Compartilhar via

Trabalhar com inteligência contra ameaças no Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Acelere a detecção e a correção de ameaças com um fluxo de trabalho otimizado para criar e gerenciar inteligência contra ameaças cibernéticas. Este artigo mostra como aproveitar ao máximo a integração da inteligência contra ameaças na interface de gerenciamento, seja acessando pelo Microsoft Sentinel no portal do Azure ou usando a plataforma unificada de SecOps da Microsoft.

  • Criar objetos de inteligência contra ameaças usando STIX (expressão de informações estruturadas sobre ameaças )
  • Gerenciar a inteligência contra ameaças exibindo, selecionando e visualizando

Importante

O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para a versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.

Acessar a interface de gerenciamento

Consulte uma das guias abaixo, dependendo do portal onde deseja trabalhar com a inteligência contra ameaças. Embora a interface de gerenciamento seja acessada de formas diferentes dependendo do portal, as etapas para criação e gerenciamento são as mesmas.

No portal do Defender, navegue até Inteligência contra ameaças>Gerenciamento de inteligência.

Captura de tela mostrando o menu

Criar inteligência contra ameaças

Use a interface de gerenciamento para criar objetos STIX e executar outras tarefas comuns de inteligência contra ameaças, como marcação de indicadores e criação de conexões entre objetos de inteligência.

  • Defina relacionamentos ao criar novos objetos STIX.
  • Crie rapidamente vários objetos usando a função duplicar, que permite copiar os metadados de um objeto TI novo ou existente.

Para mais informações sobre objetos STIX compatíveis, confira o artigo Entenda a inteligência contra ameaças.

Criar um novo objeto STIX

  1. Selecione Adicionar novo>Objeto TI.

    Captura de tela que mostra a adição de um novo indicador de ameaça.

  2. Escolha o Tipo de objeto e preencha o formulário na página Novo objeto TI. Os campos obrigatórios estão marcados com um asterisco vermelho (*).

  3. Se você sabe como este objeto está relacionado a outro objeto de inteligência contra ameaças, indique essa conexão com o Tipo de relacionamento e a Referência-alvo.

  4. Selecione Adicionar para criar um objeto individual ou Adicionar e duplicar se desejar criar vários itens com os mesmos metadados. A imagem a seguir mostra a seção comum de metadados de cada objeto STIX que pode ser duplicada.

Captura de tela mostrando a criação de um novo objeto STIX e os metadados comuns disponíveis para todos os objetos.

Gerenciar a inteligência contra ameaças

Otimize a TI de suas fontes com regras de ingestão. Colete inteligência contra ameaças (TI) com o construtor de relacionamentos. Use a interface de gerenciamento para pesquisar, filtrar e classificar objetos de inteligência contra ameaças.

Otimizar feeds de inteligência contra ameaças com regras de ingestão

Reduza o ruído dos seus feeds de TI, estenda a validade dos indicadores de alto valor e adicione marcas significativas a objetos de entrada. Esses são apenas alguns dos casos de uso das regras de ingestão. Aqui estão as etapas para estender a data de validade em indicadores de alto valor.

  1. Selecione Regras de ingestão para abrir uma nova página inteira para exibir as regras existentes e construir uma nova lógica de regra.

    Captura de tela mostrando o menu de gerenciamento de inteligência contra ameaças passando o mouse sobre as regras de ingestão.

  2. Insira um nome descritivo para a sua regra. A página regras de ingestão tem uma regra ampla para o nome, mas é a única descrição de texto disponível para diferenciar suas regras sem editá-las.

  3. Selecione o Tipo de objeto. Esse caso de uso se baseia na extensão da propriedade Valid from que só está disponível para tipos de objeto Indicator.

  4. Adicione a condição para SourceEquals e selecione seu valor alto Source.

  5. Adicione a condição para ConfidenceGreater than or equal e insira uma pontuação Confidence.

  6. Selecione a Ação. Como queremos modificar esse indicador, selecione Edit.

  7. Selecione Adicionar ação para Valid until, Extend bye selecione um intervalo de tempo em dias.

  8. Considere adicionar uma marca para indicar o alto valor colocado nesses indicadores, como Extended. A data modificada não é atualizada pelas regras de ingestão.

  9. Selecione a Ordem em que você deseja que a regra seja executada. As regras são executadas do menor número para o maior. Cada regra avalia cada objeto ingerido.

  10. Se a regra estiver pronta para ser habilitada, alterne o Status para ativado.

  11. Selecione Adicionar para criar a regra de ingestão.

Captura de tela mostrando a criação da nova regra de ingestão para estender a data Válido até.

Para obter mais informações, consulte Entender regras de ingestão de inteligência contra ameaças.

Coletar inteligência contra ameaças com o construtor de relacionamentos

Conecte objetos de inteligência contra ameaças ao construtor de relacionamentos. O construtor permite até 20 relacionamentos simultâneos, mas é possível criar mais conexões em várias iterações, adicionando referências-alvo de relacionamento a novos objetos.

  1. Comece com um objeto, como um "ator da ameaça" ou "padrão de ataque", que se conecta a um ou mais objetos, como indicadores.

  2. Adicione o tipo de relacionamento conforme as melhores práticas descritas na tabela abaixo e na referência Tabela de resumo de relação de referência STIX 2.1:

Tipo de relacionamento Descrição
Duplicata de
Derivado de
Relacionado a		 Relações comuns definidas para qualquer objeto de domínio STIX (SDO)
Para mais informações, confira Referência STIX 2.1 em relacionamentos comuns
Destinos Attack pattern ou Threat actor tem como alvo Identity
Usa Threat actor usaAttack pattern
Atribuído a Threat actor atribuído a Identity
Indica Indicator indica Attack pattern ou Threat actor
Representa Threat actor representa Identity

A imagem a seguir demonstra conexões feitas entre um ator da ameaça e um padrão de ataque, indicador e identidade, usando a tabela de tipos de relacionamento.

Captura de tela mostrando o construtor de relacionamentos.

Exibir a inteligência contra ameaças na interface de gerenciamento

Use a interface de gerenciamento para classificar, filtrar e pesquisar objetos de inteligência contra ameaças de qualquer fonte de ingestão sem a necessidade de escrever uma consulta no Log Analytics.

  1. Na interface de gerenciamento, expanda o menu O que você deseja pesquisar?.

  2. Selecione um tipo de objeto STIX ou mantenha o padrão Todos os tipos de objetos.

  3. Selecione condições usando operadores lógicos.

  4. Selecione o objeto para ver mais informações.

Na imagem abaixo, várias fontes foram utilizadas na pesquisa, agrupando-as dentro de um grupoOR, enquanto várias condições foram organizadas no operador AND.

Captura de tela mostrando o uso do operador OR combinado com várias condições AND para buscar inteligência contra ameaças.

O Microsoft Sentinel exibe apenas a versão mais atual da sua inteligência contra ameaças nessa exibição. Para obter mais informações sobre como os objetos são atualizados, confira Entender a inteligência contra ameaças.

Indicadores de IP e nome de domínio são enriquecidos com dados extras GeoLocation e WhoIs para fornecer mais contexto para investigações em que o indicador for identificado.

Veja um exemplo.

Captura de tela mostrando a página Inteligência contra ameaças com um indicador mostrando dados de GeoLocation e WhoIs.

Importante

O enriquecimento de GeoLocation e WhoIs está atualmente em versão prévia. Os Termos Complementares de Versões Prévias do Azure incluem termos legais adicionais aplicáveis aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Marcar e editar inteligência contra ameaças

A marcação de inteligência contra ameaças é uma forma rápida de agrupar objetos, facilitando sua localização. Normalmente, você pode aplicar marcas relacionadas a um incidente específico. No entanto, se um objeto representa ameaças de um agente conhecido ou de uma campanha de ataque bem documentada, considere criar um relacionamento em vez de uma marca.

  1. Use a interface de gerenciamento para ordenar, filtrar e pesquisar seus objetos de inteligência contra ameaças.
  2. Após localizar os objetos desejados, selecione um ou vários objetos do mesmo tipo.
  3. Selecione Adicionar marcas para atribuir uma ou mais marcas a todos os objetos de uma vez.
  4. Como a marcação é livre, recomendamos que você crie convenções de nomenclatura padrão para as marcas da sua organização.

A edição pode ser feita objeto por objeto, independentemente de terem sido criados diretamente no Microsoft Sentinel ou ingeridos de fontes parceiras, como servidores TIP e TAXII. Você pode editar todos os campos dos objetos criados na interface de gerenciamento. Para inteligência contra ameças ingeridas de fontes de parceiros, somente alguns campos específicos são editáveis, como marcas, Data de validade, Confiança e Revogado. De qualquer forma, apenas a versão mais recente do objeto aparece na interface de gerenciamento.

Para mais informações sobre como a inteligência contra ameaças é atualizada, veja o artigo Visualizar sua inteligência contra ameaças.

Localizar e exibir indicadores em consultas

Este procedimento explica como exibir seus indicadores de ameaça no Log Analytics, junto com outros dados de eventos do Microsoft Sentinel, independentemente do feed de origem ou do método de ingestão.

Os indicadores de ameaça estão listados na tabela ThreatIntelligenceIndicator do Microsoft Sentinel. Esta tabela serve como base para consultas de inteligência contra ameaças executadas por outros recursos do Microsoft Sentinel, como Análise, Busca e Pastas de Trabalho.

Para exibir seus indicadores de inteligência contra ameaças:

  1. Para o Microsoft Sentinel noportal do Azure, em Geral , selecioneLogs .

    Para o Microsoft Sentinel no portal do Defender, selecione Investigação e resposta>Busca>Busca avançada.

  2. A tabela ThreatIntelligenceIndicator está localizada no grupo do Microsoft Sentinel.

  3. Selecione o ícone de Dados de visualização (o olho) ao lado do nome da tabela. Selecione Ver no editor de consultas para executar uma consulta que mostra os registros desta tabela.

    Os resultados devem ser semelhantes ao exemplo de indicador de ameaça mostrado aqui.

    A captura de tela mostra os resultados da tabela ThreatIntelligenceIndicator de amostra com os detalhes expandidos.

Visualizar sua inteligência contra ameaças com pastas de trabalho

Use uma pasta de trabalho do Microsoft Azure Sentinel desenvolvida especificamente para visualizar informações importantes sobre sua inteligência contra ameaças no Microsoft Azure Sentinel e personalize facilmente a pasta de trabalho de acordo com suas necessidades de negócios.

Veja como encontrar a pasta de trabalho de inteligência contra ameaças fornecida no Microsoft Azure Sentinel e um exemplo de como fazer edições nela para personalizá-la.

  1. Do Azure portal, acesse o Microsoft Sentinel.

  2. Escolha o workspace para o qual você importou indicadores de ameaça usando o conector de dados da inteligência contra ameaças.

  3. Na seção Gerenciamento de ameaças do menu do Microsoft Azure Sentinel, selecione Pastas de trabalho.

  4. Localize a pasta de trabalho intitulada Inteligência contra Ameaças. Verifique se você tem dados na tabela ThreatIntelligenceIndicator.

    Captura de tela que mostra a verificação de que você tem dados.

  5. Selecione Salvar e escolha um local do Azure no qual armazenar a pasta de trabalho. Essa etapa será obrigatória se você modificar a pasta de trabalho de qualquer forma e salvar suas alterações.

  6. Agora clique no botão Exibir pasta de trabalho salva para abrir a pasta de trabalho para exibição e edição.

  7. Você verá os gráficos padrão fornecidos pelo modelo. Para modificar um gráfico, selecione o botão Editar na parte superior da página para entrar no modo de edição da pasta de trabalho.

  8. Adicione um novo gráfico de indicadores de ameaça por tipo de ameaça. Role até o final da página e selecione Adicionar consulta.

  9. Adicione o seguinte texto à caixa de texto Consulta de Log do workspace do Log Analytics:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

    Confira mais informações sobre os seguintes itens usados no exemplo anterior, na documentação do Kusto:

  10. No menu Visualização, selecione Gráfico de barras.

  11. Selecione Edição concluída e exiba o novo gráfico para sua pasta de trabalho.

    Captura de tela que mostra um gráfico de barras para a pasta de trabalho.

As pastas de trabalho contam com painéis interativos avançados que fornecem informações sobre todos os aspectos do Microsoft Azure Sentinel. Você pode realizar muitas tarefas com pastas de trabalho, e os modelos fornecidos são um ótimo ponto de partida. Personalize os modelos ou crie painéis combinando muitas fontes de dados para que você possa visualizar seus dados de maneiras exclusivas.

As pastas de trabalho do Microsoft Sentinel são baseadas nas pastas de trabalho do Azure Monitor, de modo que uma extensa documentação e muitos outros modelos estão disponíveis. Para obter mais informações, consulte Criar relatórios interativos com pastas de trabalho do Azure Monitor.

Há também um recurso avançado para Pastas de trabalho do Azure Monitor no GitHub, em que você pode baixar mais modelos e contribuir com seus próprios modelos.

Conteúdo relacionado

Para obter mais informações, consulte os seguintes artigos:

Para mais informações sobre o KQL, confira a visão geral da Linguagem de Consulta Kusto (KQL).

Outros recursos: