Поделиться через

Работа с индикаторами угроз в Microsoft Sentinel

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Интеграция аналитики угроз в Microsoft Sentinel с помощью следующих действий:

  • Импорт аналитики угроз в Microsoft Sentinel путем включения соединителей данных на различные платформы аналитики угроз и веб-каналы.
  • Просмотр импортированной аналитики угроз и управление ими в журналах и на странице аналитики угроз Microsoft Sentinel.
  • Обнаружение угроз и создание оповещений системы безопасности и инцидентов с помощью встроенных шаблонов правил Аналитики на основе импортированной аналитики угроз.
  • Визуализация важной информации об импортированной аналитике угроз в Microsoft Sentinel с помощью книги "Аналитика угроз".

Внимание

Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Просмотр индикаторов угроз в Microsoft Sentinel

Узнайте, как работать с индикаторами аналитики угроз в Microsoft Sentinel.

Поиск и просмотр индикаторов на странице аналитики угроз

В этой процедуре описывается, как просматривать индикаторы и управлять ими на странице аналитики угроз, доступ к которой можно получить из основного меню Microsoft Sentinel. Используйте страницу Аналитика угроз для сортировки, фильтрации и поиска импортированных индикаторов угроз без создания запроса аналитики журнала.

Чтобы просмотреть индикаторы аналитики угроз на странице аналитики угроз:

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите аналитику угроз.

    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat management>Threat Intelligence.

  2. В сетке выберите индикатор, для которого требуется просмотреть дополнительные сведения. Сведения индикатора включают уровни достоверности, теги и типы угроз.

Microsoft Sentinel отображает только самую текущую версию индикаторов в этом представлении. Дополнительные сведения о том, как обновляются индикаторы, см. в статье "Общие сведения об аналитике угроз".

Индикаторы IP-адресов и доменных имен обогащены дополнительными GeoLocation и WhoIs данными. Эти данные предоставляют больше контекста для расследований, в которых найден выбранный индикатор.

Рассмотрим пример.

Снимок экрана: страница аналитики угроз с индикатором с данными GeoLocation и WhoIs.

Внимание

GeoLocation и WhoIs обогащение в настоящее время находится в предварительной версии. Дополнительные условия предварительной версии Azure включают более юридические термины, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.

Поиск и просмотр индикаторов в журналах

В этой процедуре описывается, как просмотреть импортированные индикаторы угроз в области журналов Microsoft Sentinel вместе с другими данными событий Microsoft Sentinel независимо от исходного канала или используемого соединителя.

Импортированные индикаторы угроз перечислены в таблице Microsoft Sentinel ThreatIntelligenceIndicator . Эта таблица является основой для запросов аналитики угроз, выполняемых в другом месте Microsoft Sentinel, например в аналитике или книгах.

Чтобы просмотреть индикаторы аналитики угроз в журналах:

  1. Для Microsoft Sentinel в портал Azure в разделе "Общие" выберите "Журналы".

    Для Microsoft Sentinel на портале Defender выберите "Исследование" и>"Охота на дополнительные>охоты".

  2. Таблица ThreatIntelligenceIndicator находится в группе Microsoft Sentinel .

  3. Щелкните значок предварительного просмотра данных (глаз) рядом с именем таблицы. Выберите "Просмотреть в редакторе запросов", чтобы запустить запрос, отображающий записи из этой таблицы.

    Результаты должны выглядеть примерно так, как в примере индикатора угроз, показанного здесь.

    Снимок экрана: пример результатов таблицы ThreatIntelligenceIndicator с развернутыми сведениями.

Создание и тег индикаторов

Используйте страницу аналитики угроз для создания индикаторов угроз непосредственно в интерфейсе Microsoft Sentinel и выполнения двух распространенных административных задач аналитики угроз: маркировка индикаторов и создание новых индикаторов, связанных с исследованиями безопасности.

Создание индикатора

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите аналитику угроз.

    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Threat management>Threat Intelligence.

  2. В строке меню в верхней части страницы нажмите кнопку "Добавить".

    Снимок экрана: добавление нового индикатора угрозы.

  3. Выберите тип индикатора и заполните форму на панели "Создать индикатор ". Обязательные поля помечены звездочкой (*).

  4. Выберите Применить. Индикатор добавляется в список индикаторов и также отправляется в таблицу ThreatIntelligenceIndicator в журналах.

Тег и изменение индикаторов угроз

Пометка индикаторов угроз тегами — это простой способ сгруппировать их для облегчения поиска. Как правило, теги могут применяться к индикатору, связанному с конкретным инцидентом, или если индикатор представляет угрозы от определенного известного субъекта или известной кампании атак. После поиска индикаторов, с которыми вы хотите работать, пометьте их по отдельности. Индикаторы с несколькими выборками и пометьте их одновременно одним или несколькими тегами. Так как теги являются бесплатными, рекомендуется создавать стандартные соглашения об именовании для тегов индикаторов угроз.

Снимок экрана: применение тегов к индикаторам угроз.

С помощью Microsoft Sentinel можно также изменять индикаторы, созданные непосредственно в Microsoft Sentinel или поступающие из партнерских источников, таких как tip и TAXII-серверы. Для индикаторов, созданных в Microsoft Sentinel, все поля доступны для изменения. Для индикаторов, поступающих из источников партнеров, можно изменять только определенные поля, включая теги, дату окончания срока действия, достоверность и отзыв. В любом случае на странице аналитики угроз отображается только последняя версия индикатора. Дополнительные сведения о том, как обновляются индикаторы, см. в статье "Общие сведения об аналитике угроз".

Получение аналитических сведений об аналитике угроз с помощью книг

Используйте специально созданную книгу Microsoft Sentinel для визуализации ключевых сведений о аналитике угроз в Microsoft Sentinel и настройки книги в соответствии с вашими бизнес-потребностями.

Ниже описывается, как найти книгу аналитики угроз, входящую в состав Microsoft Sentinel, и приведен пример того, как вносить в нее изменения для индивидуальной настройки.

  1. На портале Azure перейдите в Microsoft Sentinel.

  2. Выберите рабочую область, в которую вы импортировали индикаторы угроз с помощью соединителя данных аналитики угроз.

  3. В разделе "Управление угрозами" в меню Microsoft Sentinel выберите книги.

  4. Найдите книгу под названием "Аналитика угроз". Убедитесь, что в ThreatIntelligenceIndicator таблице есть данные.

    Снимок экрана: проверка наличия данных.

  5. Выберите "Сохранить" и выберите расположение Azure для хранения книги. Этот шаг необходим, если вы планируете изменить книгу любым способом и сохранить изменения.

  6. Теперь выберите "Вид сохраненной книги ", чтобы открыть книгу для просмотра и редактирования.

  7. Должны отобразиться диаграммы, по умолчанию содержащиеся в шаблоне. Чтобы изменить диаграмму, выберите "Изменить " в верхней части страницы, чтобы запустить режим редактирования книги.

  8. Добавим в книгу диаграмму с разбивкой числа индикаторов угроз по типам угроз. Прокрутите страницу до конца и выберите Добавить запрос.

  9. В текстовое поле Запрос к журналу рабочей области Log Analytics добавьте следующий текст:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

  10. В раскрывающемся меню визуализации выберите линейчатую диаграмму.

  11. Выберите "Готово редактирование" и просмотрите новую диаграмму для книги.

    Снимок экрана: линейчатая диаграмма для книги.

Книги представляют собой мощные интерактивные панели мониторинга, с помощью которых вы можете получать представление обо всех аспектах работы Microsoft Sentinel. Вы можете выполнять множество задач с книгами, и предоставленные шаблоны являются отличной отправной точкой. Настройте шаблоны или создайте новые панели мониторинга, объединив множество источников данных, чтобы вы могли визуализировать данные уникальным образом.

Книги Microsoft Sentinel основаны на книгах Azure Monitor, поэтому обширная документация и множество других шаблонов доступны. Дополнительные сведения см. в статье "Создание интерактивных отчетов с помощью книг Azure Monitor".

Существует также богатый ресурс для книг Azure Monitor на сайте GitHub, где можно скачать дополнительные шаблоны и внести свой вклад в работу с собственными шаблонами.

Связанный контент

В этой статье вы узнали, как работать с индикаторами аналитики угроз в Microsoft Sentinel. Дополнительные сведения об аналитике угроз в Microsoft Sentinel см. в следующих статьях: