在 Microsoft Sentinel 中使用威脅指標
透過下列活動,將威脅情報整合至 Microsoft Sentinel 中:
- 藉由啟用各種威脅情報平台和摘要的資料連接器,將威脅情報匯入 Microsoft Sentinel 中。
- 在 [記錄] 和 Microsoft Sentinel 的 [威脅情報] 頁面中,檢視及管理匯入的威脅情報。
- 根據您匯入的威脅情報,使用內建的分析規則範本來偵測威脅,並產生安全性警示和事件。
- 使用威脅情報活頁簿,以在 Microsoft Sentinel 中視覺化已匯入威脅情報的重要資訊。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
在 Microsoft Sentinel 中檢視您的威脅指標
了解如何在整個 Microsoft Sentinel 中使用威脅情報指標。
在 [威脅情報] 頁面尋找及檢視您的指標
此程序說明如何在 [威脅情報] 頁面檢視及管理指標,此頁面可從主要 Microsoft Sentinel 功能表存取。 使用 [威脅情報] 頁面來排序、篩選和搜尋您匯入的威脅指標,而無須撰寫 Log Analytics 查詢。
若要在 [威脅情報] 頁面檢視威脅情報指標:
針對 Azure 入口網站中的 Microsoft Sentinel,於 [威脅管理] 底下,選取 [威脅情報]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[威脅管理]>[威脅情報]。
從格線中選取您要檢視更多詳細資料的指標。 指標的資訊包括信賴度等級、標籤和威脅類型。
Microsoft Sentinel 只會在此檢視中顯示最新的指標版本。 如需指標更新方式的詳細資訊,請參閱瞭解威脅情報。
IP 和網域名稱指標會以額外的 GeoLocation 和 WhoIs 資料擴充。 此資料會提供更多內容來調查所選取指標的位置。
以下是範例。
![[威脅情報] 頁面的螢幕擷取畫面,其中含有顯示 GeoLocation 和 WhoIs 資料的指標。](media/work-with-threat-indicators/geolocation-whois-unified.png#lightbox)
重要
GeoLocation 和 WhoIs 擴充目前為預覽狀態。 Azure 預覽補充條款包含適用於搶鮮版 (Beta)、預覽版,或尚未正式發行的版本 Azure 功能的其他法律條款。
在記錄中尋找及檢視您的指標
此程序說明如何在 Microsoft Sentinel 的 [記錄] 區域中檢視您匯入的威脅指標以及其他 Microsoft Sentinel 事件資料,無論來源摘要或使用的連接器為何。
匯入的威脅指標會列在 Microsoft Sentinel ThreatIntelligenceIndicator 資料表中。 此資料表是在 Microsoft Sentinel 中其他地方 (例如 Analytics 或 Workbooks) 執行威脅情報查詢的基礎。
若要在 [記錄] 中檢視您的威脅情報指標:
針對 Azure 入口網站中的 Microsoft Sentinel,在 [一般] 下,選取 [記錄]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [調查與回應]>[搜捕]>[進階搜捕]。
ThreatIntelligenceIndicator資料表位於 Microsoft Sentinel 群組底下。選取資料表名稱旁的 [預覽資料] 圖示 (眼睛)。 選取 [在查詢編輯器中查看],以執行顯示此資料表記錄的查詢。
您的結果看起來應該會類似這裡所顯示的範例威脅指標。
建立和標記指標
使用 [威脅情報] 頁面直接在 Microsoft Sentinel 介面內建立威脅指標,以及執行兩個常見的威脅情報管理工作: 指標標記,以及建立與安全性調查相關的新指標。
建立新的指標
針對 Azure 入口網站中的 Microsoft Sentinel,於 [威脅管理] 底下,選取 [威脅情報]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[威脅管理]>[威脅情報]。
在頁面頂端的功能表列上,選取 [新增新的]。
選擇指標類型,然後填寫 [新指標] 面板上的表單。 必要欄位會標有星號 (*)。
選取套用。 指標會新增至指標清單,也會傳送至 [記錄] 中的
ThreatIntelligenceIndicator資料表。
標記和編輯威脅指標
標記威脅指標可將輕易地分組在一起,以便尋找指標。 一般來說,您可能會將標籤套用至與特定事件相關的指標,或代表來自特定已知行為者或已知攻擊活動之威脅的指標。 搜尋您想要使用的指標之後,個別加以標記。 多重選取指標,並以一或多個標籤同時將其全部標記。 由於標記採自由格式,建議您為威脅指標標籤建立標準命名慣例。
有了 Microsoft Sentinel,您也可以編輯指標,無論這些指標是直接在 Microsoft Sentinel 中建立,還是來自合作夥伴來源 (例如 TIP 和 TAXII 伺服器)。 對於在 Microsoft Sentinel 中建立的指標,所有欄位都是可編輯的。 針對來自合作夥伴來源的指標,只可以編輯特定欄位,包括標籤、[到期日]、[信賴度] 和 [已撤銷]。 無論如何,只有指標的最新版本會顯示在 [威脅情報] 頁面。 如需指標更新方式的詳細資訊,請參閱瞭解威脅情報。
使用活頁簿取得關於威脅情報的深入解析
請使用按用途建置的 Microsoft Sentinel 活頁簿,將 Microsoft Sentinel 中有關於威脅情報的重要資訊視覺化,並根據您的業務需求自訂活頁簿。
以下說明如何尋找 Microsoft Sentinel 中提供的威脅情報活頁簿,並以範例說明如何編輯活頁簿而加以自訂。
從 Azure 入口網站移至 Microsoft Sentinel。
選擇您使用任一威脅情報資料連接器匯入威脅指標的工作區。
從 Microsoft Sentinel 功能表的 [威脅管理] 區段中,選取 [活頁簿]。
尋找標題為 [威脅情報] 的活頁簿。 確認您在
ThreatIntelligenceIndicator資料表中有資料。
選取 [儲存],然後選擇用來儲存活頁簿的 Azure 位置。 如果您意圖以任何方式修改活頁簿,並儲存您的變更,則需進行此步驟。
現在,選取 [檢視已儲存的活頁簿] 以開啟活頁簿以供檢視和編輯。
您現在應該會看到範本提供的預設圖表。 若要修改圖表,請選取頁面頂端的 [編輯] 以開始活頁簿的編輯模式。
依威脅類型新增威脅指標的圖表。 將頁面往下捲動,並選取 [新增查詢]。
將下列文字新增至 [Log Analytics 工作區記錄查詢] 文字方塊:
ThreatIntelligenceIndicator | summarize count() by ThreatType從 [視覺效果] 下拉式功能表中,選取 [橫條圖]。
選取 [完成編輯],然後檢視活頁簿的新圖表。
活頁簿提供了功能強大的互動式儀表板,可讓您深入了解 Microsoft Sentinel 的各個層面。 您可以使用活頁簿執行許多工作,而提供的範本是絕佳的起點。 藉由結合許多資料來源來自訂範本或建立新的儀表板,您可以用獨特的方式將資料視覺化。
Microsoft Sentinel 活頁簿以 Azure 監視器活頁簿為基礎,因此有各式各樣的文件和更多範本可供您使用。 如需詳細資訊,請參閱使用 Azure 監視器活頁簿建立互動式報表。
GitHub 上也有豐富的 Azure 監視器活頁簿資源,您可以從中下載更多範本,和貢獻您自己的範本。
相關內容
您已在本文了解如何在整個 Microsoft Sentinel 中使用威脅情報指標。 若要進一步了解 Microsoft Sentinel 中的威脅情報,請參閱下列文章:
- 了解 Microsoft Sentinel 中的威脅情報。
- 將 Microsoft Sentinel 連線至 STIX/TAXII 威脅情報摘要。
- 查看哪些 TIP、TAXII 摘要和擴充可立即與 Microsoft Sentinel 整合。