Udostępnij za pośrednictwem


Praca z analizą zagrożeń usługi Microsoft Sentinel

Przyspieszanie wykrywania zagrożeń i korygowania dzięki usprawnionej tworzeniu i zarządzaniu analizą zagrożeń. W tym artykule pokazano, jak jak w większości zintegrować analizę zagrożeń w interfejsie zarządzania niezależnie od tego, czy uzyskujesz do niego dostęp z usługi Microsoft Sentinel w witrynie Azure Portal, czy korzystasz z ujednoliconej platformy SecOps firmy Microsoft.

  • Tworzenie obiektów analizy zagrożeń przy użyciu ustrukturyzowanego wyrażenia informacji o zagrożeniach (STIX)
  • Zarządzanie analizą zagrożeń przez wyświetlanie, curowanie i wizualizowanie

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Uzyskiwanie dostępu do interfejsu zarządzania

Zapoznaj się z jedną z poniższych kart, w zależności od tego, gdzie chcesz pracować z analizą zagrożeń. Mimo że dostęp do interfejsu zarządzania różni się w zależności od używanego portalu, zadania tworzenia i zarządzania mają te same kroki po ich uruchomieniu.

W portalu usługi Defender przejdź do obszaru Zarządzanie funkcją Analizy>zagrożeń Intel.

Zrzut ekranu przedstawiający element menu zarządzania intel w portalu usługi Defender.

Tworzenie analizy zagrożeń

Interfejs zarządzania umożliwia tworzenie obiektów STIX i wykonywanie innych typowych zadań analizy zagrożeń, takich jak tagowanie wskaźników i nawiązywanie połączeń między obiektami.

  • Zdefiniuj relacje podczas tworzenia nowych obiektów STIX.
  • Szybko utwórz wiele obiektów przy użyciu funkcji duplikatu, aby skopiować metadane z nowego lub istniejącego obiektu TI.

Aby uzyskać więcej informacji na temat obsługiwanych obiektów STIX, zobacz Omówienie analizy zagrożeń.

Tworzenie nowego obiektu STIX

  1. Wybierz pozycję Dodaj nowy>obiekt TI.

    Zrzut ekranu przedstawiający dodawanie nowego wskaźnika zagrożenia.

  2. Wybierz typ obiektu, a następnie wypełnij formularz na stronie Nowy obiekt TI. Wymagane pola są oznaczone czerwoną gwiazdką (*).

  3. Jeśli wiesz, jak ten obiekt odnosi się do innego obiektu analizy zagrożeń, wskaż połączenie z typem relacji i odwołaniem docelowym.

  4. Wybierz pozycję Dodaj dla pojedynczego obiektu lub Dodaj i zduplikuj , jeśli chcesz utworzyć więcej elementów z tymi samymi metadanymi. Na poniższej ilustracji przedstawiono wspólną sekcję metadanych każdego obiektu STIX, które są zduplikowane.

Zrzut ekranu przedstawiający tworzenie nowych obiektów STIX i wspólne metadane dostępne dla wszystkich obiektów.

Zarządzanie analizą zagrożeń

Zoptymalizuj ti ze źródeł przy użyciu reguł pozyskiwania. Curate existing TI with the relationship builder (Utwórz istniejący ti za pomocą konstruktora relacji). Użyj interfejsu zarządzania do wyszukiwania, filtrowania i sortowania, a następnie dodawania tagów do analizy zagrożeń.

Optymalizowanie źródeł danych analizy zagrożeń przy użyciu reguł pozyskiwania

Zmniejsz szum z kanałów informacyjnych TI, rozszerz ważność wskaźników o wysokiej wartości i dodaj znaczące tagi do obiektów przychodzących. Są to tylko niektóre przypadki użycia reguł pozyskiwania. Poniżej przedstawiono kroki rozszerzania daty ważności na wskaźniki o wysokiej wartości.

  1. Wybierz pozycję Reguły pozyskiwania, aby otworzyć zupełnie nową stronę, aby wyświetlić istniejące reguły i utworzyć nową logikę reguł.

    Zrzut ekranu przedstawiający menu zarządzania analizą zagrożeń aktywujące wskaźnik myszy na regułach pozyskiwania.

  2. Wprowadź opisową nazwę reguły. Strona reguł pozyskiwania zawiera wiele reguł dla nazwy, ale jest to jedyny dostępny opis tekstowy, który umożliwia odróżnienie reguł bez ich edytowania.

  3. Wybierz typ obiektu. Ten przypadek użycia jest oparty na rozszerzeniu Valid from właściwości, która jest dostępna tylko dla Indicator typów obiektów.

  4. Dodaj warunek i SourceEquals wybierz wartość o wysokiej wartości Source.

  5. Dodaj warunek i ConfidenceGreater than or equal wprowadź Confidence wynik.

  6. Wybierz akcję. Ponieważ chcemy zmodyfikować ten wskaźnik, wybierz pozycję Edit.

  7. Wybierz akcję Dodaj dla Valid until, Extend byi wybierz przedział czasu w dniach.

  8. Rozważ dodanie tagu, aby wskazać wysoką wartość umieszczoną na tych wskaźnikach, na przykład Extended. Data modyfikacji nie jest aktualizowana przez reguły pozyskiwania.

  9. Wybierz kolejność, dla której ma zostać uruchomiona reguła. Reguły są uruchamiane od najniższego numeru zamówienia do najwyższego. Każda reguła ocenia każdy obiekt pozyskany.

  10. Jeśli reguła jest gotowa do włączenia, przełącz pozycję Stan na włączone.

  11. Wybierz pozycję Dodaj , aby utworzyć regułę pozyskiwania.

Zrzut ekranu przedstawiający tworzenie nowej reguły pozyskiwania w celu rozszerzenia prawidłowego okresu do daty.

Aby uzyskać więcej informacji, zobacz Omówienie reguł pozyskiwania analizy zagrożeń.

Curate threat intelligence with the relationship builder (Tworzenie analiz zagrożeń za pomocą konstruktora relacji)

Łączenie obiektów analizy zagrożeń za pomocą konstruktora relacji. W konstruktorze istnieje maksymalnie 20 relacji, ale można utworzyć więcej połączeń za pomocą wielu iteracji i dodając odwołania docelowe relacji dla nowych obiektów.

  1. Zacznij od obiektu, takiego jak aktor zagrożenia lub wzorzec ataku, w którym pojedynczy obiekt łączy się z co najmniej jednym obiektem, na przykład wskaźnikami.

  2. Dodaj typ relacji zgodnie z najlepszymi rozwiązaniami opisanymi w poniższej tabeli i w tabeli podsumowania relacji referencyjnej STIX 2.1:

Typ pokrewieństwa opis
Duplikat elementu pochodnego z elementu powiązanegoz

Typowe relacje zdefiniowane dla dowolnego obiektu domeny STIX (SDO)
Aby uzyskać więcej informacji, zobacz temat STIX 2.1 reference on common relationships (Dokumentacja dotycząca typowych relacji w systemie STIX 2.1)
Docelowe elementy Attack pattern lub Threat actor cele Identity
Używa Threat actor Używa Attack pattern
Przypisane do Threat actor Przypisane do Identity
Wskazuje Indicator Attack pattern Wskazuje lubThreat actor
Personifikuje Threat actor Personifikuje Identity

Na poniższej ilustracji przedstawiono połączenia między aktorem zagrożenia a wzorcem ataku, wskaźnikiem i tożsamością przy użyciu tabeli typów relacji.

Zrzut ekranu przedstawiający konstruktora relacji.

Wyświetlanie analizy zagrożeń w interfejsie zarządzania

Użyj interfejsu zarządzania, aby sortować, filtrować i przeszukiwać analizę zagrożeń z dowolnego źródła, z którego zostały pozyskane bez konieczności pisania zapytania usługi Log Analytics.

  1. Z poziomu interfejsu zarządzania rozwiń menu Co chcesz wyszukać?

  2. Wybierz typ obiektu STIX lub pozostaw wartość domyślną Wszystkie typy obiektów.

  3. Wybierz warunki przy użyciu operatorów logicznych.

  4. Wybierz obiekt, o którym chcesz wyświetlić więcej informacji.

Na poniższej ilustracji do wyszukiwania użyto wielu źródeł, umieszczając je w OR grupie, podczas gdy wiele warunków zostało zgrupowanych z operatorem AND .

Zrzut ekranu przedstawia operator OR połączony z wieloma warunkami AND do wyszukiwania analizy zagrożeń.

Usługa Microsoft Sentinel wyświetla tylko najnowszą wersję środowiska intel zagrożeń w tym widoku. Aby uzyskać więcej informacji na temat aktualizowania obiektów, zobacz Omówienie analizy zagrożeń.

Wskaźniki adresów IP i nazw domen są wzbogacone dodatkowymi GeoLocation danymi, WhoIs dzięki czemu można zapewnić więcej kontekstu dla wszystkich badań, w których znaleziono wskaźnik.

Oto przykład.

Zrzut ekranu przedstawiający stronę Analiza zagrożeń ze wskaźnikiem przedstawiającym dane GeoLocation i WhoIs.

Ważne

GeoLocation i WhoIs wzbogacanie jest obecnie dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują więcej warunków prawnych, które dotyczą funkcji platformy Azure w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Tagowanie i edytowanie analizy zagrożeń

Tagowanie analizy zagrożeń to szybki sposób grupowania obiektów w celu ułatwienia ich znajdowania. Zazwyczaj można stosować tagi związane z konkretnym zdarzeniem. Jeśli jednak obiekt reprezentuje zagrożenia ze strony określonego znanego aktora lub dobrze znanej kampanii ataku, rozważ utworzenie relacji zamiast tagu.

  1. Użyj interfejsu zarządzania do sortowania, filtrowania i wyszukiwania analizy zagrożeń.
  2. Po znalezieniu obiektów, z których chcesz pracować, należy wybrać jeden lub więcej obiektów tego samego typu.
  3. Wybierz pozycję Dodaj tagi i oznacz je jednocześnie jednym tagiem.
  4. Ponieważ tagowanie jest bezpłatne, zalecamy utworzenie standardowych konwencji nazewnictwa tagów w organizacji.

Edytuj jednocześnie jeden obiekt analizy zagrożeń, niezależnie od tego, czy został utworzony bezpośrednio w usłudze Microsoft Sentinel, czy ze źródeł partnerskich, takich jak serwery TIP i TAXII. W przypadku środowiska threat intel utworzonego w interfejsie zarządzania wszystkie pola można edytować. W przypadku analizy zagrożeń pozyskanych ze źródeł partnerów można edytować tylko określone pola, w tym tagi, datę wygaśnięcia, pewność siebie i odwołane. Tak czy inaczej, tylko najnowsza wersja obiektu jest wyświetlana w interfejsie zarządzania.

Aby uzyskać więcej informacji na temat aktualizowania funkcji intel zagrożeń, zobacz Wyświetlanie analizy zagrożeń.

Znajdowanie i wyświetlanie wskaźników za pomocą zapytań

W tej procedurze opisano sposób wyświetlania wskaźników zagrożeń w usłudze Log Analytics wraz z innymi danymi zdarzeń usługi Microsoft Sentinel, niezależnie od źródła danych lub metody użytej do ich pozyskiwania.

Wskaźniki zagrożeń są wymienione w tabeli usługi Microsoft Sentinel ThreatIntelligenceIndicator . Ta tabela jest podstawą zapytań analizy zagrożeń wykonywanych przez inne funkcje usługi Microsoft Sentinel, takie jak analiza, wyszukiwanie zagrożeń i skoroszyty.

Aby wyświetlić wskaźniki analizy zagrożeń:

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Ogólne wybierz pozycję Dzienniki.

    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Badanie i wyszukiwanie odpowiedzi>>Zaawansowane wyszukiwanie zagrożeń.

  2. Tabela ThreatIntelligenceIndicator znajduje się w grupie usługi Microsoft Sentinel .

  3. Wybierz ikonę Podgląd danych (oko) obok nazwy tabeli. Wybierz pozycję Zobacz w edytorze zapytań, aby uruchomić zapytanie zawierające rekordy z tej tabeli.

    Wyniki powinny wyglądać podobnie do przykładowego wskaźnika zagrożenia pokazanego tutaj.

    Zrzut ekranu przedstawiający przykładowe wyniki tabeli ThreatIntelligenceIndicator z rozwiniętymi szczegółami.

Wizualizowanie analizy zagrożeń za pomocą skoroszytów

Użyj specjalnie utworzonego skoroszytu usługi Microsoft Sentinel, aby zwizualizować kluczowe informacje o analizie zagrożeń w usłudze Microsoft Sentinel i dostosować skoroszyt zgodnie z potrzebami biznesowymi.

Poniżej przedstawiono sposób znajdowania skoroszytu analizy zagrożeń udostępnionego w usłudze Microsoft Sentinel oraz przykład sposobu wprowadzania zmian w skoroszycie w celu jego dostosowania.

  1. W witrynie Azure Portal przejdź do usługi Microsoft Sentinel.

  2. Wybierz obszar roboczy, do którego zaimportowane wskaźniki zagrożeń zostały zaimportowane przy użyciu łącznika danych analizy zagrożeń.

  3. W sekcji Zarządzanie zagrożeniami w menu usługi Microsoft Sentinel wybierz pozycję Skoroszyty.

  4. Znajdź skoroszyt zatytułowany Analiza zagrożeń. Sprawdź, czy masz dane w ThreatIntelligenceIndicator tabeli.

    Zrzut ekranu przedstawiający sprawdzanie, czy masz dane.

  5. Wybierz pozycję Zapisz i wybierz lokalizację platformy Azure, w której ma być przechowywany skoroszyt. Ten krok jest wymagany, jeśli zamierzasz zmodyfikować skoroszyt w jakikolwiek sposób i zapisać zmiany.

  6. Teraz wybierz pozycję Wyświetl zapisany skoroszyt , aby otworzyć skoroszyt do wyświetlania i edytowania.

  7. Teraz powinny zostać wyświetlone domyślne wykresy dostarczone przez szablon. Aby zmodyfikować wykres, wybierz pozycję Edytuj w górnej części strony, aby uruchomić tryb edycji skoroszytu.

  8. Dodaj nowy wykres wskaźników zagrożeń według typu zagrożenia. Przewiń do dołu strony i wybierz pozycję Dodaj zapytanie.

  9. Dodaj następujący tekst do pola tekstowego Zapytanie dziennika dziennika usługi Log Analytics:

    ThreatIntelligenceIndicator
    | summarize count() by ThreatType
    

    Zobacz więcej informacji na temat następujących elementów używanych w poprzednim przykładzie w dokumentacji usługi Kusto:

  10. W menu rozwijanym Wizualizacja wybierz pozycję Wykres słupkowy.

  11. Wybierz pozycję Zakończono edytowanie i wyświetl nowy wykres dla skoroszytu.

    Zrzut ekranu przedstawiający wykres słupkowy skoroszytu.

Skoroszyty udostępniają zaawansowane interaktywne pulpity nawigacyjne, które zapewniają wgląd we wszystkie aspekty usługi Microsoft Sentinel. Wiele zadań można wykonywać za pomocą skoroszytów, a udostępnione szablony są doskonałym punktem wyjścia. Dostosuj szablony lub utwórz nowe pulpity nawigacyjne, łącząc wiele źródeł danych, aby umożliwić wizualizowanie danych w unikatowy sposób.

Skoroszyty usługi Microsoft Sentinel są oparte na skoroszytach usługi Azure Monitor, dlatego dostępna jest obszerna dokumentacja i wiele innych szablonów. Aby uzyskać więcej informacji, zobacz Tworzenie interaktywnych raportów za pomocą skoroszytów usługi Azure Monitor.

Istnieje również bogaty zasób dla skoroszytów usługi Azure Monitor w witrynie GitHub, w którym można pobrać więcej szablonów i współtworzyć własne szablony.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

Aby uzyskać więcej informacji na temat języka KQL, zobacz omówienie język zapytań Kusto (KQL).

Inne zasoby: