Condividi tramite

Usare l'intelligence sulle minacce di Microsoft Sentinel

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Accelerare il rilevamento e la correzione delle minacce con la creazione e la gestione semplificate dell'intelligence sulle minacce. Questo articolo illustra come sfruttare al meglio l'integrazione dell'intelligence per le minacce nell'interfaccia di gestione, sia che si stia accedendo da Microsoft Sentinel nella portale di Azure o usando la piattaforma SecOps unificata di Microsoft.

  • Creare oggetti intelligence per le minacce usando l'espressione di informazioni sulle minacce strutturata (STIX)
  • Gestire l'intelligence sulle minacce visualizzando, curando e visualizzando

Importante

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Accedere all'interfaccia di gestione

Fare riferimento a una delle schede seguenti, a seconda della posizione in cui si vuole usare l'intelligence sulle minacce. Anche se l'interfaccia di gestione è accessibile in modo diverso a seconda del portale usato, le attività di creazione e gestione hanno gli stessi passaggi una volta arrivati.

Nel portale di Defender passare a Gestione Intel di Intelligence>per le minacce.

Screenshot che mostra la voce di menu Intel Management nel portale di Defender.

Creare intelligence sulle minacce

Usare l'interfaccia di gestione per creare oggetti STIX ed eseguire altre attività comuni di intelligence sulle minacce, ad esempio l'assegnazione di tag agli indicatori e la definizione di connessioni tra oggetti.

  • Definire le relazioni durante la creazione di nuovi oggetti STIX.
  • Creare rapidamente più oggetti usando la funzionalità duplicata per copiare i metadati da un oggetto TI nuovo o esistente.

Per altre informazioni sugli oggetti STIX supportati, vedere Informazioni sull'intelligence sulle minacce.

Creare un nuovo oggetto STIX

  1. Selezionare Aggiungi nuovo>oggetto TI.

    Screenshot che mostra l'aggiunta di un nuovo indicatore di minaccia.

  2. Scegliere Tipo di oggetto, quindi compilare il modulo nella pagina Nuovo oggetto TI. I campi obbligatori sono contrassegnati con un asterisco rosso (*).

  3. Se si conosce il modo in cui questo oggetto è correlato a un altro oggetto intelligence per le minacce, indicare che la connessione con il tipo di relazione e il riferimento target.

  4. Selezionare Aggiungi per un singolo oggetto o Aggiungi e duplicato se si desidera creare più elementi con gli stessi metadati. L'immagine seguente mostra la sezione comune dei metadati di ogni oggetto STIX duplicato.

Screenshot che mostra la creazione di nuovi oggetti STIX e i metadati comuni disponibili per tutti gli oggetti.

Gestire l'intelligence sulle minacce

Ottimizzare l'ti dalle origini con le regole di inserimento. Curare l'ti esistente con il generatore di relazioni. Usare l'interfaccia di gestione per cercare, filtrare e ordinare, quindi aggiungere tag all'intelligence per le minacce.

Ottimizzare i feed di intelligence per le minacce con le regole di inserimento

Ridurre il rumore dai feed TI, estendere la validità degli indicatori di valore elevato e aggiungere tag significativi agli oggetti in ingresso. Questi sono solo alcuni dei casi d'uso per le regole di inserimento. Ecco i passaggi per estendere la data di validità sugli indicatori di valore elevato.

  1. Selezionare Regole di inserimento per aprire un'intera pagina per visualizzare le regole esistenti e costruire una nuova logica delle regole.

    Screenshot che mostra il menu di gestione di Intelligence per le minacce che passa al passaggio del mouse sulle regole di inserimento.

  2. Immettere un nome descrittivo per la regola. La pagina regole di inserimento ha una regola ampia per il nome, ma è l'unica descrizione di testo disponibile per differenziare le regole senza modificarle.

  3. Selezionare Il tipo di oggetto. Questo caso d'uso si basa sull'estensione della Valid from proprietà disponibile solo per Indicator i tipi di oggetto.

  4. Aggiungere la condizione per SourceEquals e selezionare il valore Sourceelevato.

  5. Aggiungere una condizione per ConfidenceGreater than or equal e immettere un Confidence punteggio.

  6. Selezionare l'azione. Poiché si vuole modificare questo indicatore, selezionare Edit.

  7. Selezionare l'azione Aggiungi per Valid until, Extend bye selezionare un intervallo di tempo in giorni.

  8. Prendere in considerazione l'aggiunta di un tag per indicare il valore elevato posizionato su questi indicatori, ad esempio Extended. La data modificata non viene aggiornata dalle regole di inserimento.

  9. Selezionare l'ordine che si vuole eseguire la regola. Le regole vengono eseguite dal numero di ordine più basso al più alto. Ogni regola valuta ogni oggetto inserito.

  10. Se la regola è pronta per l'abilitazione, attivare o disattivare Stato .

  11. Selezionare Aggiungi per creare la regola di inserimento.

Screenshot che mostra la creazione della nuova regola di inserimento per estendere la validità fino alla data.

Per altre informazioni, vedere Informazioni sulle regole di inserimento di intelligence sulle minacce.

Curare l'intelligence sulle minacce con il generatore di relazioni

Connettere gli oggetti intelligence per le minacce con il generatore di relazioni. È presente un massimo di 20 relazioni nel generatore contemporaneamente, ma è possibile creare più connessioni tramite più iterazioni e aggiungendo riferimenti di destinazione delle relazioni per i nuovi oggetti.

  1. Iniziare con un oggetto come un attore di minaccia o un modello di attacco in cui il singolo oggetto si connette a uno o più oggetti, ad esempio indicatori.

  2. Aggiungere il tipo di relazione in base alle procedure consigliate descritte nella tabella seguente e nella tabella di riepilogo delle relazioni di riferimento STIX 2.1:

Tipo di relazione Descrizione
Duplicato di
derivato da
correlato a		 Relazioni comuni definite per qualsiasi oggetto di dominio STIX (SDO)
Per altre informazioni, vedere le informazioni di riferimento su STIX 2.1 sulle relazioni comuni
Destinazioni Attack pattern o Threat actor Destinazioni Identity
Utilizzazioni Threat actor Utilizzazioni Attack pattern
Attributo a Threat actor Attributo a Identity
Indica Indicator Indica Attack pattern o Threat actor
Rappresenta Threat actor Rappresenta Identity

L'immagine seguente illustra le connessioni effettuate tra un attore di minaccia e un modello di attacco, un indicatore e un'identità usando la tabella del tipo di relazione.

Screenshot che mostra il generatore di relazioni.

Visualizzare l'intelligence sulle minacce nell'interfaccia di gestione

Usare l'interfaccia di gestione per ordinare, filtrare ed eseguire ricerche nell'intelligence sulle minacce da qualsiasi origine da cui sono stati inseriti senza scrivere una query di Log Analytics.

  1. Dall'interfaccia di gestione espandere il menu Che cosa si vuole cercare?

  2. Selezionare un tipo di oggetto STIX o lasciare tutti i tipi di oggetto predefiniti.

  3. Selezionare le condizioni usando gli operatori logici.

  4. Selezionare l'oggetto su cui si desidera visualizzare altre informazioni.

Nell'immagine seguente sono state usate più origini per la ricerca inserendole in un OR gruppo, mentre più condizioni sono state raggruppate con l'operatore AND .

Screenshot che mostra un operatore OR combinato con più condizioni AND per eseguire ricerche nell'intelligence sulle minacce.

Microsoft Sentinel visualizza solo la versione più recente dell'intel per le minacce in questa visualizzazione. Per altre informazioni sul modo in cui gli oggetti vengono aggiornati, vedere Informazioni sull'intelligence sulle minacce.

Gli indicatori IP e dei nomi di dominio sono arricchiti con dati aggiuntivi GeoLocation , WhoIs in modo da poter fornire più contesto per le indagini in cui viene trovato l'indicatore.

Ecco un esempio.

Screenshot della pagina Intelligence sulle minacce con un indicatore che mostra i GeoLocation e WhoIs.

Importante

L'arricchimento con i dati GeoLocation e WhoIs è al momento in anteprima. In Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure sono incluse ulteriori note legali che si applicano alle funzionalità di Azure disponibili in versione beta, in anteprima o comunque non ancora in fase di disponibilità generale.

Contrassegnare e modificare l'intelligence sulle minacce

L'assegnazione di tag all'intelligence per le minacce è un modo rapido per raggruppare gli oggetti per semplificarne la ricerca. In genere, è possibile applicare tag correlati a un evento imprevisto specifico. Tuttavia, se un oggetto rappresenta le minacce di un determinato attore noto o di una campagna di attacco nota, è consigliabile creare una relazione anziché un tag.

  1. Usare l'interfaccia di gestione per ordinare, filtrare e cercare l'intelligence sulle minacce.
  2. Dopo aver trovato gli oggetti con cui si desidera lavorare, selezionarli con più selezioni scegliendo uno o più oggetti dello stesso tipo.
  3. Selezionare Aggiungi tag e contrassegnarli tutti contemporaneamente con uno o più tag.
  4. Poiché l'assegnazione di tag è in formato libero, è consigliabile creare convenzioni di denominazione standard per i tag nell'organizzazione.

Modificare l'intelligence per le minacce un oggetto alla volta, indipendentemente dal fatto che sia stato creato direttamente in Microsoft Sentinel o da origini partner, ad esempio i server TIP e TAXII. Per threat intel creato nell'interfaccia di gestione, tutti i campi sono modificabili. Per le minacce intel inserite da origini partner, solo campi specifici sono modificabili, inclusi tag, data di scadenza, confidenza e revocati. In entrambi i casi, solo la versione più recente dell'oggetto viene visualizzata nell'interfaccia di gestione.

Per altre informazioni sull'aggiornamento di Intel per le minacce, vedere Visualizzare l'intelligence sulle minacce.

Trovare e visualizzare gli indicatori con le query

Questa procedura descrive come visualizzare gli indicatori di minaccia in Log Analytics, insieme ad altri dati degli eventi di Microsoft Sentinel, indipendentemente dal feed di origine o dal metodo usato per inserirli.

Gli indicatori di minaccia sono elencati nella tabella di Microsoft Sentinel ThreatIntelligenceIndicator . Questa tabella è la base per le query di intelligence sulle minacce eseguite da altre funzionalità di Microsoft Sentinel, ad esempio Analisi, Ricerca e Cartelle di lavoro.

Per visualizzare gli indicatori di intelligence sulle minacce:

  1. Per Microsoft Sentinel nel Portale di Azure, in Generale, selezionare Log.

    Per Microsoft Sentinel nel portale di Defender, selezionare indagine e risposta>Ricerca>Ricerca avanzata.

  2. La tabella ThreatIntelligenceIndicator si trova nel gruppo Microsoft Sentinel.

  3. Selezionare l'icona Anteprima dei dati (a forma di occhio) accanto al nome della tabella. Selezionare Visualizza nell'editor di query per eseguire una query che mostri record di questa tabella.

    I risultati dovrebbero essere simili all'indicatore di minaccia di esempio seguente.

    Screenshot che mostra i risultati della tabella ThreatIntelligenceIndicator di esempio con i dettagli espansi.

Visualizzare l'intelligence sulle minacce con cartelle di lavoro

Usare una cartella di lavoro di Microsoft Sentinel creata appositamente per visualizzare le informazioni chiave sull'intelligence sulle minacce in Microsoft Sentinel e personalizzare la cartella di lavoro in base alle esigenze aziendali.

Ecco come trovare la cartella di lavoro di Intelligence sulle minacce fornita in Microsoft Sentinel e un esempio di come apportare modifiche alla cartella di lavoro per personalizzarla.

  1. Nel portale di Azure passare a Microsoft Sentinel.

  2. Scegliere l'area di lavoro in cui sono stati importati gli indicatori di minaccia usando uno dei due connettori dati di intelligence sulle minacce.

  3. Nella sezione Gestione delle minacce del menu di Microsoft Sentinel selezionare Cartelle di lavoro.

  4. Individuare la cartella di lavoro Intelligence sulle minacce. Verificare che la tabella ThreatIntelligenceIndicator contenga dati.

    Screenshot che mostra la verifica della presenza di dati.

  5. Selezionare Salva e scegliere un percorso di Azure in cui archiviare la cartella di lavoro. Questo passaggio è obbligatorio se si intende modificare la cartella di lavoro e salvare le modifiche.

  6. Selezionare ora Visualizza la cartella di lavoro salvata per aprire la cartella di lavoro per la visualizzazione e la modifica.

  7. Verranno ora visualizzati i grafici predefiniti forniti dal modello. Per modificare un grafico, selezionare Modifica nella parte superiore della pagina per attivare la modalità di modifica per la cartella di lavoro.

  8. Aggiungere un nuovo grafico degli indicatori di minaccia per tipo di minaccia. Scorrere fino alla parte inferiore della pagina e selezionare Aggiungi query.

  9. Aggiungere il testo seguente alla casella di testo query log dell'area di lavoro Log Analytics:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

    Per altre informazioni sugli elementi seguenti usati nell'esempio precedente, vedere la documentazione di Kusto:

  10. Nel menu a discesa Visualizzazione selezionare Grafico a barre.

  11. Selezionare Modifica completata e visualizzare il nuovo grafico per la cartella di lavoro.

    Screenshot che mostra un grafico a barre per la cartella di lavoro.

Le cartelle di lavoro offrono dashboard interattivi potenti che contengono informazioni dettagliate su tutti gli aspetti di Microsoft Sentinel. È possibile eseguire numerose attività con le cartelle di lavoro e i modelli forniti sono un ottimo punto di partenza. Personalizzare i modelli o creare nuovi dashboard combinando diverse origini dati in modo da visualizzare i dati in modi specifici.

Le cartelle di lavoro di Microsoft Sentinel si basano sulle cartelle di lavoro di Monitoraggio di Azure. Sono quindi disponibili molti altri modelli e un'ampia documentazione. Per ulteriori informazioni, vedere Creare report interattivi con le cartelle di lavoro di Azure Monitor.

È anche disponibile una risorsa dettagliata di cartelle di lavoro di Monitoraggio di Azure in GitHub, dove è possibile scaricare altri modelli e contribuire con i propri modelli.

Contenuto correlato

Per altre informazioni, vedere gli articoli seguenti:

Per altre informazioni su KQL, vedere panoramica di Linguaggio di query Kusto (KQL).

Altre risorse: