你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Microsoft Sentinel 中的威胁指标
通过以下活动将威胁情报 (TI) 集成到 Microsoft Sentinel 中:
在“日志”和 Microsoft Sentinel 的“威胁情报”页中查看和管理导入的威胁情报 。
使用内置的 Analytics 规则模板,根据导入的威胁情报,检测威胁并生成安全警报和事件 。
利用“威胁情报”工作簿直观显示 Microsoft Sentinel 中导入的威胁情报的关键信息 。
重要
Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
查看 Microsoft Sentinel 中的威胁指标
在“威胁情报”页中查找和查看指标
此过程描述如何在“威胁情报”页(可从 Microsoft Sentinel 主菜单访问)中查看和管理指标。 可使用“威胁情报”对导入的威胁指标进行排序、筛选和搜索,而无需编写 Log Analytics 查询。
在“威胁情报”页中查看威胁情报指标:
对于 Azure 门户中的 Microsoft Sentinel,请在“威胁管理”下选择“威胁情报”。
对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“威胁管理”>“威胁情报”。在网格中,选择要查看更多详细信息的指标。 指标的详细信息显示在右侧,其中显示了置信度、标记、威胁类型等信息。
Microsoft Sentinel 仅显示此视图中最新版本的指标。 若要详细了解如何更新指标,请参阅了解威胁情报。
IP 和域名扩充了额外的 GeoLocation 和 WhoIs 数据,这为找到选定指标的调查提供了更多上下文。
例如:
重要
GeoLocation 和 WhoIs 扩充目前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
在日志中查找和查看指标
此过程介绍了在不考虑源信息提要或所使用的连接器的情况下,如何在 Microsoft Sentinel“日志”区域中查看导入的威胁指标以及其他 Microsoft Sentinel 事件数据。
导入的威胁指标在“Microsoft Sentinel > ThreatIntelligenceIndicator”表中列出,威胁情报查询基于此表在 Microsoft Sentinel 中的其他位置(例如在分析或工作簿中)运行。
查看日志中的威胁情报指标:
对于 Azure 门户中的 Microsoft Sentinel,请在“常规”下选择“日志”。
对于 Defender 门户中的 Microsoft Sentinel,选择“调查和响应”>“搜寻”>“高级搜寻”。ThreatIntelligenceIndicator 表位于 Microsoft Sentinel 组下方 。
选择表名称旁边的“预览数据”图标(眼睛),然后选择“在查询编辑器中查看”按钮以运行查询,该查询将显示此表中的记录 。
结果应类似于以下屏幕截图中所示的示例威胁指标:
创建和标记指标
通过“威胁情报”页面,你还可以直接在 Microsoft Sentinel 界面中创建威胁指标,以及执行两个最常见的威胁情报管理任务:指标标记和创建与安全调查相关的新指标。
创建新指标
对于 Azure 门户中的 Microsoft Sentinel,请在“威胁管理”下选择“威胁情报”。
对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“威胁管理”>“威胁情报”。从页面顶部的菜单栏中选择“新增”按钮。
选择指标类型,然后在新指标面板上填写此窗体。 必填字段标有红色的星号 (*)。
选择“应用”。 系统会将该指标添加到指标列表,同时发送到日志中的 ThreatIntelligenceIndicator 表中。
标记和编辑威胁指标
通过标记威胁指标,可以轻松地对它们进行分组,使其更易于查找。 通常,你可以将标记应用于与特定事件相关的指标,或应用于表示来自某个已知参与者或已知攻击活动的威胁的指标。 单独标记威胁指标,或者选择多个指标,同时对它们进行标记。 下面显示了使用事件 ID 标记多个指标的示例。 由于标记采用自由格式,建议的做法是为威胁指标标记创建标准命名约定。 指标允许应用多个标记。
Microsoft Sentinel 还允许你编辑指标,无论这些指标是直接在 Microsoft Sentinel 中创建的,还是来自合作伙伴源(如 TIP 和 TAXII 服务器)。 对于在 Microsoft Sentinel 中创建的指标,所有字段都是可编辑的。 对于来自合作伙伴源的指标,只能编辑特定字段,包括标记、“到期日期”、“置信度”和“已撤销” 。 无论采用哪种方式,都请记住,“威胁智能”页面视图中仅显示最新版本的指标。 若要详细了解如何更新指标,请参阅了解威胁情报。
工作簿提供有关威胁情报的见解
使用特定用途的 Microsoft Sentinel 工作簿直观显示 Microsoft Sentinel 中威胁情报的关键信息,并根据业务需求自定义工作簿。
现在介绍如何查找 Microsoft Sentinel 中提供的威胁情报工作簿,以及如何编辑工作簿的示例,以便对其进行自定义。
在 Azure 门户中,导航到“Microsoft Sentinel”服务。
选择使用任一威胁情报数据连接器将威胁指标导入到的工作区。
从 Microsoft Sentinel 菜单的“威胁管理”部分中选择“工作簿” 。
查找标题为“威胁情报”的工作簿,并验证 ThreatIntelligenceIndicator 表中是否包含数据,如下所示。
选择“保存”按钮,然后选择用于存储工作簿的 Azure 位置。 如果要以任何方式修改工作簿并保存更改,就必须执行此步骤。
现在,选择“查看保存的工作簿”按钮以打开工作簿进行查看和编辑。
现在应该可以看到模板提供的默认图表。 若要修改图表,选择页面顶部的“编辑”按钮,进入工作簿的编辑模式。
按威胁类型添加一个新的威胁指标图表。 滚动到页面底部,选择“添加查询”。
将以下文本添加到“Log Analytics 工作区日志查询”文本框中:
ThreatIntelligenceIndicator | summarize count() by ThreatType
在“可视化效果”下拉列表中,选择“条形图”。
选择“完成编辑”按钮。 你已经为工作簿创建了一个新图表。
工作簿提供功能强大的交互式仪表板,让你能够深入了解 Microsoft Sentinel 的各个方面。 你可以用工作簿做很多事情;虽然系统提供的模板是一个很好的起点,但你可能想要深入了解并自定义这些模板,或者结合许多不同的数据源创建新的仪表板,通过独特的方式直观显示数据。 Microsoft Sentinel 工作簿基于 Azure Monitor 工作簿,因此,系统已经提供大量文档以及更多模板。 介绍如何使用 Azure Monitor 工作簿创建交互式报表的这篇文章是一个很好的起点。
GitHub 上还有一个内容丰富的 Azure Monitor 工作簿社区,供你下载更多模板并贡献自己的模板。
相关内容
在本文中,你了解了在 Microsoft Sentinel 过程中使用威胁情报指标的各种方式。 有关 Microsoft Sentinel 中威胁情报的详细信息,请参阅以下文章:
- 理解 Microsoft Sentinel 中的威胁情报。
- 将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源。
- 查看哪些 TIP、TAXII 馈送和扩充可轻松与 Microsoft Sentinel 集成。