Práce s indikátory hrozeb v Microsoft Sentinelu
Integrujte analýzu hrozeb do Služby Microsoft Sentinel prostřednictvím následujících aktivit:
- Import analýzy hrozeb do Služby Microsoft Sentinel povolením datových konektorů do různých platforem a informačních kanálů analýzy hrozeb.
- Zobrazení a správa importovaných inteligentních informací o hrozbách v protokolech a na stránce Analýzy hrozeb microsoft Sentinelu
- Detekujte hrozby a generujte výstrahy zabezpečení a incidenty pomocí předdefinovaných šablon pravidel Analytics na základě importované analýzy hrozeb.
- Vizualizujte klíčové informace o importované inteligenci hrozeb v Microsoft Sentinelu pomocí sešitu analýzy hrozeb.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Zobrazení indikátorů hrozeb v Microsoft Sentinelu
Naučte se pracovat s indikátory analýzy hrozeb v rámci Microsoft Sentinelu.
Vyhledání a zobrazení indikátorů na stránce Analýza hrozeb
Tento postup popisuje, jak zobrazit a spravovat indikátory na stránce Analýza hrozeb, ke které máte přístup z hlavní nabídky Služby Microsoft Sentinel. Pomocí stránky Analýza hrozeb můžete řadit, filtrovat a prohledávat importované indikátory hrozeb bez psaní dotazu Log Analytics.
Zobrazení indikátorů analýzy hrozeb na stránce Analýza hrozeb:
Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Analýzu hrozeb.
Pro Microsoft Sentinel na portálu Defender vyberte analýzu hrozeb pro správu>hrozeb v Microsoft Sentinelu>.
V mřížce vyberte indikátor, pro který chcete zobrazit další informace. Informace o indikátoru zahrnují úrovně spolehlivosti, značky a typy hrozeb.
Microsoft Sentinel zobrazuje v tomto zobrazení jenom nejaktuálnější verzi indikátorů. Další informace o tom, jak se indikátory aktualizují, najdete v tématu Vysvětlení analýzy hrozeb.
Indikátory IP adres a názvů domén jsou rozšířeny o další GeoLocation
údaje a WhoIs
data. Tato data poskytují další kontext pro šetření, kde se nachází vybraný indikátor.
Následuje příklad.
Důležité
GeoLocation
a WhoIs
rozšiřování je aktuálně ve verzi Preview. Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
Vyhledání a zobrazení indikátorů v protokolech
Tento postup popisuje, jak zobrazit importované indikátory hrozeb v oblasti protokolů Microsoft Sentinelu společně s dalšími daty událostí služby Microsoft Sentinel bez ohledu na zdrojový kanál nebo konektor, který jste použili.
Importované indikátory hrozeb jsou uvedené v tabulce Microsoft Sentinelu ThreatIntelligenceIndicator
. Tato tabulka je základem pro dotazy analýzy hrozeb spuštěné jinde v Microsoft Sentinelu, jako jsou analýzy nebo sešity.
Zobrazení indikátorů analýzy hrozeb v protokolech:
Pro Microsoft Sentinel na webu Azure Portal v části Obecné vyberte Protokoly.
Pro Microsoft Sentinel na portálu Defender vyberte Prošetření a proaktivní vyhledávání proaktivního vyhledávání> odpovědí.>
Tabulka
ThreatIntelligenceIndicator
se nachází ve skupině Microsoft Sentinel .Vyberte ikonu Náhled dat (oko) vedle názvu tabulky. Výběrem možnosti Zobrazit v editoru dotazů spustíte dotaz, který zobrazuje záznamy z této tabulky.
Výsledky by měly vypadat podobně jako indikátor ukázkové hrozby zobrazené tady.
Vytváření a označování indikátorů
Na stránce Analýza hrozeb můžete vytvářet indikátory hrozeb přímo v rozhraní Microsoft Sentinelu a provádět dvě běžné úlohy správy analýzy hrozeb: označování indikátorů a vytváření nových indikátorů souvisejících s vyšetřováním zabezpečení.
Vytvoření nového indikátoru
Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Analýzu hrozeb.
Pro Microsoft Sentinel na portálu Defender vyberte analýzu hrozeb pro správu>hrozeb v Microsoft Sentinelu>.
V řádku nabídek v horní části stránky vyberte Přidat nový.
Zvolte typ ukazatele a pak vyplňte formulář v podokně Nový indikátor . Požadovaná pole jsou označena hvězdičkou (*).
Vyberte Použít. Ukazatel se přidá do seznamu ukazatelů a také se odešle do
ThreatIntelligenceIndicator
tabulky v protokolech.
Označení a úprava indikátorů hrozeb
Označení indikátorů hrozeb je snadný způsob, jak je seskupit, aby bylo snazší je najít. Značky obvykle můžete použít u indikátoru souvisejícího s konkrétním incidentem nebo pokud indikátor představuje hrozby od určitého známého aktéra nebo dobře známé kampaně útoku. Po vyhledání indikátorů, se kterými chcete pracovat, je označte jednotlivě. Vícenásobný výběr indikátorů a jejich označení najednou pomocí jedné nebo více značek Vzhledem k tomu, že označování je bezplatné, doporučujeme vytvořit standardní zásady vytváření názvů pro značky indikátorů hrozeb.
Pomocí Služby Microsoft Sentinel můžete také upravovat indikátory, ať už byly vytvořeny přímo v Microsoft Sentinelu nebo pocházejí z partnerských zdrojů, jako jsou servery TIP a TAXII. U indikátorů vytvořených v Microsoft Sentinelu se všechna pole dají upravovat. U indikátorů, které pocházejí z partnerských zdrojů, se dají upravovat jenom konkrétní pole, včetně značek, data vypršení platnosti, spolehlivosti a odvolání. V obou směrech se na stránce Analýza hrozeb zobrazí jenom nejnovější verze indikátoru. Další informace o tom, jak se indikátory aktualizují, najdete v tématu Vysvětlení analýzy hrozeb.
Získání přehledu o inteligenci hrozeb pomocí sešitů
Pomocí účelového sešitu Microsoft Sentinel můžete vizualizovat klíčové informace o vaší analýze hrozeb v Microsoft Sentinelu a přizpůsobit sešit podle vašich obchodních potřeb.
Tady je postup, jak najít sešit analýzy hrozeb poskytovaný v Microsoft Sentinelu a příklad, jak sešit upravit a přizpůsobit ho.
Na webu Azure Portal přejděte na Microsoft Sentinel.
Zvolte pracovní prostor, do kterého jste importovali indikátory hrozeb pomocí datového konektoru analýzy hrozeb.
V části Správa hrozeb v nabídce Microsoft Sentinel vyberte Sešity.
Najděte sešit s názvem Analýza hrozeb. Ověřte, že máte data v
ThreatIntelligenceIndicator
tabulce.Vyberte Uložit a zvolte umístění Azure, do kterého chcete sešit uložit. Tento krok je povinný, pokud chcete sešit upravit jakýmkoli způsobem a uložit změny.
Teď vyberte Zobrazit uložený sešit a otevřete sešit pro zobrazení a úpravy.
Teď byste měli vidět výchozí grafy, které šablona poskytuje. Pokud chcete upravit graf, vyberte Upravit v horní části stránky a spusťte režim úprav sešitu.
Přidejte nový graf indikátorů hrozeb podle typu hrozby. Posuňte se do dolní části stránky a vyberte Přidat dotaz.
Do textového pole log query pracovního prostoru služby Log Analytics přidejte následující text:
ThreatIntelligenceIndicator | summarize count() by ThreatType
V rozevírací nabídce Vizualizace vyberte Pruhový graf.
Vyberte Úpravy dokončené a zobrazte nový graf sešitu.
Sešity poskytují výkonné interaktivní řídicí panely, které poskytují přehled o všech aspektech Služby Microsoft Sentinel. S sešity můžete provádět mnoho úkolů a poskytnuté šablony jsou skvělým výchozím bodem. Přizpůsobte si šablony nebo vytvořte nové řídicí panely kombinováním mnoha zdrojů dat, abyste svá data mohli vizualizovat jedinečnými způsoby.
Sešity Služby Microsoft Sentinel jsou založené na sešitech služby Azure Monitor, takže je k dispozici rozsáhlá dokumentace a mnoho dalších šablon. Další informace najdete v tématu Vytváření interaktivních sestav pomocí sešitů Azure Monitoru.
Existuje také bohatý prostředek pro sešity Azure Monitoru na GitHubu, kde si můžete stáhnout další šablony a přispívat vlastními šablonami.
Související obsah
V tomto článku jste se dozvěděli, jak pracovat s indikátory analýzy hrozeb v rámci Microsoft Sentinelu. Další informace o analýze hrozeb v Microsoft Sentinelu najdete v následujících článcích:
- Vysvětlení analýzy hrozeb v Microsoft Sentinelu
- Připojte Microsoft Sentinel k informačním kanálům ANALÝZY hrozeb STIX/TAXII.
- Podívejte se, které TIP, informační kanály TAXII a rozšiřování je možné snadno integrovat se službou Microsoft Sentinel.