Arbeta med hotindikatorer i Microsoft Sentinel

Integrera hotinformation (TI) i Microsoft Sentinel genom följande aktiviteter:

  • Importera hotinformation till Microsoft Sentinel genom att aktivera dataanslutningar till olika TI-plattformar och -feeds.

  • Visa och hantera den importerade hotinformationen i loggar och på sidan Hotinformation för Microsoft Sentinel.

  • Identifiera hot och generera säkerhetsaviseringar och incidenter med hjälp av de inbyggda analysregelmallarna baserat på din importerade hotinformation.

  • Visualisera viktig information om din importerade hotinformation i Microsoft Sentinel med arbetsboken Hotinformation.

Visa dina hotindikatorer i Microsoft Sentinel

Hitta och visa dina indikatorer på sidan Hotinformation

Den här proceduren beskriver hur du visar och hanterar dina indikatorer på sidan Hotinformation , som är tillgänglig från microsoft Sentinel-huvudmenyn. Använd sidan Hotinformation för att sortera, filtrera och söka efter dina importerade hotindikatorer utan att skriva en Log Analytics-fråga.

Så här visar du indikatorer för hotinformation på sidan Hotinformation:

  1. Öppna Azure-portalen och gå till Microsoft Sentinel-tjänsten.

  2. Välj den arbetsyta där du importerade hotindikatorer.

  3. I avsnittet Hothantering till vänster väljer du sidan Hotinformation .

  4. I rutnätet väljer du den indikator som du vill visa mer information för. Indikatorns information visas till höger och visar information som konfidensnivåer, taggar, hottyper med mera.

  5. Microsoft Sentinel visar bara den senaste versionen av indikatorer i den här vyn. Mer information om hur indikatorer uppdateras finns i Förstå hotinformation.

  6. IP- och domännamnsindikatorer berikas med extra GeoLocation- och Vem Is-data, vilket ger mer kontext för undersökningar där den valda indikatorn hittas.

    Till exempel:

    Screenshot of the Threat intelligence page with an indicator showing GeoLocation and WhoIs data.

Viktigt!

GeoLocation och Vem Is-berikning är för närvarande i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Hitta och visa dina indikatorer i loggar

Den här proceduren beskriver hur du visar dina importerade hotindikatorer i Microsoft Sentinel-loggområdet, tillsammans med andra Microsoft Sentinel-händelsedata, oavsett vilket källflöde eller anslutningsprogram som används.

Importerade hotindikatorer visas i tabellen Microsoft Sentinel > ThreatIntelligenceIndicator , som är grunden för hotinformationsfrågor som körs någon annanstans i Microsoft Sentinel, till exempel i Analys eller Arbetsböcker.

Så här visar du indikatorer för hotinformation i loggar:

  1. Öppna Azure-portalen och gå till Microsoft Sentinel-tjänsten.

  2. Välj den arbetsyta som du har importerat hotindikatorer till med hjälp av någon av dataanslutningarna för hotinformation.

  3. Välj Loggar i avsnittet Allmänt på Microsoft Sentinel-menyn.

  4. Tabellen ThreatIntelligenceIndicator finns under Microsoft Sentinel-gruppen .

  5. Välj ikonen Förhandsgranskningsdata (ögat) bredvid tabellnamnet och välj knappen Visa i frågeredigeraren för att köra en fråga som visar poster från den här tabellen.

    Dina resultat bör se ut ungefär som exempelhotindikatorn som visas nedan:

    Screenshot shows sample ThreatIntelligenceIndicator table results with the details expanded.

Skapa och tagga indikatorer

sidan Hotinformation kan du också skapa hotindikatorer direkt i Microsoft Sentinel-gränssnittet och utföra två av de vanligaste administrativa uppgifterna för hotinformation: indikatortaggning och skapa nya indikatorer relaterade till säkerhetsundersökningar.

Skapa en ny indikator

  1. Från Azure-portalen går du till Microsoft Sentinel-tjänsten.

  2. Välj den arbetsyta som du har importerat hotindikatorer till med hjälp av någon av dataanslutningarna för hotinformation.

  3. Välj Hotinformation i avsnittet Hothantering på Microsoft Sentinel-menyn.

  4. Välj knappen Lägg till ny i menyraden överst på sidan.

    Add a new threat indicator

  5. Välj indikatortyp och fyll sedan i formuläret på panelen Ny indikator . De obligatoriska fälten är markerade med en röd asterisk (*).

  6. Välj Använd. Indikatorn läggs till i listan över indikatorer och skickas också till tabellen ThreatIntelligenceIndicator i Loggar.

Tagga och redigera hotindikatorer

Taggning av hotindikatorer är ett enkelt sätt att gruppera dem så att de blir lättare att hitta. Vanligtvis kan du använda en tagg för indikatorer som är relaterade till en viss incident, eller för dem som representerar hot från en viss känd aktör eller välkänd attackkampanj. Tagga hotindikatorer individuellt eller flervalsindikatorer och tagga dem samtidigt. Nedan visas ett exempel på taggning av flera indikatorer med ett incident-ID. Eftersom taggning är fritt är en rekommenderad metod att skapa standardnamngivningskonventioner för hotindikatortaggar. Indikatorer tillåter tillämpning av flera taggar.

Apply tags to threat indicators

Med Microsoft Sentinel kan du också redigera indikatorer, oavsett om de har skapats direkt i Microsoft Sentinel eller kommer från partnerkällor som TIP- och TAXII-servrar. För indikatorer som skapats i Microsoft Sentinel kan alla fält redigeras. För indikatorer som kommer från partnerkällor kan endast specifika fält redigeras, inklusive taggar, förfallodatum, Konfidens och Återkallad. Hur som helst, kom ihåg att endast den senaste versionen av indikatorn visas i sidvyn Hotinformation . Mer information om hur indikatorer uppdateras finns i Förstå hotinformation.

Arbetsböcker ger insikter om din hotinformation

Använd en specialbyggd Microsoft Sentinel-arbetsbok för att visualisera viktig information om din hotinformation i Microsoft Sentinel och anpassa arbetsboken efter dina affärsbehov.

Så här hittar du arbetsboken för hotinformation som finns i Microsoft Sentinel och ett exempel på hur du gör ändringar i arbetsboken för att anpassa den.

  1. Från Azure-portalen går du till Microsoft Sentinel-tjänsten.

  2. Välj den arbetsyta som du har importerat hotindikatorer till med hjälp av någon av dataanslutningarna för hotinformation.

  3. Välj Arbetsböcker i avsnittet Hothantering på Microsoft Sentinel-menyn.

  4. Leta reda på arbetsboken hotinformation och kontrollera att du har data i tabellen ThreatIntelligenceIndicator enligt nedan.

    Verify data

  5. Välj knappen Spara och välj en Azure-plats för att lagra arbetsboken. Det här steget krävs om du ska ändra arbetsboken på något sätt och spara ändringarna.

  6. Välj nu knappen Visa sparad arbetsbok för att öppna arbetsboken för visning och redigering.

  7. Nu bör du se standarddiagrammen som tillhandahålls av mallen. Om du vill ändra ett diagram väljer du knappen Redigera överst på sidan för att ange redigeringsläge för arbetsboken.

  8. Lägg till ett nytt diagram över hotindikatorer efter hottyp. Rulla längst ned på sidan och välj Lägg till fråga.

  9. Lägg till följande text i textrutan Log Analytics-arbetsyteloggfråga :

    ThreatIntelligenceIndicator
    | summarize count() by ThreatType
    
  10. I listrutan Visualisering väljer du Stapeldiagram.

  11. Välj knappen Klar redigering. Du har skapat ett nytt diagram för arbetsboken.

    Bar chart

Arbetsböcker ger kraftfulla interaktiva instrumentpaneler som ger dig insikter om alla aspekter av Microsoft Sentinel. Det finns en hel del du kan göra med arbetsböcker, och även om de tillhandahållna mallarna är en bra utgångspunkt, kommer du förmodligen att vilja dyka in och anpassa dessa mallar, eller skapa nya instrumentpaneler som kombinerar många olika datakällor så att du kan visualisera dina data på unika sätt. Eftersom Microsoft Sentinel-arbetsböcker baseras på Azure Monitor-arbetsböcker finns det redan omfattande dokumentation och många fler mallar. Ett bra ställe att börja på är den här artikeln om hur du skapar interaktiva rapporter med Azure Monitor-arbetsböcker.

Det finns också en omfattande community med Azure Monitor-arbetsböcker på GitHub för att ladda ned fler mallar och bidra med dina egna mallar.

Nästa steg

I den här artikeln har du lärt dig alla sätt att arbeta med indikatorer för hotinformation i Microsoft Sentinel. Mer information om hotinformation i Microsoft Sentinel finns i följande artiklar: