Compartilhar via


Adicionar entidades à inteligência contra ameaças no Microsoft Sentinel

Durante uma investigação, você examina entidades e seu contexto como uma parte importante da compreensão do escopo e da natureza de um incidente. Quando você descobre uma entidade, como um nome de domínio mal-intencionado, uma URL, um arquivo ou um endereço IP no incidente, ela deve ser rotulada e rastreada como um indicador de comprometimento (IOC) em sua inteligência contra ameaças.

Por exemplo, você poderá descobrir um endereço IP executando verificações de porta em sua rede ou funcionando como um nó de comando e controle, enviando e/ou recebendo transmissões de um grande número de nós em sua rede.

Com o Microsoft Sentinel, você pode sinalizar esses tipos de entidades de dentro de sua investigação de incidentes e adicioná-las à inteligência contra ameaças. Você pode exibir os indicadores adicionados nos Logs e na Inteligência contra Ameaças e usá-los em seu workspace do Microsoft Sentinel.

Adicionar uma entidade à inteligência contra ameaças

A Página de detalhes do incidente e o grafo de investigação fornecem duas maneiras de adicionar entidades à inteligência contra ameaças.

  1. No menu do Microsoft Sentinel, selecione Incidentes na seção de Gerenciamento de ameaças.

  2. Selecione um incidente para investigar. No painel Detalhes do incidente, selecione Exibir detalhes completos para abrir a página Detalhes do incidente.

  3. No painel Entidades, localize a entidade que você deseja adicionar como um indicador de ameaça. (Você pode filtrar a lista ou inserir uma cadeia de caracteres de pesquisa para ajudar a localizá-la).

    Captura de tela que mostra a página Detalhes do incidente.

  4. Selecione os três pontos à direita da entidade e selecione Adicionar à TI no menu pop-up.

    Adicione apenas os seguintes tipos de entidades como indicadores de ameaça:

    • Nome de domínio
    • Endereço IP (IPv4 e IPv6)
    • URL
    • Arquivo (hash)

    Captura de tela que mostra a adição de uma entidade à inteligência contra ameaças.

Independentemente das duas interfaces que você escolher, você acabará aqui.

  1. O painel lateral Novo indicador será aberto. Os seguintes campos serão preenchidos automaticamente:

    • Types

      • O tipo de indicador representado pela entidade que você está adicionando.
        • Lista suspensa com valores possíveis: ipv4-addr, ipv6-addr, URL, filee domain-name.
      • Obrigatória. Preenchido automaticamente com base no tipo de entidade.
    • Valor

      • O nome desse campo muda dinamicamente para o tipo de indicador selecionado.
      • O valor do próprio indicador.
      • Obrigatória. Preenchido automaticamente pelo valor da entidade.
    • Marcas

      • Marcas de texto livre que você pode adicionar ao indicador.
      • Opcional. Preenchido automaticamente pela ID do incidente. Você pode adicionar outras pessoas.
    • Nome

      • Nome do indicador. Esse nome é o que aparece na sua lista de indicadores.
      • Opcional. Preenchido automaticamente pelo nome do incidente.
    • Criado por

      • Criador do indicador.
      • Opcional. Preenchido automaticamente pelo usuário conectado ao Microsoft Sentinel.

    Preencha os campos restantes e selecione de acordo.

    • Tipos de ameaça

      • O tipo de ameaça representado pelo indicador.
      • Opcional. Texto livre.
    • Descrição

      • Descrição do indicador.
      • Opcional. Texto livre.
    • Revogado

      • Status revogado do indicador. Marque a caixa de seleção para revogar o indicador. Desmarque a caixa de seleção para torná-la ativa.
      • Opcional. Booliano.
    • Confiança

      • Pontuação que reflete a confiança na correção dos dados, em porcentagem.
      • Opcional. Inteiro, 1-100.
    • Encerrar as cadeias

    • Válido desde

      • O tempo a partir do qual esse indicador é considerado válido.
      • Obrigatória. Data/hora.
    • Válido até

      • O momento no qual esse indicador não deve mais ser considerado válido.
      • Opcional. Data/hora.

    Captura de tela que mostra a inserção de informações no novo painel indicador de ameaças.

  2. Quando todos os campos forem preenchidos para sua satisfação, selecione Aplicar. Uma mensagem é exibida no canto superior direito para confirmar que o indicador foi criado.

  3. A entidade será adicionada como um indicador de ameaça em seu workspace. Você poderá encontrá-la na lista de indicadores na página Inteligência contra ameaças. Você também poderá encontrá-la na tabela ThreatIntelligenceIndicators no Logs.

Neste artigo, você aprendeu a adicionar entidades às listas de indicadores de ameaças. Para obter mais informações, consulte os seguintes artigos: