":
       [
           "https://limo.anomali.com/api/v1/taxii2/feeds/",
           "https://limo.anomali.com/api/v1/taxii2/trusted_circles/",
           "https://limo.anomali.com/api/v1/taxii2/search_filters/"
       ],
       "contact": "info@anomali.com",
       "default": "https://limo.anomali.com/api/v1/taxii2/feeds/",
       "description": "TAXII 2.0 Server (guest)",
       "title": "ThreatStream Taxii 2.0 Server"
    }
    
  2. Чтобы просмотреть коллекции, введите в веб-браузере корневой адрес API, полученный ранее: https://limo.anomali.com/api/v1/taxii2/feeds/collections/. Отобразятся следующие сведения:

    {
     "collections":
     [
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "107",
             "title": "Phish Tank"
         },
             ...
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "41",
             "title": "CyberCrime"
         }
     ]
    }
    

Теперь у вас есть все необходимые данные для подключения Microsoft Sentinel к одной или нескольким коллекциям сервера TAXII от Anomali Limo. Пример:

Корневой адрес API Идентификатор коллекции
PhishTank 107
CyberCrime 41

Чтобы включить соединитель данных Аналитика угроз — TAXII в Microsoft Sentinel, выполните следующие действия.

  1. На портале Microsoft Azure найдите и выберите Microsoft Sentinel.

  2. Выберите рабочую область, в которую требуется импортировать индикаторы угроз с сервера TAXII.

  3. Выберите Соединители данных в области навигации слева, затем выберите Аналитика угроз — TAXII (предварительная версия) и щелкните Открыть страницу соединителя.

  4. На странице Конфигурация введите понятное имя сервера (например, название коллекции), корневой URL-адрес API и идентификатор коллекции, которая будет импортирована. При необходимости введите имя пользователя и пароль и нажмите кнопку Добавить.

    Страница конфигурации TAXII

Подключение будет отображаться в списке настроенных серверов TAXII 2.0. Повторите эти действия для каждой коллекции, которую требуется подключить с того же или другого сервера TAXII.

Импорт индикаторов угроз с помощью соединителя данных TIP

Чтобы подключиться к Microsoft Sentinel и отправлять индикаторы угроз, API индикаторов tiIndicator требуется идентификатор приложения (клиента), идентификатор каталога (арендатора) и секрет клиента из решения TIP или пользовательского решения. Эти данные можно получить, зарегистрировав платформу TIP или пользовательское решение в каталоге Azure Active Directory (Azure AD) и предоставив ему необходимые разрешения.

Сначала зарегистрируйте приложение в Azure Active Directory.

  1. На портале Microsoft Azure найдите и выберите Регистрация приложений и щелкните Регистрация нового приложения.

  2. На странице регистрации приложения введите имя платформы TIP или пользовательского приложения, выберите Учетные записи только в этом организационном каталоге и нажмите кнопку Зарегистрировать.

    Регистрация приложения

  3. После завершения регистрации скопируйте и сохраните идентификатор приложения (клиента) и идентификатор каталога (арендатора), которые отображаются на странице Обзор зарегистрированного приложения.

Теперь необходимо предоставить разрешения платформе TIP или пользовательскому решению для подключения к API индикаторов tiIndicator Microsoft Graph и отправки индикаторов угроз. Глобальный администратор Azure Active Directory также должен предоставить согласие вашему приложению.

  1. На странице зарегистрированного приложения в области навигации слева выберите Разрешения API, затем выберите Добавить разрешение.

  2. На странице Запрос разрешений API выберите Microsoft Graph, а затем — Разрешения приложений.

  3. Найдите и выберите ThreatIndicators.ReadWrite.OwnedBy, а затем щелкните Добавить разрешения.

    Разрешения приложений

  4. Выберите Предоставить согласие администратора для <имя арендатора> на странице Разрешения API приложения, чтобы получить согласие для вашей организации. Если для вашей учетной записи не назначена роль глобального администратора, эта кнопка будет недоступна. Попросите глобального администратора вашей организации выполнить этот шаг. Получив согласие для приложения, вы должны увидеть зеленый флажок в разделе Состояние.

    Предоставление согласия приложения

  5. После предоставления разрешений и согласия выберите Сертификаты и секреты в левой части области навигации приложения и выберите Секрет нового клиента.

  6. Нажмите кнопку Добавить, чтобы получить секретный ключ API для приложения.

    Получение секрета клиента

    Обязательно скопируйте и сохраните секрет клиента, так как, покинув эту страницу, вы не больше не сможете его извлечь.

В интегрированном решении TIP или пользовательском решении введите идентификатор приложения (клиента), идентификатор каталога (арендатора) и секрет клиента. Укажите Microsoft Sentinel в качестве целевого объекта и задайте действие для каждого индикатора. Оповещение — это наиболее подходящее действие в большинстве случаев использования Microsoft Sentinel. Теперь API индикаторов tiIndicator Microsoft Graph будет отправлять индикаторы угроз в Microsoft Sentinel, и они будут доступны всем рабочим областям Microsoft Sentinel в вашей организации.

Включите соединитель данных TIP для Microsoft Sentinel, чтобы импортировать индикаторы угроз, которые отправляет платформа TIP или пользовательское приложение через API индикаторов tiIndicator Microsoft Graph.

  1. На портале Microsoft Azure найдите и выберите Microsoft Sentinel.
  2. Выберите рабочую область, в которую необходимо импортировать индикаторы угроз из решения TIP или другого решения.
  3. Выберите Соединители данных в области навигации слева, затем выберите Платформы аналитики угроз (предварительная версия) и щелкните Открыть страницу соединителя.
  4. Поскольку ранее вы уже выполнили действия по регистрации и настройке, выберите Подключение.

В течение нескольких минут индикаторы угроз начнут поступать с платформы TIP или из пользовательского приложения в рабочую область Microsoft Sentinel.

Создание правила аналитики на основе шаблона

В этом примере мы будем работать с шаблоном правила TI map IP entity to AzureActivity, которое сравнивает индикаторы угроз, связанных с IP-адресами, со всеми событиями IP-адресов журнала действий Azure. При обнаружении соответствия генерируется оповещение системы безопасности и соответствующий инцидент, которые могут исследовать ваши специалисты по обеспечению безопасности.

В этом примере предполагается, что вы включили один или оба соединителя данных аналитики угроз (для импорта индикаторов угроз) и соединитель данных журнала действий Azure (для импорта событий уровня подписки Azure). Для использования этого правила аналитики требуются оба типа соединителей данных.

  1. На портале Microsoft Azure найдите и выберите Microsoft Sentinel.

  2. Выберите рабочую область, в которую вы импортировали индикаторы угроз с помощью того или иного соединителя данных аналитики угроз.

  3. В области навигации слева щелкните Аналитика.

  4. На вкладке Шаблоны правил выберите правило TI map IP entity to AzureActivity (предварительная версия), а затем выберите Новое правило.

  5. На первой странице Мастер создания аналитических правил — создание нового правила на основе шаблона задайте для параметра Состояние значение Включено и при необходимости измените имя и описание правила. Выберите Далее: настройка логики правила.

    Создание правила аналитики

    На странице логики правила содержатся сведения о запросе для правила, сущностях для сопоставления, расписании правила и количестве возвращенных результатов запроса, при котором генерируется оповещение системы безопасности. Параметры шаблона выполняются каждый час, определяя все индикаторы компрометации IP-адресов, соответствующих IP-адресам из событий Azure, и генерируя оповещения системы безопасности для всех совпадений. При необходимости эти параметры можно изменить в соответствии с вашими потребностями. По завершении нажмите кнопку Далее: параметры инцидента (предварительная версия).

  6. В разделе Параметры инцидента (предварительная версия) установите для параметра Создавать инциденты на основе предупреждений, активированных этим правилом аналитики значение Включено, и выберите Далее: автоматический ответ.

    На этом этапе можно настроить активацию службы автоматизации в случаях, когда правило генерирует оповещение системы безопасности. Служба автоматизации в Microsoft Sentinel использует модули PlayBook на базе Azure Logic Apps. Дополнительные сведения см. в Руководстве по настройке автоматических ответов на угрозы в Microsoft Sentinel. В этом случае просто выберите Далее: проверка, проверьте параметры и нажмите Создать.

Правило активируется сразу при создании и в дальнейшем выполняется согласно указанному расписанию.

Просмотр и изменение книги аналитики угроз

  1. На портале Microsoft Azure найдите и выберите Microsoft Sentinel.

  2. Выберите рабочую область, в которую вы импортировали индикаторы угроз с помощью того или иного соединителя данных аналитики угроз.

  3. В области навигации слева щелкните Книги.

  4. Найдите и выберите книгу с названием Аналитика угроз.

  5. Убедитесь, что у вас есть необходимые данные и подключения (см. ниже) и нажмите кнопку Сохранить.

    Книга аналитики угроз

    Во всплывающем окне выберите расположение и нажмите кнопку ОК. На этом этапе выполняется сохранение книги. Вы можете изменить ее и сохранить изменения.

  6. Выберите Просмотр сохраненной книги, чтобы открыть книгу и просмотреть диаграммы по умолчанию из шаблона.

Нажмите кнопку Правка на панели инструментов в верхней части страницы. Можно нажать кнопку Правка рядом с любой диаграммой, чтобы изменить запрос и параметры для этой диаграммы.

Чтобы добавить новую диаграмму с разбивкой индикаторов угроз по типам угроз, выполните следующие действия.

  1. Выберите Правка в верхней части страницы, прокрутите страницу вниз и выберите Добавить. Затем щелкните Добавить запрос.

  2. В поле Запрос журналов из рабочей области Log Analytics введите следующий запрос:

    
    ThreatIntelligenceIndicator
    | summarize count() by ThreatType
    
  3. Выберите Линейчатая диаграмма в раскрывающемся списке Визуализация и нажмите кнопку Редактирование завершено.

  4. В верхней части страницы выберите Редактирование завершено и щелкните значок сохранения, чтобы сохранить новую диаграмму и книгу.

    Новая диаграмма книги

Дальнейшие действия

Посетите раздел, посвященный Microsoft Sentinel, на GitHub. Там представлены материалы, предоставленные как участниками сообщества, так и специалистами Майкрософт. Здесь вы найдете новые идеи, шаблоны и беседы по всем функциональным областям Microsoft Sentinel.

Книги Microsoft Sentinel основаны на книгах Azure Monitor, а значит, вам доступны полная документация и множество шаблонов. Начать неплохо со статьи о создании интерактивных отчетов с помощью книг Azure Monitor. Кроме того, на GitHub есть информационно насыщенное сообщество пользователей книг Azure Monitor. Там можно скачать шаблоны, созданные другими участниками, и опубликовать собственные.

Дополнительные сведения о рекомендуемых технологиях см. в следующих статьях: