Hotindikatorer för cyberhotinformation i Microsoft Sentinel

Azure Active Directory
Logic Apps
Monitor
Microsoft Sentinel

Den här artikeln beskriver hur en molnbaserad SIEM-lösning (Security Information and Event Management) som Microsoft Sentinel kan använda hotindikatorer för att identifiera, tillhandahålla kontext och informera svar på befintliga eller potentiella cyberhot.

Arkitektur

Diagram som visar Microsoft Sentinel-dataflödet.

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

Du kan använda Microsoft Sentinel för att:

Dataanslutningar för hotindikatorer

Microsoft Sentinel importerar hotindikatorer, precis som alla andra händelsedata, med hjälp av dataanslutningsprogram. De två Microsoft Sentinel-dataanslutningarna för hotindikatorer är Threat Intelligence – TAXII och Threat Intelligence Platforms. Du kan använda antingen eller båda dataanslutningsprogrammen, beroende på var din organisation får sina hotindikatordata. Aktivera dataanslutningsapparna på varje arbetsyta som du vill ta emot data.

Hotinformation – TAXII-dataanslutning

Den vanligaste branschstandarden för CTI-överföring är STIX-dataformatet och TAXII-protokollet. Organisationer som får hotindikatorer från aktuella STIX/TAXII version 2.x-lösningar kan använda dataanslutningsappen Hotinformation – TAXII för att importera sina hotindikatorer till Microsoft Sentinel. Den inbyggda Microsoft Sentinel TAXII-klienten importerar hotinformation från TAXII 2.x-servrar.

Detaljerade anvisningar för hur du importerar STIX/TAXII-hotindikatordata till Microsoft Sentinel finns i Importera hotindikatorer med TAXII-dataanslutningsappen.

Dataanslutningsapp för Hotinformationsplattformar

Många organisationer använder TIP-lösningar som MISP, Anomali ThreatStream, ThreatConnect eller Palo Alto Networks MineMeld för att aggregera hotindikatorflöden från olika källor. Organisationer använder TIP för att kurera data och väljer sedan vilka hotindikatorer som ska tillämpas på olika säkerhetslösningar som nätverksenheter, avancerade hotskyddslösningar eller SIEM:er som Microsoft Sentinel. Med dataanslutningsappen Threat Intelligence Platforms kan organisationer använda sin integrerade TIP-lösning med Microsoft Sentinel.

Dataanslutningsappen Threat Intelligence Platforms använder Microsoft Graph Security tiIndicators-API:et. Alla organisationer som har ett anpassat TIPS kan använda den här dataanslutningsappen för att utnyttja TIIndicators-API:et och skicka indikatorer till Microsoft Sentinel och till andra Microsoft-säkerhetslösningar som Defender ATP.

Detaljerade anvisningar för att importera TIP-data till Microsoft Sentinel finns i Importera hotindikatorer med dataanslutningsappen Plattformar.

Hotindikatorloggar

När du har importerat hotindikatorer till Microsoft Sentinel med hjälp av dataanslutningsapparna Hotinformation – TAXII eller Hotinformationsplattformar kan du visa importerade data i tabellen ThreatIntelligenceIndicator i Loggar, där alla Microsoft Sentinel-händelsedata lagras. Microsoft Sentinel-funktioner som Analys och Arbetsböcker använder också den här tabellen.

Så här visar du hotindikatorerna:

  1. I Azure Portal söker du efter och väljer Microsoft Sentinel.

    Välj Microsoft Sentinel

  2. Välj den arbetsyta där du har importerat hotindikatorer.

  3. I det vänstra navigeringsfältet väljer du Loggar.

  4. På fliken Tabeller söker du efter och väljer tabellen ThreatIntelligenceIndicator .

  5. Välj dataikonen för förhandsgranskningsdata bredvid tabellnamnet för att visa tabelldata.

  6. Välj Se i frågeredigeraren och välj sedan listrutepilen till vänster om något av resultaten för att se information som i följande exempel:

    Exempel på hotindikatorresultat

Microsoft Sentinel-analys

Den viktigaste användningen för hotindikatorer i SIEM-lösningar är att driva analyser som matchar händelser med hotindikatorer för att skapa säkerhetsaviseringar, incidenter och automatiserade svar. Microsoft Sentinel Analytics skapar analysregler som utlöses enligt schemat för att generera aviseringar. Du uttrycker regelparametrar som frågor och konfigurerar hur ofta regeln körs, vilka frågeresultat som genererar säkerhetsaviseringar och incidenter samt eventuella automatiserade svar på aviseringarna.

Du kan skapa nya analysregler från grunden eller från en uppsättning inbyggda Microsoft Sentinel-regelmallar som du kan använda som de är eller ändra för att uppfylla dina behov. De analysregelmallar som matchar hotindikatorer med händelsedata har alla rubriken från och med TI-karta och fungerar på liknande sätt. Skillnaderna är vilken typ av hotindikatorer som ska användas: domän, e-post, filhash, IP-adress eller URL och vilka händelsetyper som ska matchas. Varje mall visar de datakällor som krävs för att regeln ska fungera, så att du snabbt kan se om du har de nödvändiga händelserna som redan har importerats i Microsoft Sentinel.

Detaljerade anvisningar för hur du skapar en analysregel från en mall finns i Skapa en analysregel från en mall.

I Microsoft Sentinel finns aktiverade analysregler på fliken Aktiva regler i avsnittet Analys . Du kan redigera, aktivera, inaktivera, duplicera eller ta bort aktiva regler.

Genererade säkerhetsaviseringar finns i tabellen SecurityAlert i avsnittet Loggar i Microsoft Sentinel. Säkerhetsaviseringar genererar också säkerhetsincidenter som finns i avsnittet Incidenter . Säkerhetsåtgärdsteam kan sortera och undersöka incidenterna för att fastställa lämpliga svar. Mer information finns i Självstudie: Undersöka incidenter med Microsoft Sentinel.

Du kan också ange automatisering som ska utlösas när reglerna genererar säkerhetsaviseringar. Automation i Microsoft Sentinel använder spelböcker som drivs av Azure Logic Apps. Mer information finns i Självstudie: Konfigurera automatiserade hotsvar i Microsoft Sentinel.

Microsoft Sentinel-arbetsbok för hotinformation

Arbetsböcker ger kraftfulla interaktiva instrumentpaneler som ger dig insikter om alla aspekter av Microsoft Sentinel. Du kan använda en Microsoft Sentinel-arbetsbok för att visualisera viktig CTI-information. De tillhandahållna mallarna är en utgångspunkt och du kan enkelt anpassa mallarna efter dina affärsbehov, skapa nya instrumentpaneler som kombinerar många olika datakällor och visualisera dina data på unika sätt. Microsoft Sentinel-arbetsböcker baseras på Azure Monitor-arbetsböcker, så omfattande dokumentation och mallar finns tillgängliga.

Detaljerade anvisningar om hur du visar och redigerar Microsoft Sentinel-arbetsboken hotinformation finns i Visa och redigera arbetsboken hotinformation.

Alternativ

  • Hotindikatorer ger användbar kontext i andra Microsoft Sentinel-upplevelser som Jakt och Notebooks. Mer information om hur du använder CTI i Notebooks finnsi Jupyter Notebooks i Sentinel.

  • Alla organisationer som har ett anpassat TIPS kan använda API:et Microsoft Graph Security tiIndicators för att skicka hotindikatorer till andra Microsoft-säkerhetslösningar som Defender ATP.

  • Microsoft Sentinel tillhandahåller många andra inbyggda dataanslutningar till Microsoft-lösningar som Microsoft Threat Protection, Microsoft 365-källor och Microsoft Defender for Cloud Apps. Det finns också inbyggda anslutningsappar till det bredare säkerhetsekosystemet för lösningar som inte kommer från Microsoft. Du kan också använda vanligt händelseformat, Syslog eller REST API för att ansluta dina datakällor till Microsoft Sentinel. Mer information finns i Ansluta datakällor.

Scenarioinformation

Cyberhotinformation (CTI) kan komma från många källor, till exempel dataflöden med öppen källkod, delningsgrupper för hotinformation, betalda underrättelseflöden och säkerhetsundersökningar inom organisationer. CTI kan vara allt från skriftliga rapporter om en hotakterares motiveringar, infrastruktur och tekniker till specifika observationer av IP-adresser, domäner och filhashvärden. CTI ger ett viktigt sammanhang för ovanlig aktivitet, så säkerhetspersonal kan agera snabbt för att skydda människor och tillgångar.

Det mest använda CTI:et i SIEM-lösningar som Microsoft Sentinel är hotindikatordata, som ibland kallas indikatorer för kompromettering (IoC). Hotindikatorer associerar URL:er, filhashvärden, IP-adresser och andra data med känd hotaktivitet som nätfiske, botnät eller skadlig kod. Den här typen av hotinformation kallas ofta taktisk hotinformation, eftersom säkerhetsprodukter och automatisering kan använda den i stor skala för att skydda och identifiera potentiella hot. Microsoft Sentinel kan hjälpa till att identifiera, svara på och tillhandahålla CTI-kontext för skadlig cyberaktivitet.

Potentiella användningsfall

  • Anslut till hotindikatordata med öppen källkod från offentliga servrar för att identifiera, analysera och svara på hotaktivitet.
  • Använd befintliga hotinformationsplattformar eller anpassade lösningar med Microsoft Graph tiIndicators API för att ansluta och kontrollera åtkomsten till hotindikatordata.
  • Tillhandahålla CTI-kontext och rapportering för säkerhetsutredare och intressenter.

Överväganden

  • Dataanslutningsapparna för Microsoft Sentinel Threat Intelligence finns för närvarande i offentlig förhandsversion. Vissa funktioner kanske inte stöds eller har begränsade funktioner.

  • Microsoft Sentinel använder rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att tilldela inbyggda roller deltagare, läsare och svarare till användare, grupper och Azure-tjänster. Dessa kan interagera med Azure-roller (ägare, deltagare, läsare) och Log Analytics-roller (Log Analytics-läsare, Log Analytics-deltagare). Du kan skapa anpassade roller och använda avancerad Azure RBAC på de data som du lagrar i Microsoft Sentinel. Mer information finns i Behörigheter i Microsoft Sentinel.

  • Microsoft Sentinel är kostnadsfritt under de första 31 dagarna på alla Azure Monitor Log Analytics-arbetsytor. Därefter kan du använda modeller för betala per användning eller kapacitetsreservationer för de data som du matar in och lagrar. Mer information finns i Priser för Microsoft Sentinel.

Distribuera det här scenariot

Följande avsnitt innehåller detaljerade anvisningar om hur du:

Importera hotindikatorer med TAXII-dataanslutningsappen

TAXII 2.x-servrar annonserar API Roots, som är URL:er som är värdar för hotinformationssamlingar. Om du redan känner till DET TAXII-server-API:ets rot- och samlings-ID som du vill arbeta med kan du gå vidare och bara aktivera TAXII-anslutningsappen i Microsoft Sentinel.

Om du inte har API-roten kan du vanligtvis hämta den från hotinformationsproviderns dokumentationssida, men ibland är den enda tillgängliga informationen url:en för identifieringsslutpunkten. Du hittar API-roten med hjälp av identifieringsslutpunkten. I följande exempel används identifieringsslutpunkten för Servern Anomali Limo ThreatStream TAXII 2.0.

  1. Från en webbläsare navigerar du och loggar in på slutpunkten ThreatStream TAXII 2.0-serveridentifiering med https://limo.anomali.com/taxiihjälp av gästen och lösenordsgästen för användarnamnet. När du har loggat in visas följande information:

    {
       "api_roots":
       [
           "https://limo.anomali.com/api/v1/taxii2/feeds/",
           "https://limo.anomali.com/api/v1/taxii2/trusted_circles/",
           "https://limo.anomali.com/api/v1/taxii2/search_filters/"
       ],
       "contact": "info@anomali.com",
       "default": "https://limo.anomali.com/api/v1/taxii2/feeds/",
       "description": "TAXII 2.0 Server (guest)",
       "title": "ThreatStream Taxii 2.0 Server"
    }
    
  2. Om du vill bläddra bland samlingar anger du den API-rot som du fick från föregående steg i webbläsaren: https://limo.anomali.com/api/v1/taxii2/feeds/collections/. Du ser information som:

    {
     "collections":
     [
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "107",
             "title": "Phish Tank"
         },
             ...
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "41",
             "title": "CyberCrime"
         }
     ]
    }
    

Nu har du den information du behöver för att ansluta Microsoft Sentinel till en eller flera TAXII-serversamlingar som tillhandahålls av Anomali Limo. Exempel:

API-rot Samlings-ID
Phish Tank 107
Cybercrime 41

Så här aktiverar du anslutningsprogrammet hotinformation – TAXII-data i Microsoft Sentinel:

  1. I Azure Portal söker du efter och väljer Microsoft Sentinel.

  2. Välj den arbetsyta där du vill importera hotindikatorer från TAXII-tjänsten.

  3. Välj Dataanslutningsprogram i det vänstra navigeringsfältet, sök efter och välj Hotinformation – TAXII (förhandsversion) och välj Sidan Öppna anslutningsprogram.

  4. På sidan Konfiguration anger du ett eget namn (för servern), till exempel samlingsrubriken, API-rot-URL:en och samlings-ID:t som du vill importera, användarnamn och lösenord om det behövs och väljer sedan Lägg till.

    SIDAN TAXII-konfiguration

Du ser anslutningen under Lista över konfigurerade TAXII 2.0-servrar. Upprepa konfigurationen för varje samling som du vill ansluta från samma eller olika TAXII-servrar.

Importera hotindikatorer med plattformsdataanslutningsappen

TiIndicators-API:et behöver program-ID, katalog-ID (klient)-ID och klienthemlighet från din TIP eller anpassade lösning för att ansluta och skicka hotindikatorer till Microsoft Sentinel. Du får den här informationen genom att registrera TIP- eller lösningsappen i Azure Active Directory (Azure AD) och ge den nödvändiga behörigheter.

Registrera först appen i Azure AD:

  1. I Azure Portal söker du efter och väljer Appregistreringar och väljer sedan Ny registrering.

  2. På sidan Registrera ett program anger du ett namn för din TIP- eller anpassad lösningsappregistrering, väljer Endast konton i den här organisationskatalogen och väljer sedan Registrera.

    Appregistrering

  3. När registreringen har slutförts kopierar och sparar du värdena för program-ID ochkatalog-ID (klientorganisation) från sidan Översikt för din registrerade app.

Bevilja sedan behörigheter för TIP eller den anpassade lösningen för att ansluta till Microsoft Graph tiIndicators-API :et och skicka hotindikatorer. En Azure AD global administratör måste också ge medgivande till appen för din organisation.

  1. Välj API-behörigheter i det vänstra navigeringsfönstret i din registrerade TIP- eller anpassad lösningsapp och välj sedan Lägg till en behörighet.

  2. På sidan Begär API-behörigheter väljer du Microsoft Graph och sedan Programbehörigheter.

  3. Sök efter och välj ThreatIndicators.ReadWrite.OwnedBy och välj sedan Lägg till behörigheter.

    Appbehörigheter

  4. Välj Bevilja administratörsmedgivande för <din klientorganisation> på appens API-behörighetssida för att bevilja medgivande för din organisation. Om du inte har rollen Global administratör för ditt konto är den här knappen inaktiverad. Be en global administratör från din organisation att utföra det här steget. När medgivande har beviljats till din app bör du se en grön bockmarkering under Status.

    Bevilja appmedgivande

  5. När behörigheter och medgivande har beviljats väljer du Certifikathemligheter & i det vänstra navigeringsfältet i appen och väljer Ny klienthemlighet.

  6. Välj Lägg till för att hämta en hemlig API-nyckel för din app.

    Hämta klienthemlighet

    Se till att kopiera och spara klienthemligheten nu, eftersom du inte kan hämta hemligheten när du har navigerat bort från den här sidan.

I den integrerade TIP-lösningen eller den anpassade lösningen anger du program-ID,katalog-ID(klient)-ID och klienthemlighetsvärden som du sparade. Ange Microsoft Sentinel som mål och ange en åtgärd för varje indikator. Avisering är den mest relevanta åtgärden för de flesta Microsoft Sentinel-användningar. Microsoft Graph tiIndicators-API:et skickar nu hotindikatorer till Microsoft Sentinel, som är tillgängliga för alla Microsoft Sentinel-arbetsytor i din organisation.

Slutligen aktiverar du dataanslutningsappen för Microsoft Sentinel Threat Intelligence Platforms för att importera hotindikatorerna som din TIP eller anpassade lösning skickar via Microsoft Graph tiIndicators API:

  1. I Azure Portal söker du efter och väljer Microsoft Sentinel.
  2. Välj den arbetsyta där du vill importera hotindikatorerna från din TIP eller anpassade lösning.
  3. Välj Dataanslutningsprogram i det vänstra navigeringsfältet, sök efter och välj Hotinformationsplattformar (förhandsversion) och välj Sidan Öppna anslutningsapp.
  4. Eftersom du redan har slutfört registrerings- och konfigurationsstegen väljer du Anslut.

Inom några minuter bör dina TIPS- eller anpassade lösningshotindikatorer börja flöda in på Microsoft Sentinel-arbetsytan.

Skapa en analysregel från en mall

I det här exemplet används regelmallen TI map IP-entitet till AzureActivity, som jämför eventuella hotindikatorer av IP-adresstyp med alla ip-adresshändelser för Azure-aktivitet. Alla matchningar genererar en säkerhetsavisering och en motsvarande incident för undersökning av ditt säkerhetsåtgärdsteam.

Exemplet förutsätter att du har använt en eller båda av dataanslutningsapparna för hotinformation för att importera hotindikatorer och Azure Activity-dataanslutningsappen för att importera händelser på Azure-prenumerationsnivå. Du behöver båda datatyperna för att kunna använda den här analysregeln.

  1. I Azure Portal söker du efter och väljer Microsoft Sentinel.

  2. Välj den arbetsyta där du har importerat hotindikatorer med någon av anslutningsprogrammen för hotinformationsdata.

  3. I det vänstra navigeringsfältet väljer du Analys.

  4. På fliken Regelmallar söker du efter och väljer regeln (förhandsversion) TI mappar IP-entiteten till AzureActivity och väljer sedan Skapa regel.

  5. I den första analysregelguiden – Skapa ny regel från mallsidan kontrollerar du att regelns status är aktiverad och ändrar regelnamn eller beskrivning om du vill. Välj Nästa: Ange regellogik.

    Skapa analysregel

    Sidan med regellogik innehåller frågan för regeln, entiteter som ska mappas, schemaläggning av regler och antalet frågeresultat som genererar en säkerhetsavisering. Mallinställningarna körs en gång i timmen, identifierar ip-adress-IOK:er som matchar ip-adresser från Azure-händelser och genererar säkerhetsaviseringar för alla matchningar. Du kan behålla de här inställningarna eller ändra någon av dem så att de uppfyller dina behov. När du är klar väljer du Nästa: Incidentinställningar (förhandsversion).

  6. Under Incidentinställningar (förhandsversion)kontrollerar du att Skapa incidenter från aviseringar som utlöses av den här analysregeln är inställt på Aktiverad och väljer Nästa: Automatiserat svar.

    Med det här steget kan du konfigurera automatisering så att den utlöses när regeln genererar en säkerhetsavisering. Automation i Microsoft Sentinel använder spelböcker som drivs av Azure Logic Apps. Mer information finns i Självstudie: Konfigurera automatiserade hotsvar i Microsoft Sentinel. I det här exemplet väljer du bara Nästa: Granska och när du har granskat inställningarna väljer du Skapa.

Regeln aktiveras omedelbart när den skapas och utlöses sedan enligt det vanliga schemat framöver.

Visa och redigera arbetsboken Hotinformation

  1. I Azure Portal söker du efter och väljer Microsoft Sentinel.

  2. Välj den arbetsyta där du har importerat hotindikatorer med någon av anslutningsprogrammen för hotinformationsdata.

  3. I det vänstra navigeringsfältet väljer du Arbetsböcker.

  4. Sök efter och välj arbetsboken Hotinformation.

  5. Se till att du har nödvändiga data och anslutningar som visas och välj sedan Spara.

    Arbetsbok för hotinformation

    I popup-fönstret väljer du en plats och sedan OK. Det här steget sparar arbetsboken så att du kan ändra den och spara ändringarna.

  6. Välj Visa sparad arbetsbok för att öppna arbetsboken och se standarddiagrammen som mallen tillhandahåller.

Om du vill redigera arbetsboken väljer du Redigera i verktygsfältet överst på sidan. Du kan välja Redigera bredvid valfritt diagram för att redigera frågan och inställningarna för diagrammet.

Så här lägger du till ett nytt diagram som visar hotindikatorer efter hottyp:

  1. Välj Redigera överst på sidan, rulla längst ned på sidan och välj Lägg till och välj sedan Lägg till fråga.

  2. Under Log Analytics-arbetsytans loggfråga anger du följande fråga:

    
    ThreatIntelligenceIndicator
    | summarize count() by ThreatType
    
  3. Välj Stapeldiagram i listrutan Visualisering och välj sedan Klar redigering.

  4. Längst upp på sidan väljer du Klar redigering och sedan ikonen Spara för att spara det nya diagrammet och arbetsboken.

    Nytt arbetsboksdiagram

Nästa steg

Besök Microsoft Sentinel på GitHub för att se bidrag från både communityn i stort och av Microsoft. Här hittar du nya idéer, mallar och konversationer om alla funktionsområden i Microsoft Sentinel.

Microsoft Sentinel-arbetsböcker baseras på Azure Monitor-arbetsböcker, så omfattande dokumentation och mallar är tillgängliga. Ett bra ställe att börja på är Skapa interaktiva rapporter med Azure Monitor-arbetsböcker. Det finns en omfattande community med Azure Monitor-arbetsboksanvändare på GitHub, där du kan ladda ned ytterligare mallar och bidra med dina egna mallar.

Mer information om aktuella tekniker finns i följande artiklar: