Sdílet prostřednictvím

Práce s analýzou hrozeb v Microsoft Sentinelu

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Urychlete detekci a nápravu hrozeb díky zjednodušenému vytváření a správě inteligentních hrozeb. Tento článek ukazuje, jak zajistit největší integraci analýzy hrozeb v rozhraní pro správu bez ohledu na to, jestli k ní přistupujete z Microsoft Sentinelu na webu Azure Portal nebo na portálu Defender.

  • Vytváření objektů analýzy hrozeb pomocí výrazu s informacemi o strukturovaných hrozbách (STIX)
  • Správa analýzy hrozeb zobrazením, kurátorováním a vizualizací

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Přístup k rozhraní pro správu

V závislosti na tom, kde chcete pracovat s analýzami hrozeb, použijte jednu z následujících karet. I když se k rozhraní pro správu přistupuje jinak v závislosti na tom, který portál používáte, mají úlohy vytváření a správy stejný postup, jakmile se tam dostanete.

Na portálu Defender přejděte do správy Intel analýzy>hrozeb.

Snímek obrazovky s položkou nabídky Intel Management na portálu Defender

Vytvoření analýzy hrozeb

Pomocí rozhraní pro správu můžete vytvářet objekty STIX a provádět další běžné úlohy analýzy hrozeb, jako je označování indikátorů a navazování propojení mezi objekty.

  • Definujte relace při vytváření nových objektů STIX.
  • Pomocí duplicitní funkce můžete rychle vytvořit více objektů a zkopírovat metadata z nového nebo existujícího objektu TI.

Další informace o podporovanýchobjektch

Vytvoření nového objektu STIX

  1. Vyberte Přidat nový>objekt TI.

    Snímek obrazovky znázorňující přidání nového indikátoru hrozby

  2. Zvolte typ objektu a pak vyplňte formulář na stránce Nový objekt TI. Povinná pole jsou označená červenou hvězdičkou (*).

  3. Zvažte určení hodnoty citlivosti nebo hodnocení TLP (Traffic Light Protocol ) pro objekt TI. Další informace o tom, co hodnoty představují, najdete v tématu Curate threat intelligence.

  4. Pokud víte, jak se tento objekt vztahuje k jinému objektu analýzy hrozeb, uveďte, že spojení s typem relace a odkazem Cíl.

  5. Pokud chcete vytvořit více položek se stejnými metadaty, vyberte Přidat pro jednotlivé objekty nebo Přidat a duplikovat . Následující obrázek znázorňuje společnou část metadat každého objektu STIX, která jsou duplikována.

Snímek obrazovky znázorňující vytvoření nového objektu STIX a společná metadata dostupná pro všechny objekty

Správa analýzy hrozeb

Optimalizujte TI z vašich zdrojů pomocí pravidel příjmu dat. Kurátorujte stávající TI s tvůrcem relací. Pomocí rozhraní pro správu můžete vyhledávat, filtrovat a řadit a pak do analýzy hrozeb přidávat značky.

Optimalizace informačních kanálů analýzy hrozeb s využitím pravidel příjmu dat

Snižte šum z informačních kanálů TI, rozšiřte platnost indikátorů s vysokou hodnotou a přidejte do příchozích objektů smysluplné značky. Toto jsou jen některé případy použití pravidel příjmu dat. Tady jsou kroky pro rozšíření data platnosti u ukazatelů vysoké hodnoty.

  1. Výběrem pravidel příjmu dat otevřete celou novou stránku pro zobrazení existujících pravidel a vytvoření nové logiky pravidla.

    Snímek obrazovky znázorňující nabídku správy analýzy hrozeb, která se zobrazuje při přechodu na pravidla příjmu dat

  2. Zadejte popisný název pravidla. Stránka pravidel příjmu dat má pro název řadu pravidel, ale je to jediný textový popis, který je k dispozici k rozlišení pravidel bez jejich úprav.

  3. Vyberte typ objektu. Tento případ použití je založen na rozšíření Valid from vlastnosti, která je k dispozici pouze pro Indicator typy objektů.

  4. Přidejte podmínku a SourceEquals vyberte vysokou hodnotu Source.

  5. Přidejte podmínkuConfidence a ConfidenceGreater than or equal zadejte skóre.

  6. Vyberte akci. Vzhledem k tomu, že chceme tento indikátor upravit, vyberte Edit.

  7. Vyberte akci Přidat pro Valid untilpoložku a Extend byvyberte časové období ve dnech.

  8. Zvažte přidání značky, která označuje vysokou hodnotu umístěnou na těchto indikátorech, například Extended. Datum změny se neaktualizuje pravidly příjmu dat.

  9. Vyberte pořadí, ve které má pravidlo běžet. Pravidla se spouštějí z nejnižšího čísla objednávky na nejvyšší. Každé pravidlo vyhodnocuje každý přijatý objekt.

  10. Pokud je pravidlo připravené k povolení, přepněte stav na zapnuto.

  11. Výběrem možnosti Přidat vytvořte pravidlo příjmu dat.

Snímek obrazovky znázorňující vytvoření nového pravidla příjmu dat pro prodloužení platnosti do data

Další informace najdete v tématu Vysvětlení pravidel příjmu analýzy hrozeb.

Kurátorovat analýzu hrozeb pomocí tvůrce vztahů

Propojení objektů analýzy hrozeb s tvůrcem relací V tvůrci je maximálně 20 relací, ale více připojení je možné vytvořit prostřednictvím několika iterací a přidáním cílových odkazů relací pro nové objekty.

  1. Začněte objektem, jako je objekt actor hrozby nebo vzor útoku, ve kterém se jeden objekt připojuje k jednomu nebo více objektům, jako jsou indikátory.

  2. Přidejte typ relace podle osvědčených postupů popsaných v následující tabulce a v souhrnné tabulce referenčních relací STIX 2.1:

Typ vztahu Popis
Duplikát odvozeného ze
souvisejícího
 Běžné relace definované pro libovolný objekt domény STIX (SDO)
Další informace naleznete v tématu STIX 2.1 referenční informace o společných relacích.
Cíle Attack pattern nebo Threat actor cíle Identity
Používá Threat actor Používá Attack pattern
Přiřazeno Threat actor Přiřazeno Identity
Označuje Indicator Attack pattern Označuje neboThreat actor
Zosobňuje Threat actor Zosobňuje Identity

Následující obrázek ukazuje propojení mezi objektem actor hrozby a vzorem útoku, indikátorem a identitou pomocí tabulky typu relace.

Snímek obrazovky znázorňující tvůrce relací

Zobrazení analýzy hrozeb v rozhraní pro správu

Pomocí rozhraní pro správu můžete řadit, filtrovat a prohledávat analýzu hrozeb z libovolného zdroje, ze které byly přijaty, aniž byste museli psát dotaz Log Analytics.

  1. V rozhraní pro správu rozbalte nabídku Co chcete hledat?

  2. Vyberte typ objektu STIX nebo ponechte výchozí všechny typy objektů.

  3. Vyberte podmínky pomocí logických operátorů.

  4. Vyberte objekt, o který chcete zobrazit další informace.

Na následujícím obrázku se k hledání použilo více zdrojů tak, že je umístilo do OR skupiny, zatímco operátor seskupil AND více podmínek.

Snímek obrazovky znázorňující operátor OR v kombinaci s několika podmínkami AND pro vyhledávání analýzy hrozeb

Microsoft Sentinel zobrazuje v tomto zobrazení jenom nejnovější verzi informací o hrozbách. Další informace o tom, jak se objekty aktualizují, najdete v tématu Vysvětlení analýzy hrozeb.

Indikátory IP adres a názvů domén jsou rozšířeny o další GeoLocation data a WhoIs data, abyste mohli poskytnout další kontext pro všechna šetření, ve kterých se nachází indikátor.

Následuje příklad.

Snímek obrazovky zobrazující stránku Analýzy hrozeb s indikátorem, který zobrazuje data GeoLocation a WhoIs

Důležité

GeoLocation a WhoIs rozšiřování je aktuálně ve verzi Preview. Doplňkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.

Označení a úprava analýzy hrozeb

Označování inteligentních hrozeb je rychlý způsob, jak seskupit objekty dohromady, aby bylo snazší je najít. Obvykle můžete použít značky související s konkrétním incidentem. Pokud ale objekt představuje hrozby od určitého známého aktéra nebo dobře známé kampaně útoku, zvažte vytvoření relace místo značky.

  1. Pomocí rozhraní pro správu můžete řadit, filtrovat a hledat analýzu hrozeb.
  2. Jakmile najdete objekty, se kterými chcete pracovat, vyberte vícenásobný výběr jednoho nebo více objektů stejného typu.
  3. Vyberte Přidat značky a označte je všechny najednou pomocí jedné nebo více značek.
  4. Vzhledem k tomu, že označování je bezplatné, doporučujeme vytvořit standardní zásady vytváření názvů pro značky ve vaší organizaci.

Upravte analýzu hrozeb vždy jeden objekt, ať už je vytvořený přímo ve službě Microsoft Sentinel nebo z partnerských zdrojů, jako jsou servery TIP a TAXII. U informací o hrozbách vytvořených v rozhraní pro správu se dají upravit všechna pole. U informací o hrozbách přijatých z partnerských zdrojů se dají upravovat jenom konkrétní pole, včetně značek, data vypršení platnosti, spolehlivosti a odvolání. V obou směrech se v rozhraní pro správu zobrazí pouze nejnovější verze objektu.

Další informace o tom, jak se aktualizují informace o hrozbách, najdete v tématu Zobrazení analýzy hrozeb.

Vyhledání a zobrazení indikátorů pomocí dotazů

Tento postup popisuje, jak zobrazit indikátory hrozeb v Log Analytics společně s dalšími daty událostí Služby Microsoft Sentinel bez ohledu na zdrojový kanál nebo metodu, kterou jste použili k jejich ingestování.

Indikátory hrozeb jsou uvedené v tabulce Microsoft Sentinelu ThreatIntelligenceIndicator . Tato tabulka je základem pro dotazy analýzy hrozeb prováděné jinými funkcemi Microsoft Sentinelu, jako jsou analýzy, proaktivní vyhledávání a sešity.

Zobrazení indikátorů analýzy hrozeb:

  1. Pro Microsoft Sentinel na webu Azure Portal v části Obecné vyberte Protokoly.

    Pro Microsoft Sentinel na portálu Defender vyberte Prošetření a proaktivní vyhledávání proaktivního vyhledávání> odpovědí.>

  2. Tabulka ThreatIntelligenceIndicator se nachází ve skupině Microsoft Sentinel .

  3. Vyberte ikonu Náhled dat (oko) vedle názvu tabulky. Výběrem možnosti Zobrazit v editoru dotazů spustíte dotaz, který zobrazuje záznamy z této tabulky.

    Výsledky by měly vypadat podobně jako indikátor ukázkové hrozby zobrazené tady.

    Snímek obrazovky znázorňující ukázkové výsledky tabulky ThreatIntelligenceIndicator s rozbalenými podrobnostmi

Vizualizace analýzy hrozeb pomocí sešitů

Pomocí účelového sešitu Microsoft Sentinel můžete vizualizovat klíčové informace o vaší analýze hrozeb v Microsoft Sentinelu a přizpůsobit sešit podle vašich obchodních potřeb.

Tady je postup, jak najít sešit analýzy hrozeb poskytovaný v Microsoft Sentinelu a příklad, jak sešit upravit a přizpůsobit ho.

  1. Na webu Azure Portal přejděte na Microsoft Sentinel.

  2. Zvolte pracovní prostor, do kterého jste importovali indikátory hrozeb pomocí datového konektoru analýzy hrozeb.

  3. V části Správa hrozeb v nabídce Microsoft Sentinel vyberte Sešity.

  4. Najděte sešit s názvem Analýza hrozeb. Ověřte, že máte data v ThreatIntelligenceIndicator tabulce.

    Snímek obrazovky znázorňující ověření, že máte data

  5. Vyberte Uložit a zvolte umístění Azure, do kterého chcete sešit uložit. Tento krok je povinný, pokud chcete sešit upravit jakýmkoli způsobem a uložit změny.

  6. Teď vyberte Zobrazit uložený sešit a otevřete sešit pro zobrazení a úpravy.

  7. Teď byste měli vidět výchozí grafy, které šablona poskytuje. Pokud chcete upravit graf, vyberte Upravit v horní části stránky a spusťte režim úprav sešitu.

  8. Přidejte nový graf indikátorů hrozeb podle typu hrozby. Posuňte se do dolní části stránky a vyberte Přidat dotaz.

  9. Do textového pole log query pracovního prostoru služby Log Analytics přidejte následující text:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

    Další informace o následujících položkách použitých v předchozím příkladu najdete v dokumentaci Kusto:

  10. V rozevírací nabídce Vizualizace vyberte Pruhový graf.

  11. Vyberte Úpravy dokončené a zobrazte nový graf sešitu.

    Snímek obrazovky znázorňující pruhový graf sešitu

Sešity poskytují výkonné interaktivní řídicí panely, které poskytují přehled o všech aspektech Služby Microsoft Sentinel. S sešity můžete provádět mnoho úkolů a poskytnuté šablony jsou skvělým výchozím bodem. Přizpůsobte si šablony nebo vytvořte nové řídicí panely kombinováním mnoha zdrojů dat, abyste svá data mohli vizualizovat jedinečnými způsoby.

Sešity Služby Microsoft Sentinel jsou založené na sešitech služby Azure Monitor, takže je k dispozici rozsáhlá dokumentace a mnoho dalších šablon. Další informace najdete v tématu Vytváření interaktivních sestav pomocí sešitů Azure Monitoru.

Existuje také bohatý prostředek pro sešity Azure Monitoru na GitHubu, kde si můžete stáhnout další šablony a přispívat vlastními šablonami.

Související obsah

Další informace najdete v následujících článcích:

Další informace o KQL najdete v přehledu dotazovací jazyk Kusto (KQL).

Další zdroje informací: