你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在分析规则中使用威胁指标

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

使用威胁指标为分析规则提供支持，以便根据你集成的威胁智能自动生成警报。

先决条件

• 威胁指标。 威胁指标的来源可能包括威胁情报源、威胁情报平台、从平面文件批量导入或手动输入。

• 数据源。 数据连接器的事件必须流向 Sentinel 工作区。

• 格式的分析规则“TI 将...”可以映射已引入事件的威胁指标。

配置规则以生成安全警报

以下示例介绍了如何启用和配置规则，以使用导入到 Microsoft Sentinel 的威胁指标生成安全警报。 在此示例中，我们将使用名为“TI 将 IP 实体映射到 AzureActivity”的规则模板。 此规则会将所有 IP 地址类型的威胁指标与所有 Azure 活动事件进行匹配。 找到匹配项后，系统会生成一个警报，以及一个相应的事件，供安全操作团队进行调查。 此特定分析规则需要 Azure 活动数据连接器（以导入 Azure 订阅级别事件）和一个或两个威胁情报数据连接器（以导入威胁指标）。 导入的指标或手动创建的指标也会触发此规则。

1. 在 Azure 门户中，导航到“Microsoft Sentinel”服务。

2. 选择将威胁指标（使用“威胁情报”数据连接器）和 Azure 活动数据（使用“Azure 活动”数据连接器）导入到的工作区。

3. 从 Microsoft Sentinel 菜单的“配置”部分中选择“分析” 。

4. 选择“规则模板”选项卡以查看可用分析规则模板的列表。

5. 查找标题为“TI 将 IP 实体映射到 AzureActivity”的规则，确保已连接所有必需的数据源，如下所示。

   

6. 选择“TI 将 IP 实体映射到 AzureActivity”规则，然后选择“创建规则”以打开规则配置向导 。 在向导中配置设置，然后选择“下一步: 设置规则逻辑 >”。

   

7. 向导的规则逻辑部分已预先填充了以下各项：

   • 将在规则中使用的查询。

   • 实体映射，用于指示 Microsoft Sentinel 如何识别帐户、IP 地址和 URL 等实体，以便事件和调查了解如何在此规则生成的任何安全警报中处理这些数据 。

   • 此规则的运行计划。

   • 生成安全警报之前所需的查询结果数。

   模板中的默认设置为：

   • 每小时运行一次。

   • 将 ThreatIntelligenceIndicator 表中的所有 IP 地址威胁指标与在 AzureActivity 表中的最后一小时事件中找到的所有 IP 地址进行匹配。

   • 如果查询结果大于零（即找到任何匹配项），则生成安全警报。

   • 规则已启用。

   可以保留默认设置，或更改这些设置以满足你的要求，并且可以在“事件设置”选项卡上定义事件生成设置。有关详细信息，请参阅创建自定义分析规则以检测威胁。 完成后，选择“自动响应”选项卡。

8. 配置根据此分析规则生成安全警报时要触发的任何自动化操作。 结合使用自动化规则和 playbook（由 Azure 逻辑应用提供支持）来完成 Microsoft Sentinel 中的自动化操作 。 有关更多信息，请参阅教程：在 Microsoft Sentinel 中结合自动化规则使用 playbook。 完成后，选择“下一步：查看 >”按钮继续操作。

9. 当你看到规则验证已通过的消息时，请选择“创建”按钮并完成操作。

检查你的规则

在 Microsoft Sentinel 的 Analytics 部分的“活动规则”选项卡中找到已启用的规则。 在其中编辑、启用、禁用、复制或删除活动规则。 新规则在激活后立即运行，然后按定义的日程安排运行。

根据默认设置，规则每次按计划运行时，发现的任何结果都会生成安全警报。 可以在 Microsoft Sentinel 的“日志”部分，Microsoft Sentinel 组下的 SecurityAlert表中查看 Microsoft Sentinel 中的安全警报 。

在 Microsoft Sentinel 中，根据分析规则生成的警报还会生成安全事件，这些事件可以在 Microsoft Sentinel 菜单的“威胁管理”下的“事件”中找到 。 安全操作团队将对事件进行会审和调查，以确定适当的响应操作。 你可以在此教程：使用 Microsoft Sentinel 调查事件中找到详细信息。

注意

由于分析规则在 14 天后会限制查找，因此 Microsoft Sentinel 每 12 天刷新一次指标，以确保它们可用于通过分析规则进行匹配。

相关内容

本文介绍了如何使用威胁情报指标来检测威胁。 有关 Microsoft Sentinel 中威胁情报的详细信息，请参阅以下文章：

• 使用 Microsoft Sentinel 中的威胁指标。
• 将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源。
• 将威胁情报平台连接到 Microsoft Sentinel。
• 查看哪些 TIP 平台、TAXII 源和扩充可轻松与 Microsoft Sentinel 集成。