你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
理解 Microsoft Sentinel 中的威胁情报
Microsoft Sentinel 是一种云原生安全信息和事件管理 (SIEM) 解决方案,能够从众多来源快速提取威胁情报。
重要
Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
威胁情报简介
网络威胁情报 (CTI) 是一种描述对系统和用户的现有或潜在威胁的信息。 这类情报采用多种形式,包括详细描述特定威胁参与者的动机、基础结构和技术的书面报告,以及与已知网络威胁关联的 IP 地址、域名、文件哈希和其他项目的特定观察结果。 组织使用 CTI 为异常活动提供必要的背景信息,以便安全负责人可以快速采取措施来保护其人员、信息和资产。 CTI 的来源有很多,例如开源数据源、威胁情报共享社区、商业情报源,以及在组织内部安全调查中收集的本地情报。
对于 Microsoft Sentinel 等 SIEM 解决方案,最常见的 CTI 形式是威胁指标,也称为入侵指标 (IoC) 或攻击指标 (IoA)。 威胁指标是将 URL、文件哈希或 IP 地址等观察项目与网络钓鱼、僵尸网络或恶意软件等已知威胁活动关联起来的数据。 这种形式的威胁情报通常称为“战术性威胁情报”,因为它大规模地应用于安全产品和自动化服务,以检测组织面临的潜在威胁并进行防范。 在 Microsoft Sentinel 中使用威胁指标来检测环境中观察到的恶意活动,并为安全调查人员提供背景信息,帮助其做出响应决策。
通过以下活动将威胁情报 (TI) 集成到 Microsoft Sentinel 中:
在“日志”和 Microsoft Sentinel 的“威胁情报”边栏选项卡中查看和管理导入的威胁情报 。
使用内置的 Analytics 规则模板,根据导入的威胁情报,检测威胁并生成安全警报和事件 。
使用“威胁情报工作簿”直观显示 Microsoft Sentinel 中导入的威胁情报的关键信息 。
Microsoft 使用 GeoLocation 和 WhoIs 数据扩充所有导入的威胁情报指标,这些数据与其他指标详细信息一起显示。
威胁情报还在其他 Microsoft Sentinel 体验(例如“搜寻”和“Notebook”)中提供有用的上下文 。 有关详细信息,请参阅 Microsoft Sentinel 中的 Jupyter Notebook 和教程:开始使用 Microsoft Sentinel 中的 Jupyter Notebook 和 MSTICPy。
注意
有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。
使用数据连接器导入威胁情报
就像 Microsoft Sentinel 中的所有其他事件数据一样,威胁指标使用数据连接器导入。 Microsoft Sentinel 中提供了数据连接器,专门用于获取威胁指标。
- Microsoft Defender 威胁情报数据连接器,引入 Microsoft 的威胁指标
- 威胁情报 - TAXII,用于行业标准 STIX/TAXII 源和
- 威胁情报上传指标 API,用于通过 REST API 进行连接来获取集成和特选 TI 源
- 威胁情报平台数据连接器也使用 REST API 连接 TI 源,但即将弃用
以任意组合使用以上任何数据连接器,具体取决于组织从何处获取威胁指标。 这三者都作为威胁情报解决方案的一部分在内容中心提供。 有关此解决方案的详细信息,请参阅 Azure 市场条目威胁情报。
请参阅 Microsoft Sentinel 提供的此威胁情报集成目录。
使用 Microsoft Defender 威胁情报数据连接器向 Microsoft Sentinel 添加威胁指标
将 Microsoft Defender 威胁情报 (MDTI) 生成的高保真入侵指标 (IOC) 引入 Microsoft Sentinel 工作区。 MDTI 数据连接器将通过简单的一键式设置引入这些 IOC。 然后,以与利用其他源相同的方式,根据威胁情报进行监视、发出警报和搜寻。
有关 MDTI 数据连接器的详细信息,请参阅启用 MDTI 数据连接器。
使用威胁情报上传指标 API 数据连接器向 Microsoft Sentinel 添加威胁指标
许多组织使用威胁情报平台 (TIP) 解决方案聚合各种来源的威胁指标源。 在聚合源中,数据经过精心整理,以应用于安全解决方案,例如网络设备、EDR/XDR 解决方案或 SIEM(如 Microsoft Sentinel)。 通过威胁情报上传指标 API 数据连接器,可以使用这些解决方案将威胁指标导入到 Microsoft Sentinel。
此数据连接器利用新的 API 并提供以下改进:
- 威胁指标字段基于 STIX 标准化格式。
- Microsoft Entra 应用程序仅需要 Microsoft Sentinel 参与者角色。
- API 请求终结点限于工作区级别,所需的 Microsoft Entra 应用程序权限允许在工作区级别进行精细分配。
有关详细信息,请参阅使用上传指标 API 连接威胁情报平台
使用威胁情报平台数据连接器向 Microsoft Sentinel 添加威胁指标
与现有的上传指标 API 数据连接器非常类似,威胁情报平台数据连接器使用 API,允许 TIP 或自定义解决方案将指标发送到 Microsoft Sentinel。 然而,此数据连接器现在即将弃用。 建议使用新的解决方案,以充分利用上传指标 API 提供的优化方案。
TIP 数据连接器与 Microsoft Graph Security tiIndicators API 配合使用。 与 tiIndicators API 通信的任何自定义威胁情报平台也可以使用该连接器将指标发送到 Microsoft Sentinel(以及 Microsoft Defender XDR 等其他 Microsoft 安全解决方案)。
有关与 Microsoft Sentinel 集成的 TIP 解决方案的详细信息,请参阅集成式威胁情报平台产品。 有关详细信息,请参阅将威胁情报平台连接到 Microsoft Sentinel。
使用“威胁情报 - TAXII”数据连接器向 Microsoft Sentinel 添加威胁指标
威胁情报传输最广泛采用的行业标准是 STIX 数据格式和 TAXII 协议的组合。 如果组织从支持当前 STIX/TAXII 版本(2.0 或 2.1)的解决方案中获取威胁指标,请使用“威胁情报 - TAXII”数据连接器将威胁指标引入 Microsoft Sentinel。 “威胁情报 - TAXII”数据连接器使 Microsoft Sentinel 中的内置 TAXII 客户端可以从 TAXII 2.x 服务器导入威胁情报。
若要将 STIX 格式的威胁指标从 TAXII 服务器导入到 Microsoft Sentinel,请执行以下操作:
获取 TAXII 服务器 API 根和集合 ID
在 Microsoft Sentinel 中启用“威胁情报 - TAXII”数据连接器
有关详细信息,请参阅将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源。
查看并管理威胁指标
在“威胁情报”页中查看和管理指标。 对导入的威胁指标进行排序、筛选和搜索,甚至无需编写 Log Analytics 查询。 借助这个新功能,你还可以直接在 Microsoft Sentinel 界面中创建威胁指标,以及执行两个最常见的威胁情报管理任务:指标标记和创建与安全调查相关的新指标。
通过标记威胁指标,可以轻松地对它们进行分组,使其更易于查找。 通常,你可以将标记应用于与特定事件相关的指标,或应用于表示来自某个已知参与者或已知攻击活动的威胁的指标。 单独标记威胁指标,或者选择多个指标,同时对它们进行标记。 下面是使用事件 ID 标记多个指标的示例屏幕截图。 由于标记采用自由格式,建议的做法是为威胁指标标记创建标准命名约定。 指标允许应用多个标记。
验证指标并查看已成功从已启用 Microsoft Sentinel 的 Log Analytics 工作区导入的威胁指标。 Microsoft Sentinel 架构下的 ThreatIntelligenceIndicator 表是存储所有 Microsoft Sentinel 威胁指标的位置。 该表是由其他 Microsoft Sentinel 功能(例如 Analytics 和工作簿)执行的威胁情报查询的基础。
下面是威胁指标的基本查询的示例视图。
TI 指标引入 Log Analytics 工作区的 ThreatIntelligenceIndicator 表作为只读内容。 每当更新指标时,都会在 ThreatIntelligenceIndicator 表中创建一个新条目。 但是,“威胁情报”页中仅显示最新的指标。 Microsoft Sentinel 根据 IndicatorId 和 SourceSystem 属性删除重复指标,并选择具有最新 TimeGenerated[UTC] 的指标。
IndicatorId 属性是使用 STIX 指标 ID 生成的。 从非 STIX 源导入或创建指标时,IndicatorId 由指标的源和模式生成。
有关查看和管理威胁指标的更多详细信息,请参阅使用 Microsoft Sentinel 中的威胁指标。
查看 GeoLocation 和 WhoIs 数据扩充(公共预览版)
Microsoft 为每个 IP 和域指标扩充额外的 GeoLocation 和 WhoIs 数据,为找到选定的危害指标 (IoC) 的调查提供了更多的上下文。
在“威胁情报”窗格中查看已导入 Microsoft Sentinel 的这些类型的威胁指标的 GeoLocation 和 WhoIs 数据。
例如,使用 GeoLocation 数据查找 IP 指标的组织或国家/地区等详细信息,使用 WhoIs 数据查找域指标中的 Registrar 和 Record 创建数据等数据。
使用威胁指标分析检测威胁
在诸如 Microsoft Sentinel 之类的 SIEM 解决方案中,威胁指标最重要的用例是为威胁检测的分析规则提供支持。 这些基于指标的规则将数据源中的原始事件与威胁指标进行比较,以检测组织中的安全威胁。 在 Microsoft Sentinel 的“Analytics”中,可创建按计划运行的分析规则并生成安全警报。 规则由查询以及一些配置驱动,这些配置用于确定规则的运行频率、应生成安全警报和事件的查询结果类型,以及触发自动化响应(可选)。
虽然你始终可以从头开始创建新的分析规则,但 Microsoft Sentinel 提供了一组由 Microsoft 安全工程师创建的内置规则模板,以利用你的威胁指标。 这些内置规则模板基于威胁指标的类型(域、电子邮件、文件哈希、IP 地址或 URL)和你要匹配的数据源事件。 每个模板列出了规则正常运行所需的源。 这样可以轻松确定 Microsoft Sentinel 中是否已导入必要的事件。
默认情况下,当这些内置规则被触发时,将创建一个警报。 在 Microsoft Sentinel 中,根据分析规则生成的警报还会生成安全事件,这些事件可在 Microsoft Sentinel 菜单的“威胁管理”下的“事件”中找到 。 安全操作团队将对事件进行会审和调查,以确定适当的响应操作。 在此教程:使用 Microsoft Sentinel 调查事件中查找详细信息。
有关在分析规则中使用威胁指标的更多详细信息,请参阅使用威胁情报检测威胁。
Microsoft 通过 Microsoft Defender 威胁情报分析规则提供对其威胁情报的访问权限。 有关如何利用这条可生成高保真警报和事件的规则的详细信息,请参阅使用匹配分析来检测威胁
工作簿提供有关威胁情报的见解
工作簿提供功能强大的交互式仪表板,让你能够深入了解 Microsoft Sentinel 的各个方面,包括威胁情报。 使用内置的威胁情报工作簿直观显示威胁情报的关键信息,并且可以根据业务需求轻松自定义工作簿。 结合许多不同的数据源创建新的仪表板,以便通过独特的方式可视化数据。 Microsoft Sentinel 工作簿基于 Azure Monitor 工作簿,因此,系统已经提供大量文档以及更多模板。 介绍如何使用 Azure Monitor 工作簿创建交互式报表的这篇文章是一个很好的起点。
GitHub 上还有一个内容丰富的 Azure Monitor 工作簿社区,供你下载其他模板并贡献自己的模板。
有关使用和自定义威胁情报工作簿的更多详细信息,请参阅使用 Microsoft Sentinel 中的威胁指标。
后续步骤
本文档介绍了 Microsoft Sentinel 的威胁情报功能,包括“威胁情报”边栏选项卡。 有关如何使用 Microsoft Sentinel 的威胁情报功能的实用指导,请参阅以下文章:
- 将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源。
- 将威胁情报平台连接到 Microsoft Sentinel。
- 查看哪些 TIP 平台、TAXII 源和扩充可轻松与 Microsoft Sentinel 集成。
- 在整个 Microsoft Sentinel 体验中使用威胁指标。
- 使用 Microsoft Sentinel 中的内置分析规则或自定义分析规则检测威胁
- 在 Microsoft Sentinel 中调查事件。