Omówienie analizy zagrożeń w usłudze Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel to natywne dla chmury rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) z możliwością szybkiego ściągania analizy zagrożeń z wielu źródeł.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wprowadzenie do analizy zagrożeń

Cyber threat intelligence (CTI) to informacje opisujące istniejące lub potencjalne zagrożenia dla systemów i użytkowników. Ta inteligencja przyjmuje wiele form, takich jak pisemne raporty, które szczegółowo opisują motywacje, infrastrukturę i techniki konkretnego aktora zagrożeń. Może to być również konkretne obserwacje adresów IP, domen, skrótów plików i innych artefaktów skojarzonych ze znanymi zagrożeniami cybernetycznymi.

Organizacje używają ctI do zapewnienia podstawowego kontekstu nietypowej aktywności, dzięki czemu personel ds. zabezpieczeń może szybko podjąć działania w celu ochrony swoich osób, informacji i zasobów. Możesz źródło ctI z wielu miejsc, takich jak:

• Źródła danych typu open source.
• Społeczności dzielące się analizą zagrożeń.
• Źródła danych analizy komercyjnej.
• Lokalna inteligencja zebrana w trakcie badań zabezpieczeń w organizacji.

W przypadku rozwiązań SIEM, takich jak Microsoft Sentinel, najbardziej typowe formy CTI to wskaźniki zagrożeń, które są również nazywane wskaźnikami naruszenia (IOC) lub wskaźnikami ataku. Wskaźniki zagrożeń to dane, które kojarzą zaobserwowane artefakty, takie jak adresy URL, skróty plików lub adresy IP ze znanymi działaniami zagrożeń, takimi jak wyłudzenie informacji, botnety lub złośliwe oprogramowanie. Ta forma analizy zagrożeń jest często nazywana taktyczną analizą zagrożeń. Jest ona stosowana do produktów zabezpieczeń i automatyzacji na dużą skalę w celu wykrywania potencjalnych zagrożeń dla organizacji i ochrony przed nimi.

Użyj wskaźników zagrożeń w usłudze Microsoft Sentinel, aby wykryć złośliwe działania obserwowane w danym środowisku i zapewnić kontekst badaczom zabezpieczeń w celu informowania o decyzjach dotyczących reagowania.

Analizę zagrożeń można zintegrować z usługą Microsoft Sentinel, wykonując następujące czynności:

• Zaimportuj analizę zagrożeń do usługi Microsoft Sentinel, włączając łączniki danych na różne platformy i źródła danych analizy zagrożeń.
• Wyświetlanie zaimportowanej analizy zagrożeń i zarządzanie nią w dziennikach i w okienku Analiza zagrożeń usługi Microsoft Sentinel.
• Wykrywanie zagrożeń i generowanie alertów zabezpieczeń i zdarzeń przy użyciu wbudowanych szablonów reguł analizy opartych na zaimportowanej analizie zagrożeń.
• Wizualizuj kluczowe informacje na temat zaimportowanych danych analizy zagrożeń w usłudze Microsoft Sentinel za pomocą skoroszytu analizy zagrożeń.

Firma Microsoft wzbogaca wszystkie zaimportowane wskaźniki analizy zagrożeń za pomocą danych GeoLocation i WhoIs, które są wyświetlane wraz z innymi informacjami o wskaźniku.

Analiza zagrożeń udostępnia również przydatny kontekst w innych środowiskach usługi Microsoft Sentinel, takich jak wyszukiwanie zagrożeń i notesy. Aby uzyskać więcej informacji, zobacz Notesy Jupyter w usłudze Microsoft Sentinel i Samouczek: wprowadzenie do notesów Jupyter i biblioteki MSTICPy w usłudze Microsoft Sentinel.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Importowanie analizy zagrożeń za pomocą łączników danych

Wskaźniki zagrożeń są importowane przy użyciu łączników danych, podobnie jak wszystkie inne dane zdarzenia w usłudze Microsoft Sentinel. Poniżej przedstawiono łączniki danych w usłudze Microsoft Sentinel udostępniane specjalnie dla wskaźników zagrożeń:

• Łącznik danych usługi Microsoft Defender Threat Intelligence: służy do pozyskiwania wskaźników zagrożeń firmy Microsoft.
• Łącznik danych usługi Premium Defender Threat Intelligence: służy do pozyskiwania źródła danych analizy premium usługi Defender Threat Intelligence.
• Analiza zagrożeń — TAXII: używane do standardowych w branży kanałów informacyjnych STIX/TAXII.
• Interfejs API wskaźników przekazywania analizy zagrożeń: używany do zintegrowanych i wyselekcjonowanych źródeł danych analizy zagrożeń przy użyciu interfejsu API REST do nawiązywania połączenia.
• Łącznik danych platformy analizy zagrożeń (TIP): służy do łączenia źródeł danych analizy zagrożeń przy użyciu interfejsu API REST, ale znajduje się on na ścieżce do wycofania.

Użyj dowolnego z tych łączników danych w dowolnej kombinacji, w zależności od tego, gdzie organizacja źródła wskaźników zagrożeń. Wszystkie trzy z tych łączników są dostępne w centrum zawartości w ramach rozwiązania analizy zagrożeń. Aby uzyskać więcej informacji na temat tego rozwiązania, zobacz wpis Azure Marketplace Threat Intelligence.

Zobacz również ten wykaz integracji analizy zagrożeń, które są dostępne w usłudze Microsoft Sentinel.

Dodawanie wskaźników zagrożeń do usługi Microsoft Sentinel przy użyciu łącznika danych usługi Defender Threat Intelligence

Udostępniaj publiczne, open source i wysokiej wierności operacje we/wy generowane przez usługę Defender Threat Intelligence do obszaru roboczego usługi Microsoft Sentinel za pomocą łączników danych usługi Defender Threat Intelligence. Korzystając z prostej konfiguracji jednym kliknięciem, użyj analizy zagrożeń ze standardowych i premium łączników danych usługi Defender Threat Intelligence do monitorowania, alertów i wyszukiwania.

Dostępna bezpłatnie reguła analizy zagrożeń usługi Defender Threat Intelligence udostępnia przykładowe informacje o tym, co zapewnia łącznik danych usługi Defender Threat Intelligence. Jednak w przypadku dopasowywania analiz tylko wskaźniki zgodne z regułą są pozyskiwane do środowiska. Łącznik danych usługi Premium Defender Threat Intelligence zapewnia analizę zagrożeń w warstwie Premium i umożliwia analizę większej liczby źródeł danych z większą elastycznością i zrozumieniem tej analizy zagrożeń. Oto tabela przedstawiająca, czego można oczekiwać po licencji i włączenia łącznika danych usługi Defender Threat Intelligence w warstwie Premium.

Bezpłatna	Premium
Publiczne wywołania operacji we/wy
Analiza typu open source (OSINT)
	Microsoft IOCs
	Wzbogacony przez firmę Microsoft OSINT

Aby uzyskać więcej informacji, zobacz następujące artykuły:

• Aby dowiedzieć się, jak uzyskać licencję Premium i zapoznać się ze wszystkimi różnicami między wersjami standardowymi i premium, zobacz stronę produktu Microsoft Defender Threat Intelligence.
• Aby dowiedzieć się więcej na temat bezpłatnego środowiska analizy zagrożeń w usłudze Defender, zobacz Wprowadzenie do bezpłatnego środowiska analizy zagrożeń usługi Defender dla usługi Microsoft Defender XDR.
• Aby dowiedzieć się, jak włączyć usługę Defender Threat Intelligence i łączniki danych usługi Defender Threat Intelligence w warstwie Premium, zobacz Włączanie łącznika danych usługi Defender Threat Intelligence.
• Aby dowiedzieć się więcej na temat dopasowywania analiz, zobacz Używanie pasującej analizy do wykrywania zagrożeń.

Dodawanie wskaźników zagrożeń do usługi Microsoft Sentinel za pomocą łącznika danych interfejsu API przekazywania wskaźników analizy zagrożeń

Wiele organizacji korzysta z rozwiązań platformy analizy zagrożeń (TIP), aby agregować źródła wskaźników zagrożeń z różnych źródeł. Z zagregowanego źródła danych dane są wyselekcjonowane w celu zastosowania do rozwiązań zabezpieczeń, takich jak urządzenia sieciowe, rozwiązania EDR/XDR lub SIEM, takie jak Microsoft Sentinel. Za pomocą łącznika danych interfejsu API przekazywania wskaźników analizy zagrożeń można użyć tych rozwiązań do importowania wskaźników zagrożeń do usługi Microsoft Sentinel.

Ten łącznik danych używa nowego interfejsu API i oferuje następujące ulepszenia:

• Pola wskaźnika zagrożenia są oparte na standardowym formacie STIX.
• Aplikacja Microsoft Entra wymaga tylko roli współautora usługi Microsoft Sentinel.
• Punkt końcowy żądania interfejsu API ma zakres na poziomie obszaru roboczego. Wymagane uprawnienia aplikacji Microsoft Entra umożliwiają szczegółowe przypisywanie na poziomie obszaru roboczego.

Aby uzyskać więcej informacji, zobacz Łączenie platformy analizy zagrożeń przy użyciu interfejsu API przekazywania wskaźników.

Dodawanie wskaźników zagrożeń do usługi Microsoft Sentinel przy użyciu łącznika danych platformy analizy zagrożeń

Podobnie jak w przypadku istniejącego łącznika danych interfejsu API przekazywania wskaźników, łącznik danych platformy analizy zagrożeń używa interfejsu API, który umożliwia poradom lub rozwiązaniu niestandardowemu wysyłanie wskaźników do usługi Microsoft Sentinel. Jednak ten łącznik danych znajduje się teraz na ścieżce do wycofania. Zalecamy korzystanie z optymalizacji, które oferuje interfejs API przekazywania wskaźników.

Łącznik danych TIP współpracuje z interfejsem API tiIndicators zabezpieczeń programu Microsoft Graph. Można go również używać z dowolną niestandardową poradą, która komunikuje się z interfejsem API tiIndicators w celu wysyłania wskaźników do usługi Microsoft Sentinel (oraz do innych rozwiązań zabezpieczeń firmy Microsoft, takich jak Defender XDR).

Aby uzyskać więcej informacji na temat rozwiązań TIP zintegrowanych z usługą Microsoft Sentinel, zobacz Zintegrowane produkty platformy analizy zagrożeń. Aby uzyskać więcej informacji, zobacz Łączenie platformy analizy zagrożeń z usługą Microsoft Sentinel.

Dodawanie wskaźników zagrożeń do usługi Microsoft Sentinel za pomocą łącznika danych Analizy zagrożeń — TAXII

Najpopularniejszym standardem branżowym transmisji analizy zagrożeń jest połączenie formatu danych STIX i protokołu TAXII. Jeśli Twoja organizacja uzyskuje wskaźniki zagrożeń z rozwiązań obsługujących bieżącą wersję STIX/TAXII (2.0 lub 2.1), użyj łącznika danych Analiza zagrożeń — TAXII, aby wprowadzić wskaźniki zagrożeń do usługi Microsoft Sentinel. Łącznik danych Analizy zagrożeń — TAXII umożliwia wbudowanemu klientowi TAXII w usłudze Microsoft Sentinel importowanie analizy zagrożeń z serwerów TAXII 2.x.

Aby zaimportować wskaźniki zagrożeń w formacie STIX do usługi Microsoft Sentinel z serwera TAXII:

1. Uzyskaj identyfikator główny i identyfikator kolekcji interfejsu API serwera TAXII.
2. Włącz łącznik danych Analizy zagrożeń — TAXII w usłudze Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Connect Microsoft Sentinel to STIX/TAXII threat intelligence feeds (Łączenie usługi Microsoft Sentinel z źródłami danych analizy zagrożeń STIX/TAXII).

Wyświetlanie wskaźników zagrożeń i zarządzanie nimi

Wyświetlanie wskaźników i zarządzanie nimi na stronie Analiza zagrożeń. Sortuj, filtruj i wyszukuj zaimportowane wskaźniki zagrożeń bez konieczności nawet pisania zapytania usługi Log Analytics.

Dwa z najbardziej typowych zadań analizy zagrożeń to tagowanie wskaźników i tworzenie nowych wskaźników związanych z badaniami zabezpieczeń. Utwórz lub zmodyfikuj wskaźniki zagrożeń bezpośrednio na stronie Analiza zagrożeń, gdy wystarczy szybko zarządzać kilkoma.

Tagowanie wskaźników zagrożeń jest łatwym sposobem grupowania ich w celu ułatwienia ich znalezienia. Zazwyczaj tagi mogą być stosowane do wskaźnika związanego z konkretnym zdarzeniem lub jeśli wskaźnik reprezentuje zagrożenia ze strony określonego znanego aktora lub dobrze znanej kampanii ataku. Po wyszukaniu wskaźników, z którymi chcesz pracować, możesz oznaczyć je indywidualnie. Wskaźniki wielokrotnego wyboru i taguj je jednocześnie jednym tagiem. Ponieważ tagowanie jest wolne, zalecamy utworzenie standardowych konwencji nazewnictwa dla tagów wskaźników zagrożeń.

Zweryfikuj wskaźniki i wyświetl pomyślnie zaimportowane wskaźniki zagrożeń z obszaru roboczego usługi Log Analytics z obsługą usługi Microsoft Sentinel. Tabela ThreatIntelligenceIndicator w schemacie usługi Microsoft Sentinel jest miejscem przechowywania wszystkich wskaźników zagrożeń usługi Microsoft Sentinel. Ta tabela jest podstawą zapytań analizy zagrożeń wykonywanych przez inne funkcje usługi Microsoft Sentinel, takie jak analizy i skoroszyty.

Oto przykładowy widok podstawowego zapytania dotyczącego wskaźników zagrożeń.

Wskaźniki analizy zagrożeń są pozyskiwane do ThreatIntelligenceIndicator tabeli obszaru roboczego usługi Log Analytics jako tylko do odczytu. Za każdym razem, gdy wskaźnik zostanie zaktualizowany, zostanie utworzony nowy wpis w ThreatIntelligenceIndicator tabeli. Tylko najbardziej bieżący wskaźnik jest wyświetlany na stronie Analiza zagrożeń. Wskaźniki deduplikacji usługi Microsoft Sentinel są oparte na właściwościach IndicatorId i SourceSystem i i wybierają wskaźnik z najnowszymi TimeGenerated[UTC]elementami .

Właściwość IndicatorId jest generowana przy użyciu identyfikatora wskaźnika STIX. Gdy wskaźniki są importowane lub tworzone ze źródeł innych niż STIX, IndicatorId są generowane przez źródło i wzorzec wskaźnika.

Aby uzyskać więcej informacji na temat wyświetlania wskaźników zagrożeń i zarządzania nimi, zobacz Praca ze wskaźnikami zagrożeń w usłudze Microsoft Sentinel.

Wyświetlanie wzbogacenia danych GeoLocation i WhoIs (publiczna wersja zapoznawcza)

Firma Microsoft wzbogaca wskaźniki adresów IP i domeny o dodatkowe GeoLocation dane, WhoIs aby zapewnić więcej kontekstu dla badań, w których znaleziono wybrany MKOl.

Wyświetl GeoLocation dane i WhoIs w okienku Analiza zagrożeń dla tych typów wskaźników zagrożeń zaimportowanych do usługi Microsoft Sentinel.

Na przykład użyj GeoLocation danych, aby znaleźć informacje, takie jak organizacja lub kraj/region dla wskaźnika IP. Użyj WhoIs danych, aby znaleźć dane, takie jak rejestrator i dane tworzenia rekordów na podstawie wskaźnika domeny.

Wykrywanie zagrożeń za pomocą analizy wskaźników zagrożeń

Najważniejszym przypadkiem użycia wskaźników zagrożeń w rozwiązaniach SIEM, takich jak Microsoft Sentinel, jest użycie reguł analizy zasilania na potrzeby wykrywania zagrożeń. Te reguły oparte na wskaźnikach porównują nieprzetworzone zdarzenia ze źródeł danych względem wskaźników zagrożeń w celu wykrywania zagrożeń w organizacji. W usłudze Microsoft Sentinel Analytics tworzysz reguły analizy, które są uruchamiane zgodnie z harmonogramem i generują alerty zabezpieczeń. Reguły są oparte na zapytaniach. Wraz z konfiguracjami określają, jak często powinna być uruchamiana reguła, jakie wyniki zapytań powinny generować alerty zabezpieczeń i zdarzenia oraz, opcjonalnie, kiedy wyzwalać automatyczną odpowiedź.

Mimo że zawsze można tworzyć nowe reguły analizy od podstaw, usługa Microsoft Sentinel udostępnia zestaw wbudowanych szablonów reguł utworzonych przez inżynierów ds. zabezpieczeń firmy Microsoft, aby korzystać ze wskaźników zagrożeń. Te szablony są oparte na typie wskaźników zagrożenia (domena, poczta e-mail, skrót pliku, adres IP lub adres URL) i zdarzenia źródła danych, które chcesz dopasować. Każdy szablon zawiera listę wymaganych źródeł, które są wymagane do działania reguły. Te informacje ułatwiają ustalenie, czy niezbędne zdarzenia są już importowane w usłudze Microsoft Sentinel.

Domyślnie po wyzwoleniu tych wbudowanych reguł zostanie utworzony alert. W usłudze Microsoft Sentinel alerty generowane na podstawie reguł analizy generują również zdarzenia zabezpieczeń. W menu usługi Microsoft Sentinel w obszarze Zarządzanie zagrożeniami wybierz pozycję Incydenty. Zdarzenia są tym, co zespoły ds. operacji zabezpieczeń klasyfikowają i badają, aby określić odpowiednie akcje reagowania. Aby uzyskać więcej informacji, zobacz Samouczek: badanie zdarzeń za pomocą usługi Microsoft Sentinel.

Aby uzyskać więcej informacji na temat używania wskaźników zagrożeń w regułach analizy, zobacz Używanie analizy zagrożeń do wykrywania zagrożeń.

Firma Microsoft zapewnia dostęp do analizy zagrożeń za pomocą reguły analizy analizy zagrożeń w usłudze Defender. Aby uzyskać więcej informacji na temat korzystania z tej reguły, która generuje alerty i zdarzenia o wysokiej wierności, zobacz Używanie pasującej analizy do wykrywania zagrożeń.

Skoroszyty zapewniają szczegółowe informacje na temat analizy zagrożeń

Skoroszyty udostępniają zaawansowane interaktywne pulpity nawigacyjne, które zapewniają wgląd we wszystkie aspekty usługi Microsoft Sentinel, a analiza zagrożeń nie jest wyjątkiem. Użyj wbudowanego skoroszytu analizy zagrożeń , aby wizualizować kluczowe informacje na temat analizy zagrożeń. Skoroszyt można łatwo dostosować zgodnie z potrzebami biznesowymi. Utwórz nowe pulpity nawigacyjne, łącząc wiele źródeł danych, aby ułatwić wizualizowanie danych w unikatowy sposób.

Ponieważ skoroszyty usługi Microsoft Sentinel są oparte na skoroszytach usługi Azure Monitor, dostępna jest obszerna dokumentacja i wiele innych szablonów. Aby uzyskać więcej informacji, zobacz Tworzenie interaktywnych raportów za pomocą skoroszytów usługi Azure Monitor.

Istnieje również bogaty zasób dla skoroszytów usługi Azure Monitor w witrynie GitHub, w którym można pobrać więcej szablonów i współtworzyć własne szablony.

Aby uzyskać więcej informacji na temat używania i dostosowywania skoroszytu analizy zagrożeń , zobacz Praca ze wskaźnikami zagrożeń w usłudze Microsoft Sentinel.

Powiązana zawartość

W tym artykule przedstawiono możliwości analizy zagrożeń usługi Microsoft Sentinel, w tym okienko Analiza zagrożeń. Aby uzyskać praktyczne wskazówki dotyczące korzystania z funkcji analizy zagrożeń usługi Microsoft Sentinel, zobacz następujące artykuły:

• Połącz usługę Microsoft Sentinel z kanałami informacyjnymi analizy zagrożeń STIX/TAXII.
• Łączenie platform analizy zagrożeń z usługą Microsoft Sentinel.
• Zobacz, które platformy TIP, kanały TAXII i wzbogacania są łatwo zintegrowane z usługą Microsoft Sentinel.
• Praca ze wskaźnikami zagrożeń w całym środowisku usługi Microsoft Sentinel.
• Wykrywanie zagrożeń za pomocą wbudowanych lub niestandardowych reguł analizy w usłudze Microsoft Sentinel.
• Badanie zdarzeń w usłudze Microsoft Sentinel.