你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Microsoft Sentinel 中的威胁指标

通过以下活动将威胁情报 (TI) 集成到 Microsoft Sentinel 中:

  • 通过启用面向各种威胁情报平台的数据连接器,将威胁情报导入 Microsoft Sentinel
  • 在“日志”和 Microsoft Sentinel 的“威胁情报”页中查看和管理导入的威胁情报。
  • 通过使用内置的 Analytics 规则模板,根据导入的威胁情报,检测威胁并生成安全警报和事件
  • 利用“威胁情报”工作簿直观显示 Microsoft Sentinel 中导入的威胁情报的关键信息 。

重要

Microsoft Sentinel 现已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

查看 Microsoft Sentinel 中的威胁指标

了解如何在 Microsoft Sentinel 中使用威胁情报指标。

在“威胁情报”页中查找和查看指标

此过程描述如何在“威胁情报”页(可从 Microsoft Sentinel 主菜单访问)中查看和管理指标。 可使用“威胁情报”对导入的威胁指标进行排序、筛选和搜索,而无需编写 Log Analytics 查询。

在“威胁情报”页中查看威胁情报指标

  1. 对于 Azure 门户中的 Microsoft Sentinel,请在“威胁管理”下选择“威胁情报”

    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“威胁管理”>“威胁情报”

  2. 在网格中,选择要查看更多详细信息的指标。 指标的信息包括置信度、标记和威胁类型。

Microsoft Sentinel 仅显示此视图中最新版本的指标。 若要详细了解如何更新指标,请参阅了解威胁情报

IP 和域名指标使用额外的 GeoLocationWhoIs 数据进行扩充。 此数据为找到所选指标的调查提供更多背景信息。

下面是一个示例。

“威胁情报”页的屏幕截图,其中显示了 GeoLocation 和 WhoIs 数据指标。

重要

GeoLocationWhoIs 扩充目前为预览版。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

在日志中查找和查看指标

此过程介绍了在不考虑源信息提要或所使用的连接器的情况下,如何在 Microsoft Sentinel“日志”区域中查看导入的威胁指标以及其他 Microsoft Sentinel 事件数据

导入的威胁指标列在 Microsoft Sentinel ThreatIntelligenceIndicator 表中。 在 Microsoft Sentinel 的其他位置(例如 Analytics工作簿)执行威胁情报查询时,该表是基础。

查看“日志”中的威胁情报指标

  1. 对于 Azure 门户中的 Microsoft Sentinel,请在“常规”下选择“日志”。

    对于 Defender 门户中的 Microsoft Sentinel,选择“调查和响应”>“搜寻”>“高级搜寻”。

  2. ThreatIntelligenceIndicator 表位于 Microsoft Sentinel 组的下方。

  3. 选择表名称旁边的“预览数据”图标(眼睛)。 选择“在查询编辑器中查看”,以运行显示此表中的记录的查询。

    结果应类似于下面所示的示例威胁指标。

    屏幕截图显示了示例 ThreatIntelligenceIndicator 表结果,其中展开了详细信息。

创建和标记指标

通过“威胁情报”页面,你还可以直接在 Microsoft Sentinel 界面中创建威胁指标,以及执行两个最常见的威胁情报管理任务:指标标记和创建与安全调查相关的新指标

创建新指标

  1. 对于 Azure 门户中的 Microsoft Sentinel,请在“威胁管理”下选择“威胁情报”

    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“威胁管理”>“威胁情报”

  2. 在页面顶部的菜单栏中,选择“新建”。

    显示添加新的威胁指标的屏幕截图。

  3. 选择指标类型,然后在“新指标”面板上填写表单。 带星号 (*) 的字段为必填字段。

  4. 选择“应用”。 系统会将该指标添加到指标列表,同时发送到“日志”中的 ThreatIntelligenceIndicator 表中。

标记和编辑威胁指标

通过标记威胁指标,可以轻松地对它们进行分组,使其更易于查找。 通常,可以将标记应用于与特定事件相关的指标,或如果指标表示来自某个已知参与者或已知攻击活动的威胁的指标。 搜索要使用的指标后,可以单独标记它们。 多选指标,并用一个或多个标记一次性标记它们。 由于标记是自由格式的,因此我们建议为威胁指标标记创建标准命名约定。

显示向威胁指标应用标记的屏幕截图。

Microsoft Sentinel 还允许你编辑指标,无论这些指标是直接在 Microsoft Sentinel 中创建的,还是来自合作伙伴源,如 TIP 和 TAXII 服务器。 对于在 Microsoft Sentinel 中创建的指标,所有字段都是可编辑的。 对于来自合作伙伴源的指标,只有特定字段可编辑,包括标记、“到期日期”、“置信度”和“已撤销”。 无论采用哪种方式,都请记住,“威胁智能”页面视图中仅显示最新版本的指标。 若要详细了解如何更新指标,请参阅了解威胁情报

工作簿提供有关威胁情报的见解

使用特定用途的 Microsoft Sentinel 工作簿直观显示 Microsoft Sentinel 中威胁情报的关键信息,并根据业务需求自定义工作簿。

现在介绍如何查找 Microsoft Sentinel 中提供的威胁情报工作簿,以及如何编辑工作簿的示例,以便对其进行自定义。

  1. Azure 门户中,转到 Microsoft Sentinel。

  2. 使用任一威胁情报数据连接器,选择要将威胁指标导入其中的工作区。

  3. 从 Microsoft Sentinel 菜单的“威胁管理”部分,选择“工作簿”

  4. 找到标题为“威胁情报”的工作簿。 验证 ThreatIntelligenceIndicator 表中是否有你的数据。

    显示数据验证的屏幕截图。

  5. 选择“保存”,然后选择用于存储工作簿的 Azure 位置。 如果要以任何方式修改工作簿并保存更改,就必须执行此步骤。

  6. 现在,选择“查看保存的工作簿”以打开工作簿进行查看和编辑。

  7. 现在应该可以看到模板提供的默认图表。 若要修改图表,请选择页面顶部的“编辑”,进入工作簿的编辑模式。

  8. 按威胁类型添加一个新的威胁指标图表。 滚动到页面底部,选择“添加查询”。

  9. 将以下文本添加到“Log Analytics 工作区日志查询”文本框中:

    ThreatIntelligenceIndicator
    | summarize count() by ThreatType
    
  10. 从“可视化效果”下拉列表中选择“条形图”

  11. 选择“完成编辑”,然后查看工作簿的新图表。

    显示工作簿条形图的屏幕截图。

工作簿提供功能强大的交互式仪表板,让你能够深入了解 Microsoft Sentinel 的各个方面。 你可以使用工作簿执行许多任务,提供的模板是一个很好的选择。 你可以结合许多数据源来自定义模板或创建新的仪表板,以便通过独特的方式可视化数据。

Microsoft Sentinel 工作簿基于 Azure Monitor 工作簿,因此提供了大量文档和模板。 有关详细信息,请参阅使用 Azure Monitor 工作簿创建交互式报表

GitHub 上还有 Azure Monitor 工作簿社区的丰富资源,你可以在此处下载更多模板并贡献自己的模板。

在本文中,你了解了在 Microsoft Sentinel 中使用威胁情报指标的各种方式。 有关 Microsoft Sentinel 中威胁情报的详细信息,请参阅以下文章: