在 Microsoft Sentinel 中使用威脅指標
可透過下列活動,將威脅情報 (TI) 整合至 Microsoft Sentinel 中:
在 [記錄] 和 Microsoft Sentinel 的 [威脅情報] 頁面中,檢視及管理匯入的威脅情報。
根據您匯入的威脅情報使用內建的 Analytics 規則範本,以偵測威脅並產生安全性警示和事件。
使用威脅情報活頁簿,以在 Microsoft Sentinel 中視覺化已匯入威脅情報的重要資訊。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
在 Microsoft Sentinel 中檢視您的威脅指標
在 [威脅情報] 頁面中尋找及檢視您的指標
此程序說明如何在 [威脅情報] 頁面中檢視及管理指標,此頁面可從主要 Microsoft Sentinel 功能表來存取。 使用 [威脅情報] 頁面來排序、篩選和搜尋您匯入的威脅指標,而無須撰寫 Log Analytics 查詢。
若要在 [威脅情報] 頁面中檢視威脅情報指標:
針對 Azure 入口網站中的 Microsoft Sentinel,於 [威脅管理] 底下,選取 [威脅情報]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[威脅管理]>[威脅情報]。從格線中,選取您要檢視更多詳細資料的指標。 指標的詳細資料會出現在右側,顯示信賴等級、標籤、威脅類型之類的資訊。
Microsoft Sentinel 只會在此檢視中顯示最新的指標版本。 如需指標更新方式的詳細資訊,請參閱瞭解威脅情報。
IP 和功能變數名稱指標會使用額外的 GeoLocation 和 WhoIs 資料來擴充,為找到所選指標的調查提供更多內容。
例如:
重要
GeoLocation 和 WhoIs 擴充目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
在記錄中尋找及檢視您的指標
此程序說明如何在 Microsoft Sentinel 的 [記錄] 區域中檢視您匯入的威脅指標以及其他 Microsoft Sentinel 事件資料,無論來源摘要或使用的連接器為何。
匯入的威脅指標會列在 Microsoft Sentinel > ThreatIntelligenceIndicator 資料表中,這是在 Microsoft Sentinel 中的其他位置執行威脅情報查詢的基礎,例如分析或活頁簿。
若要在記錄中檢視您的威脅情報指標:
針對 Azure 入口網站中的 Microsoft Sentinel,在 [一般] 下,選取 [記錄]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [調查與回應]>[搜捕]>[進階搜捕]。ThreatIntelligenceIndicator 資料表位於 Microsoft Sentinel 群組底下。
選取資料表名稱旁的 [預覽資料] 圖示 (眼睛),然後選取 [在查詢編輯器中查看] 按鈕,執行將在此資料表中顯示記錄的查詢。
您的結果看起來應該會類似如此螢幕擷取畫面中所示的範例威脅指標:
建立和標記指標
[威脅情報] 頁面也讓您可以直接在 Microsoft Sentinel 介面內建立威脅指標,以及執行最常見的威脅情報管理工作:指標標記,以及建立與安全性調查相關的新指標。
建立新的指標
針對 Azure 入口網站中的 Microsoft Sentinel,於 [威脅管理] 底下,選取 [威脅情報]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[威脅管理]>[威脅情報]。在頁面頂端的功能表列中,選取 [新增] 按鈕。
選擇指標類型,然後完成 [新增指標] 面板上的表單。 必要欄位會標有紅色星號 (*)。
選取套用。 指標會新增至指標清單,也會傳送至 [記錄] 中的 ThreatIntelligenceIndicator 資料表。
標記和編輯威脅指標
標記威脅指標可將輕易地分組在一起,以便尋找指標。 一般來說,您可能會將標記套用至與特定事件相關的指標,或代表來自特定已知執行者或已知攻擊活動的威脅指標。 一旦您搜尋想要使用的指標、個別標記或多重選取指標,並以一或多個標籤一次標記全部標記。 由於標記是自由格式,建議的作法是為威脅指標標記建立標準命名慣例。
Microsoft Sentinel 也可讓您編輯指標,無論這些指標是直接在 Microsoft Sentinel 中建立,還是來自合作夥伴來源 (例如 TIP 和 TAXII 伺服器)。 對於在 Microsoft Sentinel 中建立的指標,所有欄位都是可編輯的。 若是來自合作夥伴來源的指標,則只有特定欄位可以編輯,包括標籤、[到期日]、[信賴度] 和 [已撤銷]。 無論哪種方式,請記住,只有最新版本的指標會顯示在威脅情報頁面檢視中。 如需指標更新方式的詳細資訊,請參閱瞭解威脅情報。
活頁簿提供關於威脅情報的深入解析
請使用按用途建置的 Microsoft Sentinel 活頁簿,將 Microsoft Sentinel 中有關於威脅情報的重要資訊視覺化,並根據您的業務需求自訂活頁簿。
以下說明如何尋找 Microsoft Sentinel 中提供的威脅情報活頁簿,並以範例說明如何編輯活頁簿而加以自訂。
在 Azure 入口網站中,瀏覽至 Microsoft Sentinel 服務。
使用威脅情報資料連接器,選擇已匯入威脅指標的工作區。
從 Microsoft Sentinel 功能表的 [威脅管理] 區段中,選取 [活頁簿]。
尋找標題為威脅情報的活頁簿,並確認您在 ThreatIntelligenceIndicator 資料表中有資料,如下所示。
選取 [儲存] 按鈕,然後選擇用來儲存活頁簿的 Azure 位置。 如果您要以任何方式修改活頁簿,並儲存您的變更,則需進行此步驟。
接著,選取 [檢視已儲存的活頁簿] 按鈕,將活頁簿開啟以供檢視和編輯。
您現在應該會看到範本提供的預設圖表。 若要修改圖表,請選取頁面頂端的 [編輯] 按鈕,以進入活頁簿的編輯模式。
依威脅類型新增威脅指標的圖表。 將頁面往下捲動,並選取 [新增查詢]。
將下列文字新增至 [Log Analytics 工作區記錄查詢] 文字方塊:
ThreatIntelligenceIndicator | summarize count() by ThreatType
在 [視覺效果] 下拉式清單中,選取 [橫條圖]。
選取 [已完成編輯] 按鈕。 您已為活頁簿建立新的圖表。
活頁簿提供了功能強大的互動式儀表板,可讓您深入了解 Microsoft Sentinel 的各個層面。 您可以使用活頁簿執行許多作業,而儘管提供的範本是絕佳的起點,您仍可深入探討及自訂這些範本,或建立結合許多不同資料來源的新儀表板,而以獨特的方式將資料視覺化。 由於 Microsoft Sentinel 活頁簿以 Azure 監視器活頁簿為基礎,因此已有大量的文件和更多範本可供使用。 參考本文的使用 Azure 監視器活頁簿建立互動式報告,是很好的起點。
GitHub 上也有為數眾多的 Azure 監視器活頁簿,可下載更多範本並貢獻您自己的範本。
相關內容
在本文中,您已瞭解在 Microsoft Sentinel 中使用威脅情報指標的所有方法。 若要進一步了解 Microsoft Sentinel 中的威脅情報,請參閱下列文章:
- 了解 Microsoft Sentinel 中的威脅情報。
- 將 Microsoft Sentinel 連線至 STIX/TAXII 威脅情報摘要。
- 查看哪些 TIP、TAXII 摘要和擴充可立即與 Microsoft Sentinel 整合。