Praca z analizą zagrożeń usługi Microsoft Sentinel
Przyspieszanie wykrywania zagrożeń i korygowania dzięki usprawnionej tworzeniu i zarządzaniu analizą zagrożeń. W tym artykule pokazano, jak jak w większości zintegrować analizę zagrożeń w interfejsie zarządzania niezależnie od tego, czy uzyskujesz do niego dostęp z usługi Microsoft Sentinel w witrynie Azure Portal, czy korzystasz z ujednoliconej platformy SecOps firmy Microsoft.
- Tworzenie obiektów analizy zagrożeń przy użyciu ustrukturyzowanego wyrażenia informacji o zagrożeniach (STIX)
- Zarządzanie analizą zagrożeń przez wyświetlanie, curowanie i wizualizowanie
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Uzyskiwanie dostępu do interfejsu zarządzania
Zapoznaj się z jedną z poniższych kart, w zależności od tego, gdzie chcesz pracować z analizą zagrożeń. Mimo że dostęp do interfejsu zarządzania różni się w zależności od używanego portalu, zadania tworzenia i zarządzania mają te same kroki po ich uruchomieniu.
W portalu usługi Defender przejdź do obszaru Zarządzanie funkcją Analizy>zagrożeń Intel.
Tworzenie analizy zagrożeń
Interfejs zarządzania umożliwia tworzenie obiektów STIX i wykonywanie innych typowych zadań analizy zagrożeń, takich jak tagowanie wskaźników i nawiązywanie połączeń między obiektami.
- Zdefiniuj relacje podczas tworzenia nowych obiektów STIX.
- Szybko utwórz wiele obiektów przy użyciu funkcji duplikatu, aby skopiować metadane z nowego lub istniejącego obiektu TI.
Aby uzyskać więcej informacji na temat obsługiwanych obiektów STIX, zobacz Omówienie analizy zagrożeń.
Tworzenie nowego obiektu STIX
Wybierz pozycję Dodaj nowy>obiekt TI.
Wybierz typ obiektu, a następnie wypełnij formularz na stronie Nowy obiekt TI. Wymagane pola są oznaczone czerwoną gwiazdką (*).
Jeśli wiesz, jak ten obiekt odnosi się do innego obiektu analizy zagrożeń, wskaż połączenie z typem relacji i odwołaniem docelowym.
Wybierz pozycję Dodaj dla pojedynczego obiektu lub Dodaj i zduplikuj , jeśli chcesz utworzyć więcej elementów z tymi samymi metadanymi. Na poniższej ilustracji przedstawiono wspólną sekcję metadanych każdego obiektu STIX, które są zduplikowane.
Zarządzanie analizą zagrożeń
Zoptymalizuj ti ze źródeł przy użyciu reguł pozyskiwania. Curate existing TI with the relationship builder (Utwórz istniejący ti za pomocą konstruktora relacji). Użyj interfejsu zarządzania do wyszukiwania, filtrowania i sortowania, a następnie dodawania tagów do analizy zagrożeń.
Optymalizowanie źródeł danych analizy zagrożeń przy użyciu reguł pozyskiwania
Zmniejsz szum z kanałów informacyjnych TI, rozszerz ważność wskaźników o wysokiej wartości i dodaj znaczące tagi do obiektów przychodzących. Są to tylko niektóre przypadki użycia reguł pozyskiwania. Poniżej przedstawiono kroki rozszerzania daty ważności na wskaźniki o wysokiej wartości.
Wybierz pozycję Reguły pozyskiwania, aby otworzyć zupełnie nową stronę, aby wyświetlić istniejące reguły i utworzyć nową logikę reguł.
Wprowadź opisową nazwę reguły. Strona reguł pozyskiwania zawiera wiele reguł dla nazwy, ale jest to jedyny dostępny opis tekstowy, który umożliwia odróżnienie reguł bez ich edytowania.
Wybierz typ obiektu. Ten przypadek użycia jest oparty na rozszerzeniu
Valid from
właściwości, która jest dostępna tylko dlaIndicator
typów obiektów.Dodaj warunek i
Source
Equals
wybierz wartość o wysokiej wartościSource
.Dodaj warunek i
Confidence
Greater than or equal
wprowadźConfidence
wynik.Wybierz akcję. Ponieważ chcemy zmodyfikować ten wskaźnik, wybierz pozycję
Edit
.Wybierz akcję Dodaj dla
Valid until
,Extend by
i wybierz przedział czasu w dniach.Rozważ dodanie tagu, aby wskazać wysoką wartość umieszczoną na tych wskaźnikach, na przykład
Extended
. Data modyfikacji nie jest aktualizowana przez reguły pozyskiwania.Wybierz kolejność, dla której ma zostać uruchomiona reguła. Reguły są uruchamiane od najniższego numeru zamówienia do najwyższego. Każda reguła ocenia każdy obiekt pozyskany.
Jeśli reguła jest gotowa do włączenia, przełącz pozycję Stan na włączone.
Wybierz pozycję Dodaj , aby utworzyć regułę pozyskiwania.
Aby uzyskać więcej informacji, zobacz Omówienie reguł pozyskiwania analizy zagrożeń.
Curate threat intelligence with the relationship builder (Tworzenie analiz zagrożeń za pomocą konstruktora relacji)
Łączenie obiektów analizy zagrożeń za pomocą konstruktora relacji. W konstruktorze istnieje maksymalnie 20 relacji, ale można utworzyć więcej połączeń za pomocą wielu iteracji i dodając odwołania docelowe relacji dla nowych obiektów.
Zacznij od obiektu, takiego jak aktor zagrożenia lub wzorzec ataku, w którym pojedynczy obiekt łączy się z co najmniej jednym obiektem, na przykład wskaźnikami.
Dodaj typ relacji zgodnie z najlepszymi rozwiązaniami opisanymi w poniższej tabeli i w tabeli podsumowania relacji referencyjnej STIX 2.1:
Typ pokrewieństwa | opis |
---|---|
Duplikat elementu pochodnego z elementu powiązanegoz |
Typowe relacje zdefiniowane dla dowolnego obiektu domeny STIX (SDO) Aby uzyskać więcej informacji, zobacz temat STIX 2.1 reference on common relationships (Dokumentacja dotycząca typowych relacji w systemie STIX 2.1) |
Docelowe elementy |
Attack pattern lub Threat actor cele Identity |
Używa |
Threat actor Używa Attack pattern |
Przypisane do |
Threat actor Przypisane do Identity |
Wskazuje |
Indicator
Attack pattern Wskazuje lubThreat actor |
Personifikuje |
Threat actor Personifikuje Identity |
Na poniższej ilustracji przedstawiono połączenia między aktorem zagrożenia a wzorcem ataku, wskaźnikiem i tożsamością przy użyciu tabeli typów relacji.
Wyświetlanie analizy zagrożeń w interfejsie zarządzania
Użyj interfejsu zarządzania, aby sortować, filtrować i przeszukiwać analizę zagrożeń z dowolnego źródła, z którego zostały pozyskane bez konieczności pisania zapytania usługi Log Analytics.
Z poziomu interfejsu zarządzania rozwiń menu Co chcesz wyszukać?
Wybierz typ obiektu STIX lub pozostaw wartość domyślną Wszystkie typy obiektów.
Wybierz warunki przy użyciu operatorów logicznych.
Wybierz obiekt, o którym chcesz wyświetlić więcej informacji.
Na poniższej ilustracji do wyszukiwania użyto wielu źródeł, umieszczając je w OR
grupie, podczas gdy wiele warunków zostało zgrupowanych z operatorem AND
.
Usługa Microsoft Sentinel wyświetla tylko najnowszą wersję środowiska intel zagrożeń w tym widoku. Aby uzyskać więcej informacji na temat aktualizowania obiektów, zobacz Omówienie analizy zagrożeń.
Wskaźniki adresów IP i nazw domen są wzbogacone dodatkowymi GeoLocation
danymi, WhoIs
dzięki czemu można zapewnić więcej kontekstu dla wszystkich badań, w których znaleziono wskaźnik.
Oto przykład.
Ważne
GeoLocation
i WhoIs
wzbogacanie jest obecnie dostępne w wersji zapoznawczej.
Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują więcej warunków prawnych, które dotyczą funkcji platformy Azure w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Tagowanie i edytowanie analizy zagrożeń
Tagowanie analizy zagrożeń to szybki sposób grupowania obiektów w celu ułatwienia ich znajdowania. Zazwyczaj można stosować tagi związane z konkretnym zdarzeniem. Jeśli jednak obiekt reprezentuje zagrożenia ze strony określonego znanego aktora lub dobrze znanej kampanii ataku, rozważ utworzenie relacji zamiast tagu.
- Użyj interfejsu zarządzania do sortowania, filtrowania i wyszukiwania analizy zagrożeń.
- Po znalezieniu obiektów, z których chcesz pracować, należy wybrać jeden lub więcej obiektów tego samego typu.
- Wybierz pozycję Dodaj tagi i oznacz je jednocześnie jednym tagiem.
- Ponieważ tagowanie jest bezpłatne, zalecamy utworzenie standardowych konwencji nazewnictwa tagów w organizacji.
Edytuj jednocześnie jeden obiekt analizy zagrożeń, niezależnie od tego, czy został utworzony bezpośrednio w usłudze Microsoft Sentinel, czy ze źródeł partnerskich, takich jak serwery TIP i TAXII. W przypadku środowiska threat intel utworzonego w interfejsie zarządzania wszystkie pola można edytować. W przypadku analizy zagrożeń pozyskanych ze źródeł partnerów można edytować tylko określone pola, w tym tagi, datę wygaśnięcia, pewność siebie i odwołane. Tak czy inaczej, tylko najnowsza wersja obiektu jest wyświetlana w interfejsie zarządzania.
Aby uzyskać więcej informacji na temat aktualizowania funkcji intel zagrożeń, zobacz Wyświetlanie analizy zagrożeń.
Znajdowanie i wyświetlanie wskaźników za pomocą zapytań
W tej procedurze opisano sposób wyświetlania wskaźników zagrożeń w usłudze Log Analytics wraz z innymi danymi zdarzeń usługi Microsoft Sentinel, niezależnie od źródła danych lub metody użytej do ich pozyskiwania.
Wskaźniki zagrożeń są wymienione w tabeli usługi Microsoft Sentinel ThreatIntelligenceIndicator
. Ta tabela jest podstawą zapytań analizy zagrożeń wykonywanych przez inne funkcje usługi Microsoft Sentinel, takie jak analiza, wyszukiwanie zagrożeń i skoroszyty.
Aby wyświetlić wskaźniki analizy zagrożeń:
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Ogólne wybierz pozycję Dzienniki.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Badanie i wyszukiwanie odpowiedzi>>Zaawansowane wyszukiwanie zagrożeń.
Tabela
ThreatIntelligenceIndicator
znajduje się w grupie usługi Microsoft Sentinel .Wybierz ikonę Podgląd danych (oko) obok nazwy tabeli. Wybierz pozycję Zobacz w edytorze zapytań, aby uruchomić zapytanie zawierające rekordy z tej tabeli.
Wyniki powinny wyglądać podobnie do przykładowego wskaźnika zagrożenia pokazanego tutaj.
Wizualizowanie analizy zagrożeń za pomocą skoroszytów
Użyj specjalnie utworzonego skoroszytu usługi Microsoft Sentinel, aby zwizualizować kluczowe informacje o analizie zagrożeń w usłudze Microsoft Sentinel i dostosować skoroszyt zgodnie z potrzebami biznesowymi.
Poniżej przedstawiono sposób znajdowania skoroszytu analizy zagrożeń udostępnionego w usłudze Microsoft Sentinel oraz przykład sposobu wprowadzania zmian w skoroszycie w celu jego dostosowania.
W witrynie Azure Portal przejdź do usługi Microsoft Sentinel.
Wybierz obszar roboczy, do którego zaimportowane wskaźniki zagrożeń zostały zaimportowane przy użyciu łącznika danych analizy zagrożeń.
W sekcji Zarządzanie zagrożeniami w menu usługi Microsoft Sentinel wybierz pozycję Skoroszyty.
Znajdź skoroszyt zatytułowany Analiza zagrożeń. Sprawdź, czy masz dane w
ThreatIntelligenceIndicator
tabeli.Wybierz pozycję Zapisz i wybierz lokalizację platformy Azure, w której ma być przechowywany skoroszyt. Ten krok jest wymagany, jeśli zamierzasz zmodyfikować skoroszyt w jakikolwiek sposób i zapisać zmiany.
Teraz wybierz pozycję Wyświetl zapisany skoroszyt , aby otworzyć skoroszyt do wyświetlania i edytowania.
Teraz powinny zostać wyświetlone domyślne wykresy dostarczone przez szablon. Aby zmodyfikować wykres, wybierz pozycję Edytuj w górnej części strony, aby uruchomić tryb edycji skoroszytu.
Dodaj nowy wykres wskaźników zagrożeń według typu zagrożenia. Przewiń do dołu strony i wybierz pozycję Dodaj zapytanie.
Dodaj następujący tekst do pola tekstowego Zapytanie dziennika dziennika usługi Log Analytics:
ThreatIntelligenceIndicator | summarize count() by ThreatType
Zobacz więcej informacji na temat następujących elementów używanych w poprzednim przykładzie w dokumentacji usługi Kusto:
W menu rozwijanym Wizualizacja wybierz pozycję Wykres słupkowy.
Wybierz pozycję Zakończono edytowanie i wyświetl nowy wykres dla skoroszytu.
Skoroszyty udostępniają zaawansowane interaktywne pulpity nawigacyjne, które zapewniają wgląd we wszystkie aspekty usługi Microsoft Sentinel. Wiele zadań można wykonywać za pomocą skoroszytów, a udostępnione szablony są doskonałym punktem wyjścia. Dostosuj szablony lub utwórz nowe pulpity nawigacyjne, łącząc wiele źródeł danych, aby umożliwić wizualizowanie danych w unikatowy sposób.
Skoroszyty usługi Microsoft Sentinel są oparte na skoroszytach usługi Azure Monitor, dlatego dostępna jest obszerna dokumentacja i wiele innych szablonów. Aby uzyskać więcej informacji, zobacz Tworzenie interaktywnych raportów za pomocą skoroszytów usługi Azure Monitor.
Istnieje również bogaty zasób dla skoroszytów usługi Azure Monitor w witrynie GitHub, w którym można pobrać więcej szablonów i współtworzyć własne szablony.
Powiązana zawartość
Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Omówienie analizy zagrożeń w usłudze Microsoft Sentinel.
- Połącz usługę Microsoft Sentinel z kanałami informacyjnymi analizy zagrożeń STIX/TAXII.
- Zobacz, które elementy TIPs, taxiI feeds i wzbogacania można łatwo zintegrować z usługą Microsoft Sentinel.
Aby uzyskać więcej informacji na temat języka KQL, zobacz omówienie język zapytań Kusto (KQL).
Inne zasoby: