你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Microsoft Sentinel 中的威胁指标

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

通过以下活动将威胁情报 (TI) 集成到 Microsoft Sentinel 中:

  • 通过启用面向各种 TI 平台的数据连接器,将威胁情报导入 Microsoft Sentinel 。

  • 在“日志”和 Microsoft Sentinel 的“威胁情报”页中查看和管理导入的威胁情报 。

  • 使用内置的 Analytics 规则模板,根据导入的威胁情报,检测威胁并生成安全警报和事件 。

  • 利用“威胁情报”工作簿直观显示 Microsoft Sentinel 中导入的威胁情报的关键信息 。

重要

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

查看 Microsoft Sentinel 中的威胁指标

在“威胁情报”页中查找和查看指标

此过程描述如何在“威胁情报”页(可从 Microsoft Sentinel 主菜单访问)中查看和管理指标。 可使用“威胁情报”对导入的威胁指标进行排序、筛选和搜索,而无需编写 Log Analytics 查询。

在“威胁情报”页中查看威胁情报指标

  1. 对于 Azure 门户中的 Microsoft Sentinel,请在“威胁管理”下选择“威胁情报”
    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“威胁管理”>“威胁情报”

  2. 在网格中,选择要查看更多详细信息的指标。 指标的详细信息显示在右侧,其中显示了置信度、标记、威胁类型等信息。

  3. Microsoft Sentinel 仅显示此视图中最新版本的指标。 若要详细了解如何更新指标,请参阅了解威胁情报

  4. IP 和域名扩充了额外的 GeoLocation 和 WhoIs 数据,这为找到选定指标的调查提供了更多上下文。

例如:

重要

GeoLocation 和 WhoIs 扩充目前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

在日志中查找和查看指标

此过程介绍了在不考虑源信息提要或所使用的连接器的情况下,如何在 Microsoft Sentinel“日志”区域中查看导入的威胁指标以及其他 Microsoft Sentinel 事件数据。

导入的威胁指标在“Microsoft Sentinel > ThreatIntelligenceIndicator”表中列出,威胁情报查询基于此表在 Microsoft Sentinel 中的其他位置(例如在分析或工作簿中)运行。

查看日志中的威胁情报指标

  1. 对于 Azure 门户中的 Microsoft Sentinel,请在“常规”下选择“日志”。
    对于 Defender 门户中的 Microsoft Sentinel,选择“调查和响应”>“搜寻”>“高级搜寻”。

  2. ThreatIntelligenceIndicator 表位于 Microsoft Sentinel 组下方 。

  3. 选择表名称旁边的“预览数据”图标(眼睛),然后选择“在查询编辑器中查看”按钮以运行查询,该查询将显示此表中的记录 。

    结果应类似于以下屏幕截图中所示的示例威胁指标:

    屏幕截图显示了 ThreatIntelligenceIndicator 表结果,其中详细信息展开显示。

创建和标记指标

通过“威胁情报”页面,你还可以直接在 Microsoft Sentinel 界面中创建威胁指标,以及执行两个最常见的威胁情报管理任务:指标标记和创建与安全调查相关的新指标。

创建新指标

  1. 对于 Azure 门户中的 Microsoft Sentinel,请在“威胁管理”下选择“威胁情报”
    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“威胁管理”>“威胁情报”

  2. 从页面顶部的菜单栏中选择“新增”按钮。

    添加新的威胁指标

  3. 选择指标类型,然后在新指标面板上填写此窗体。 必填字段标有红色的星号 (*)。

  4. 选择“应用”。 系统会将该指标添加到指标列表,同时发送到日志中的 ThreatIntelligenceIndicator 表中。

标记和编辑威胁指标

通过标记威胁指标,可以轻松地对它们进行分组,使其更易于查找。 通常,你可以将标记应用于与特定事件相关的指标,或应用于表示来自某个已知参与者或已知攻击活动的威胁的指标。 单独标记威胁指标,或者选择多个指标,同时对它们进行标记。 下面显示了使用事件 ID 标记多个指标的示例。 由于标记采用自由格式,建议的做法是为威胁指标标记创建标准命名约定。 指标允许应用多个标记。

向威胁指标应用标记

Microsoft Sentinel 还允许你编辑指标,无论这些指标是直接在 Microsoft Sentinel 中创建的,还是来自合作伙伴源(如 TIP 和 TAXII 服务器)。 对于在 Microsoft Sentinel 中创建的指标,所有字段都是可编辑的。 对于来自合作伙伴源的指标,只能编辑特定字段,包括标记、“到期日期”、“置信度”和“已撤销” 。 无论采用哪种方式,都请记住,“威胁智能”页面视图中仅显示最新版本的指标。 若要详细了解如何更新指标,请参阅了解威胁情报

工作簿提供有关威胁情报的见解

使用特定用途的 Microsoft Sentinel 工作簿直观显示 Microsoft Sentinel 中威胁情报的关键信息,并根据业务需求自定义工作簿。

现在介绍如何查找 Microsoft Sentinel 中提供的威胁情报工作簿,以及如何编辑工作簿的示例,以便对其进行自定义。

  1. Azure 门户中,导航到“Microsoft Sentinel”服务。

  2. 选择使用任一威胁情报数据连接器将威胁指标导入到的工作区。

  3. 从 Microsoft Sentinel 菜单的“威胁管理”部分中选择“工作簿” 。

  4. 查找标题为“威胁情报”的工作簿,并验证 ThreatIntelligenceIndicator 表中是否包含数据,如下所示。

    验证数据

  5. 选择“保存”按钮,然后选择用于存储工作簿的 Azure 位置。 如果要以任何方式修改工作簿并保存更改,就必须执行此步骤。

  6. 现在,选择“查看保存的工作簿”按钮以打开工作簿进行查看和编辑。

  7. 现在应该可以看到模板提供的默认图表。 若要修改图表,选择页面顶部的“编辑”按钮,进入工作簿的编辑模式。

  8. 按威胁类型添加一个新的威胁指标图表。 滚动到页面底部,选择“添加查询”。

  9. 将以下文本添加到“Log Analytics 工作区日志查询”文本框中:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

  10. 在“可视化效果”下拉列表中,选择“条形图”。

  11. 选择“完成编辑”按钮。 你已经为工作簿创建了一个新图表。

    条形图

工作簿提供功能强大的交互式仪表板,让你能够深入了解 Microsoft Sentinel 的各个方面。 你可以用工作簿做很多事情;虽然系统提供的模板是一个很好的起点,但你可能想要深入了解并自定义这些模板,或者结合许多不同的数据源创建新的仪表板,通过独特的方式直观显示数据。 Microsoft Sentinel 工作簿基于 Azure Monitor 工作簿,因此,系统已经提供大量文档以及更多模板。 介绍如何使用 Azure Monitor 工作簿创建交互式报表的这篇文章是一个很好的起点。

GitHub 上还有一个内容丰富的 Azure Monitor 工作簿社区,供你下载更多模板并贡献自己的模板。

相关内容

在本文中,你了解了在 Microsoft Sentinel 过程中使用威胁情报指标的各种方式。 有关 Microsoft Sentinel 中威胁情报的详细信息,请参阅以下文章: