Microsoft Sentinel 是雲端原生安全性資訊和事件管理 (SIEM) 解決方案,能夠內嵌、策劃和管理來自許多來源的威脅情報。
重要
Microsoft Sentinel 已在 Microsoft Defender 入口網站全面推出,包括對於沒有 Microsoft Defender XDR 或 E5 授權的客戶。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
威脅情報簡介
網路威脅情報 (CTI) 是描述對系統和使用者的現有或潛在威脅的資訊。 此情報採用許多形式,例如,書面報告會詳細說明特定威脅行為者的動機、基礎結構和技術。 這也可以是對 IP 位址、網域、檔案雜湊,以及與已知網路威脅相關聯的其他痕跡所進行的具體觀察。
組織會使用 CTI 來提供不尋常活動的基本內容,讓安全性人員可以快速採取動作來保護其人員、資訊和資產。 您可以從許多位置取得 CTI,例如:
- 開放原始碼數據摘要
- 威脅情報分享社群
- 商業情報摘要
- 在組織內的安全性調查過程中收集的本地情報
針對 Microsoft Sentinel 這類的 SIEM 解決方案,最常見的 CTI 形式是威脅指標,也稱為入侵指標 (IOC) 或攻擊指標。 威脅指標是將 URL、檔案雜湊或 IP 位址等觀察成品,與已知的威脅活動如網路釣魚、殭屍網路或惡意程式碼相關聯的資料。 這種形式的威脅情報通常稱為 戰術威脅情報。 這適用於安全性產品和大規模的自動化,用以偵測組織受到的潛在威脅,並加以防範。
威脅情報的另一個方面代表威脅執行者、其技術、戰術和程式(TTP)、其基礎結構,以及受害者的身份。 Microsoft Sentinel 支援管理這些 Facet 以及 IOC,使用交換 CTI 的開放原始碼標準 (名為結構化威脅資訊運算式,STIX) 來表示。 以 STIX 物件表示的威脅情報可改善互作性,並讓組織更有效率地搜捕。 使用 Microsoft Sentinel 中的威脅情報 STIX 對象來偵測您環境中觀察到的惡意活動,並提供攻擊的完整內容,以通知回應決策。
下表概述在 Sentinel Microsoft 中充分利用威脅情報 (TI) 整合所需的活動:
| 動作 | 描述 |
|---|---|
| 將威脅情報儲存在 Microsoft Sentinel 工作區中 |
|
| 管理威脅情報 |
|
| 使用威脅情報 |
|
威脅情報也可在其他 Microsoft Sentinel 體驗中提供有用的內容,例如筆記本。 如需詳細資訊,請參閱 開始使用筆記本和 MSTICPy。
附註
如需美國政府雲端中功能可用性的相關信息,請參閱 美國政府客戶雲端功能可用性中的 Microsoft Sentinel 數據表。
匯入和連線威脅情報
大部分的威脅情報都是使用數據連接器或 API 匯入。 配置資料擷取規則以減少雜訊,並確保情報饋送已優化。 以下是Microsoft Sentinel 可用的解決方案。
- Microsoft Defender 威脅情報 數據連接器以匯入Microsoft的威脅情報
- 威脅情報 - TAXII 資料連接器,用於處理業界標準的 STIX/TAXII 資料流
- 威脅情報上傳 API 透過 REST API 連線進行整合與精選的 TI 資料流(不需要資料連接器)
- 威脅情報平臺 數據連接器也會使用舊版 REST API 連接 TI 摘要,但位於淘汰的路徑上
視組織來源威脅情報的位置而定,以任何組合使用這些解決方案。 這些數據連接器作為威脅情報解決方案的一部分,都可以在內容中心取得。 如需此解決方案的詳細資訊,請參閱 Azure Marketplace 項目 威脅情報。
此外,請參閱 此目錄的威脅情報整合 ,這些整合可供Microsoft Sentinel 使用。
使用 Defender 威脅情報數據連接器將威脅情報新增至 Microsoft Sentinel
使用 Defender 威脅情報資料連接器,將 Defender 威脅情報所產生的公用、開放原始碼和高逼真度 IOC 導入您的 Microsoft Sentinel 工作區中。 透過簡單的單鍵設定,使用來自標準和進階 Defender 威脅情報資料連接器的威脅情報,進行監視、警示和搜捕。
數據連接器有兩個版本,標準和進階版本。 另外還有一個免費可用的 Defender 威脅情報威脅分析規則,提供進階 Defender 威脅情報數據連接器所提供的範例。 但在使用比對分析時,只有符合規則的指標會擷取到您的環境中。
進階 Defender 威脅情報資料連接器會擷取 Microsoft 擴充的開放原始碼情報以及 Microsoft 策展 IOC。 這些進階功能可讓分析更多數據源,並具有更大的彈性,並瞭解該威脅情報。 以下是一份表格,顯示授權並啟用進階版本時預期的情況。
| 免費 | 高級 |
|---|---|
| 公用 IOC | |
| 開放原始碼情報 (OSINT) | |
| Microsoft IOC | |
| Microsoft 擴充的 OSINT |
如需詳細資訊,請參閱下列文章:
- 若要瞭解如何取得進階授權並探索標準和進階版本之間的所有差異,請參閱 探索Defender威脅情報授權。
- 若要深入了解免費的 Defender 威脅情報體驗,請參閱 適用於 Microsoft Defender XDR 的 Defender 威脅情報免費體驗簡介。
- 若要瞭解如何啟用 Defender 威脅情報和進階 Defender 威脅情報數據連接器,請參閱 啟用 Defender 威脅情報數據連接器。
- 若要瞭解比對分析,請參閱 使用比對分析來偵測威脅。
使用上傳 API 將威脅情報新增至 Microsoft Sentinel
許多組織都使用威脅情報平台 (TIP) 解決方案來匯總來自各種來源的威脅指標摘要。 資料將從匯整的資料來源中進行整理,以套用至安全性解決方案,例如網路裝置、EDR/XDR 解決方案或 SIEM,例如 Microsoft Sentinel。 上傳 API 可讓您使用這些解決方案,將威脅情報 STIX 物件匯入至 Microsoft Sentinel。
新的上傳 API 不需要資料連接器,並提供下列改善:
- 威脅指標欄位以 STIX 標準化格式為基礎。
- Microsoft Entra 應用程式需要 Microsoft Sentinel 參與者角色。
- API 要求端點的範圍限於工作區層級。 必要的 Microsoft Entra 應用程式權限可讓您在工作區層級進行精細的指派。
如需詳細資訊,請參閱 使用上傳 API 連接威脅情報平臺
使用威脅情報平臺數據連接器將威脅情報新增至 Microsoft Sentinel
附註
此資料連接器現在位於取代的路徑上。
與上傳 API 類似,威脅情報平臺的數據連接器使用一種 API,讓您的 TIP 或自定義解決方案能夠將威脅情報匯入 Microsoft Sentinel。 不過,此資料連接器僅限於指標,目前正處於淘汰的階段。 建議您利用上傳 API 所提供的優化。
TIP 資料連接器會使用不支援其他 STIX 物件的 Microsoft Graph 安全性 tiIndicators API 。 將它與任何能夠透過 tiIndicators API 進行通訊的自定義 TIP 搭配使用,以將指標傳送至 Microsoft Sentinel,以及其他 Microsoft 安全性解決方案,例如 Defender XDR。
如需與Microsoft Sentinel 整合的 TIP 解決方案詳細資訊,請參閱 整合式威脅情報平台產品。 如需詳細資訊,請參閱 將威脅情報平台連接至 Microsoft Sentinel。
使用威脅情報 - TAXII 資料連接器將威脅情報新增至 Microsoft Sentinel
傳輸威脅情報的最廣泛採用業界標準是 STIX 數據格式和 TAXII 通訊協定的組合。 如果您的組織從支援目前 STIX/TAXII 版本 (2.0 或 2.1) 的解決方案取得威脅情報,請使用威脅情報 - TAXII 數據連接器,將威脅情報帶入Microsoft Sentinel。 威脅情報 - TAXII 資料連接器可讓 Microsoft Sentinel 中的內建 TAXII 用戶端從 TAXII 2.x 伺服器匯入威脅情報。
若要從 TAXII 伺服器將 STIX 格式的威脅情報匯入至Microsoft Sentinel:
- 取得 TAXII 伺服器 API 根目錄和集合識別碼。
- 在 Microsoft Sentinel 中啟用威脅情報 - TAXII 資料連接器。
如需詳細資訊,請參閱 將Microsoft Sentinel 連線至 STIX/TAXII 威脅情報摘要。
建立和管理威脅情報
Microsoft Sentinel 提供的威脅情報與 Microsoft Defender 威脅情報(MDTI)及威脅分析一起在 Microsoft Defender 入口網站中進行管理。
附註
Azure 入口網站中的威脅情報仍可從 Microsoft Sentinel>威脅管理>威脅情報存取。
其中兩個最常見的威脅情報工作是建立與安全性調查和新增標籤相關的新威脅情報。 管理介面透過幾個關鍵功能,簡化了整理和管理個別威脅情報的手動程序。
- 設定輸入規則,以優化來自傳入來源的威脅情報。
- 在您建立新的 STIX 物件時定義關聯性。
- 使用關係建立器策展現有的 TI。
- 從具有重複功能的新或現有 TI 物件複製通用元數據。
- 使用複選將自由格式標籤新增至物件。
Microsoft Sentinel 中提供下列 STIX 物件: 
| STIX 物件 | 描述 |
|---|---|
| 威脅執行者 | 從腳本小子 (Script Kiddies) 到民族國家,威脅行為者物件可說明動機、複雜度和資源層級。 |
| 攻擊模式 | 攻擊模式,也被稱為技術、策略和程序,描述了攻擊中的特定元件,以及使用在哪個 MITRE ATT&CK 階段。 |
| 指示器 |
Domain name、URL、IPv4 address、 IPv6 address和File hashesX509 certificates 可用來驗證裝置和伺服器的身分識別,以透過因特網進行安全通訊。
JA3 指紋是從 TLS/SSL 交握程式產生的唯一標識碼。 它們有助於識別網路流量中使用的特定應用程式和工具,使惡意活動的偵測變得更加容易,而指紋則透過在指紋識別過程中加入伺服器特定特性來擴展 JA3 的功能。 此延伸模組提供更完整的網路流量檢視,並協助識別客戶端和伺服器端威脅。
User agents 提供客戶端軟體向伺服器提出要求的相關信息,例如瀏覽器或作系統。 它們有助於識別和分析存取網路的裝置和應用程式。 |
| 身份 | 描述受害者、組織和其他群組或個人,以及與其最密切關聯的商務部門。 |
| 關係 | 連接威脅情報的線索,幫助在各種分散的訊號和數據點之間建立連結,並用關係來描述。 |
設定導入規則
將威脅情報摘要優化,方法是先篩選和增強物件,再將其傳遞至您的工作區。 擷取規則會更新屬性,或將物件全部篩選掉。 下表列出一些使用案例:
| 擷取規則使用案例 | 描述 |
|---|---|
| 減少雜訊 | 篩選掉未更新 6 個月且信賴度低的舊威脅情報。 |
| 延長有效日期 | 將 Valid until 延長 30 天,藉以提升信任來源的高逼真度 IOC。 |
| 記住舊的日子 | 新的威脅演員分類法很棒,但一些分析師希望一定要標記舊的名字。 |
請留意下列使用擷取規則的提示:
- 所有規則都會依序套用。 要擷取的威脅情報物件將會由每個規則處理,直到執行
Delete動作為止。 若未對物件執行任何動作,則會依原狀從來源加以擷取。 -
Delete動作表示略過威脅情報物件而不加以擷取,也就是將其從管線中移除。 任何已匯入的舊版物件都不會受到影響。 - 新的和編輯的規則最多需要15分鐘才會生效。
如需詳細資訊,請參閱 使用威脅情報擷取規則。
建立關聯
藉由建立對象與關聯性產生器之間的連線,來增強威脅偵測和回應。 下表列出一些使用案例:
| 關聯性使用案例 | 描述 |
|---|---|
| 將威脅行為者連結至攻擊模式 | 威脅執行者 APT29使用 攻擊模式 Phishing via Email 來取得初始存取權。 |
| 將指標連結至威脅執行者 | 網域指標 allyourbase.contoso.com 歸因於威脅行動者 。 |
| 將身分識別 (受害者) 與攻擊模式產生關聯 | 攻擊模式Phishing via Email以組織為目標FourthCoffee。 |
下圖顯示關聯性產生器如何連接所有這些使用案例。
整理威脅情報
藉由指定稱為「交通燈通訊協定」(TLP)的敏感度層級,設定哪些 TI 物件可以與適當的對象共用。
| TLP 色彩 | 敏感度 |
|---|---|
| 白色 | 資訊可以自由和公開地共用,而不受任何限制。 |
| 綠色 | 資訊可以與社群內的對等和合作夥伴組織共用,但無法公開分享。 它適用於社群中更廣泛的受眾。 |
| 琥珀 | 資訊可以與組織成員共用,但無法公開分享。 它的目的是在組織內用來保護敏感性資訊。 |
| 紅色 | 資訊高度敏感,不應在最初披露的特定群組或會議外部共用。 |
當您建立或編輯 TI 物件時,請在 UI 中設定 TLP 值。 透過 API 設定 TLP 較不直覺,而且需要選擇四 marking-definition 個物件 GUID 中的一個。 如需透過 API 設定 TLP 的詳細資訊,請參閱 上傳 API 的一般屬性中的object_marking_refs
另一種策展 TI 的方式是使用標籤。 標記威脅情報是將物件分組在一起,使其更容易找到的快速方式。 一般而言,您可能會套用與特定事件相關的標籤。 但是,如果物件代表來自特定已知行為者或知名攻擊活動的威脅,請考慮建立關係,而不是標籤。 搜尋並篩選您想要使用的威脅情報之後,可以個別標記或同時選取並一次性地標記所有項目。 因為標記是自由格式的,因此建議您為威脅情報標記建立標準命名慣例。
如需詳細資訊,請參閱 在 Microsoft Sentinel 中使用威脅情報。
檢視您的威脅情報
從管理介面或使用查詢檢視威脅情報:
從管理介面,使用進階搜尋來排序和篩選您的威脅情報物件,甚至不需要撰寫Log Analytics查詢。
使用查詢從 Azure 入口網站中的記錄或 Defender 入口網站中的進階搜尋檢視威脅情報。
無論哪種方式,
ThreatIntelligenceIndicatorMicrosoft Sentinel 架構下的數據表都是儲存所有 Microsoft Sentinel 威脅指標的位置。 此資料表是其他 Microsoft Sentinel 功能 (如分析、搜捕查詢和活頁簿) 所執行之威脅情報查詢的基礎。
重要
在 2025 年 4 月 3 日,我們公開預覽了兩個新的數據表,以支援 STIX 指標和物件架構: ThreatIntelIndicators 和 ThreatIntelObjects。 Microsoft Sentinel 會將所有威脅情報擷取到這些新數據表,同時繼續將相同的數據內嵌至舊 ThreatIntelligenceIndicator 版數據表,直到 2025 年 7 月 31 日為止。
請務必在 2025 年 7 月 31 日前更新自定義查詢、分析和偵測規則、活頁簿和自動化,以使用新的數據表。 在此日期之後,Microsoft Sentinel 會停止將數據內嵌至舊版 ThreatIntelligenceIndicator 數據表。 我們正在更新內容中樞內所有現用的威脅情報解決方案,以利用新的數據表。 如需新數據表架構的詳細資訊,請參閱 ThreatIntelIndicators 和 ThreatIntelObjects。
如需使用和移轉至新資料表的資訊,請參閱 使用 STIX 物件來增強 Microsoft Sentinel 中的威脅情報和威脅狩獵(預覽)。。
威脅情報生命週期
Microsoft Sentinel 會將威脅情報數據儲存在您的威脅情報數據表中,並每隔七天自動重新擷取所有數據,以優化查詢效率。
建立、更新或刪除指標時,Microsoft Sentinel 會在資料表中建立新的記錄。 只有最新的指標會出現在管理介面上。 Microsoft Sentinel 會根據 Id 屬性 (舊版 IndicatorId 中的 ThreatIntelligenceIndicator 屬性) 對指標刪除重複資料,然後選擇具有最新 TimeGenerated[UTC] 的指標。
屬性 Id 是由 base64 編碼的 SourceSystem 值、---(三個破折號),以及 stixId(也就是 Data.Id 值)串連而成的。
檢視您的 GeoLocation 和 WhoIs 資料擴充 (公開預覽版)
Microsoft 透過額外的 GeoLocation 和 WhoIs 資料來豐富 IP 和網域指標,為發現所選 IOC 的調查提供更多背景資訊。
在 [威脅情報]GeoLocation 窗格上檢視 WhoIs 和 資料,以了解匯入至 Microsoft Sentinel 的威脅指標類型。
例如,使用 GeoLocation 數據來尋找IP指標的組織或國家或地區等資訊。 使用 WhoIs 資料來尋找註冊機構之類的資料,並從網域指標記錄建立資料。
使用威脅指標型分析來偵測威脅
MICROSOFT Sentinel 等 SIEM 解決方案中威脅情報的最重要使用案例是為威脅偵測提供分析規則。 這些指標型規則會比較資料來源中的原始事件與您的威脅指標,以偵測組織中是否有安全性威脅。 在 Microsoft Sentinel Analytics 中,您可以建立由排程執行併產生安全性警示之查詢所提供的分析規則。 經由設定,可以決定規則的執行頻率、何種查詢結果應產生安全性警示和事件,以及何時觸發自動化回應 (選擇性)。
雖然您可以從頭建立新的分析規則,但 Microsoft Sentinel 提供 Microsoft 安全性工程師所建立的一組內建規則範本,以充分運用您的威脅指標。 這些範本以您想要比對的威脅指標類型 (網域、電子郵件、檔案雜湊、IP 位址或 URL) 和資料來源事件為基礎。 每個範本都會列出規則運作所需的必要來源。 這項資訊可讓您輕鬆判斷必要的事件是否已匯入 Microsoft Sentinel 中。
根據預設,觸發這些內建規則時,將會建立警示。 在 Microsoft Sentinel 中,從分析規則產生的警示也會產生安全性事件。 在 [Microsoft Sentinel] 功能表的 [威脅管理] 底下,選取 [事件]。 事件會由安全性作業小組分類並調查,以決定適當的回應動作。 如需詳細資訊,請參閱 教學課程:使用 Microsoft Sentinel 調查事件。
如需在分析規則中使用威脅指標的詳細資訊,請參閱 使用威脅情報來偵測威脅。
Microsoft 透過 Defender 威脅情報分析規則提供對其威脅情報的存取。 如需如何利用此規則以產生高精確度警示和事件的詳細資訊,請參閱 使用比對分析來偵測威脅。
活頁簿提供關於威脅情報的深入解析
活頁簿提供了功能強大的互動式儀表板,可讓您深入了解 Microsoft Sentinel 的各個層面,威脅情報也不例外。 使用內建 威脅情報 活頁簿,將威脅情報的重要資訊可視化。 根據您的業務需求自定義活頁簿。 建立結合許多資料來源的新儀表板,以便以獨特的方式將資料視覺化。
由於 Microsoft Sentinel 活頁簿以 Azure 監視器活頁簿為基礎,因此已有大量的文件和更多範本可供使用。 如需詳細資訊,請參閱 使用 Azure 監視器活頁簿建立互動式報表。
GitHub 上的 Azure 監視器活頁簿也有豐富的資源,您可以在其中下載更多範本並貢獻您自己的範本。
如需使用和自定義 威脅情報 活頁簿的詳細資訊,請參閱 使用活頁簿將威脅情報可視化。
相關內容
在本文中,您已瞭解由 Microsoft Sentinel 提供的威脅情報功能。 如需詳細資訊,請參閱下列文章: