在 Microsoft Sentinel 中將實體新增至威脅情報
調查期間,您會檢查實體及其內容,作為了解事件範圍和本質的重要部分。 當您在事件中將實體探索為惡意網域名稱、URL、檔案或 IP 位址時,系統應該會將其標記為威脅情報中的入侵指標 (IOC) 並加以追蹤。
例如,您可能會探索某個 IP 位址正在執行整個網路連接埠掃描,或以命令和控制節點的形式運作、傳送和/或接收來自您網路中大量的節點傳輸。
使用 Microsoft Sentinel 時,您可以從事件調查內標記這些類型的實體,並將其新增至您的威脅情報。 您可以在記錄和威脅情報中檢視新增的指標,並在您的 Microsoft Sentinel 工作區中使用這些指標。
將實體新增至威脅情報
[事件詳細資料] 頁面和調查圖表提供兩種方式,讓您將實體新增至威脅情報。
- [事件詳細資料] 頁面
- 調查圖表
在 [Microsoft Sentinel] 功能表上,從 [威脅管理] 區段選取 [事件]。
選取要調查的事件。 在 [事件詳細資料] 窗格中,選取 [檢視完整詳細資料] 以開啟 [事件詳細資料] 頁面。
在 [實體] 窗格中,尋找您要新增為威脅指標的實體。 (您可以篩選清單或輸入搜尋字串,以協助您找出實體。)
![顯示 [事件詳細資料] 頁面的螢幕擷取畫面。](media/add-entity-to-threat-intelligence/incident-details-overview.png)
選取實體右側的三個點,然後從快顯功能表中選取 [新增至 TI]。
只能將下列類型的實體新增為威脅指標:
- 網域名稱
- IP 位址 (IPv4 和 IPv6)
- URL
- 檔案 (雜湊)
![顯示 [事件詳細資料] 頁面的螢幕擷取畫面。](media/add-entity-to-threat-intelligence/incident-details-overview.png#lightbox)
無論您選擇兩個中的哪一個介面,最終都會在這裡。
[新增指標] 側邊窗格隨即開啟。 系統會自動填入下列欄位:
類型
- 您所新增之實體所代表的指標類型。
- 具有可能值的下拉式清單:
ipv4-addr、ipv6-addr、URL、file和domain-name。
- 具有可能值的下拉式清單:
- 必要。 根據實體類型自動填入。
- 您所新增之實體所代表的指標類型。
ReplTest1
- 此欄位的名稱會動態變更為選取的指標類型。
- 指標本身的值。
- 必要。 根據實體值自動填入。
Tags (標籤)
- 您可以新增至指標的任意文字標籤。
- 選擇性。 根據事件識別碼自動填入。 您可以新增其他項目。
名稱
- 指標的名稱。 此名稱會顯示在您的指標清單中。
- 選擇性。 根據事件名稱自動填入。
建立者為
- 指標的建立者。
- 選擇性。 由登入 Microsoft Sentinel 的使用者自動填入。
據此填寫剩餘欄位。
威脅類型
- 指標所代表的威脅類型。
- 選擇性。 任意文字。
說明
- 指標的描述。
- 選擇性。 任意文字。
已撤銷
- 指標已撤銷的狀態。 選取核取方塊以撤銷指標。 清除核取方塊以使其成為使用中狀態。
- 選擇性。 布林值。
信賴度
- 以百分比反映資料正確性信賴度的分數。
- 選擇性。 整數,1-100。
狙殺鏈
- 指標在 Lockheed Martin 網路狙殺鏈中對應的階段。
- 選擇性。 任意文字。
有效期限開始於
- 此指標視為有效的開始時間。
- 必要。 日期/時間。
有效期限結束於
- 此指標不應再視為有效的時間。
- 選擇性。 日期/時間。
當所有欄位都依照您的想法填入時,請選取 [套用]。 訊息會出現在右上角,以確認已建立指標。
實體會新增為工作區中的威脅指標。 您可以在 [威脅情報] 頁面上的指標清單中找到它。 您也可以在記錄中的 ThreatIntelligenceIndicators 資料表中找到它。
相關內容
在本文中,您已瞭解如何將實體新增至威脅指標清單。 如需詳細資訊,請參閱下列文章: