Compreender a inteligência sobre ameaças no Microsoft Sentinel
O Microsoft Sentinel é uma solução de gerenciamento de eventos e informações de segurança (SIEM) nativa da nuvem com a capacidade de ingerir, selecionar e gerenciar informações sobre ameaças de várias fontes.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Introdução à inteligência de ameaças
Inteligência de ameaças cibernéticas (CTI) é uma informação que descreve ameaças existentes ou potenciais a sistemas e usuários. Essa inteligência assume muitas formas, como relatórios escritos que detalham as motivações, a infraestrutura e as técnicas de um determinado agente de ameaça. Também podem ser observações específicas de endereços IP, domínios, hashes de arquivos e outros artefatos associados a ameaças cibernéticas conhecidas.
As organizações usam a CTI para fornecer contexto essencial para atividades incomuns, para que o pessoal de segurança possa agir rapidamente para proteger suas pessoas, informações e ativos. Você pode obter CTI de vários lugares, como:
- Feeds de dados de código aberto
- Comunidades de compartilhamento de informações sobre ameaças
- Feeds de inteligência comercial
- Informações locais recolhidas no decurso de investigações de segurança dentro de uma organização
Para soluções SIEM como o Microsoft Sentinel, as formas mais comuns de CTI são indicadores de ameaça, que também são conhecidos como indicadores de comprometimento (IOCs) ou indicadores de ataque. Os indicadores de ameaça são dados que associam artefatos observados, como URLs, hashes de arquivos ou endereços IP, a atividades de ameaças conhecidas, como phishing, botnets ou malware. Esta forma de inteligência de ameaças é frequentemente chamada de inteligência tática de ameaças. É aplicado a produtos de segurança e automação em grande escala para detetar ameaças potenciais a uma organização e protegê-las contra elas.
Outra faceta da inteligência de ameaças representa os agentes de ameaça, suas técnicas, táticas e procedimentos (TTPs), sua infraestrutura e as identidades de suas vítimas. O Microsoft Sentinel suporta o gerenciamento dessas facetas junto com IOCs, expressas usando o padrão de código aberto para troca de CTI conhecido como STIX (structured threat information expression). A inteligência de ameaças expressa como objetos STIX melhora a interoperabilidade e capacita as organizações a caçar com mais eficiência. Use objetos STIX de inteligência de ameaças no Microsoft Sentinel para detetar atividades maliciosas observadas em seu ambiente e fornecer o contexto completo de um ataque para informar as decisões de resposta.
A tabela a seguir descreve as atividades necessárias para aproveitar ao máximo a integração de inteligência contra ameaças (TI) no Microsoft Sentinel:
| Ação | Descrição |
|---|---|
| Armazene informações sobre ameaças no espaço de trabalho do Microsoft Sentinel |
|
| Gerencie informações sobre ameaças |
|
| Use informações sobre ameaças |
|
A inteligência de ameaças também fornece contexto útil em outras experiências do Microsoft Sentinel, como notebooks. Para obter mais informações, consulte Introdução aos blocos de anotações e MSTICPy.
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Importe e conecte informações sobre ameaças
A maioria das informações sobre ameaças é importada usando conectores de dados ou uma API. Configure regras de ingestão para reduzir o ruído e garantir que seus feeds de inteligência sejam otimizados. Aqui estão as soluções disponíveis para o Microsoft Sentinel.
- Conector de dados do Microsoft Defender Threat Intelligence para ingerir a inteligência de ameaças da Microsoft
- Threat Intelligence - conector de dados TAXII para feeds STIX/TAXII padrão do setor
- API de upload do Threat Intelligence para feeds TI integrados e selecionados usando uma API REST para se conectar (não requer um conector de dados)
- O conector de dados da Threat Intelligence Platform também conecta feeds de TI usando uma API REST herdada, mas está no caminho da descontinuação
Use essas soluções em qualquer combinação, dependendo de onde sua organização obtém informações sobre ameaças. Todos esses conectores de dados estão disponíveis no hub de conteúdo como parte da solução de inteligência de ameaças . Para obter mais informações sobre esta solução, consulte a entrada do Azure Marketplace Threat Intelligence.
Além disso, consulte este catálogo de integrações de inteligência de ameaças que estão disponíveis com o Microsoft Sentinel.
Adicione informações sobre ameaças ao Microsoft Sentinel com o conector de dados do Defender Threat Intelligence
Traga IOCs públicos, de código aberto e de alta fidelidade gerados pelo Defender Threat Intelligence para o seu espaço de trabalho do Microsoft Sentinel com os conectores de dados do Defender Threat Intelligence. Com uma configuração simples com um clique, use a inteligência de ameaças dos conectores de dados padrão e premium do Defender Threat Intelligence para monitorar, alertar e caçar.
Existem duas versões do conector de dados, standard e premium. Há também uma regra de análise de ameaças do Defender Threat Intelligence disponível gratuitamente que oferece uma amostra do que o conector de dados premium do Defender Threat Intelligence fornece. No entanto, com a análise de correspondência, apenas os indicadores que correspondem à regra são ingeridos em seu ambiente.
O conector de dados premium do Defender Threat Intelligence ingere inteligência de código aberto enriquecida pela Microsoft e IOCs com curadoria da Microsoft. Esses recursos premium permitem a análise de mais fontes de dados com maior flexibilidade e compreensão dessa inteligência de ameaças. Aqui está uma tabela que mostra o que esperar quando você licenciar e ativar a versão premium.
| Gratuito | Premium |
|---|---|
| COI públicas | |
| Inteligência de código aberto (OSINT) | |
| Microsoft IOCs | |
| OSINT enriquecido pela Microsoft |
Para obter mais informações, consulte os seguintes artigos:
- Para saber como obter uma licença premium e explorar todas as diferenças entre as versões padrão e premium, consulte Explore as licenças do Defender Threat Intelligence.
- Para saber mais sobre a experiência gratuita do Defender Threat Intelligence, consulte Apresentando a experiência gratuita do Defender Threat Intelligence para o Microsoft Defender XDR.
- Para saber como habilitar o Defender Threat Intelligence e os conectores de dados premium do Defender Threat Intelligence, consulte Habilitar o conector de dados do Defender Threat Intelligence.
- Para saber mais sobre análises de correspondência, consulte Usar análises de correspondência para detetar ameaças.
Adicione informações sobre ameaças ao Microsoft Sentinel com a API de carregamento
Muitas organizações usam soluções de plataforma de inteligência de ameaças (TIP) para agregar feeds de indicadores de ameaças de várias fontes. A partir do feed agregado, os dados são selecionados para serem aplicados a soluções de segurança, como dispositivos de rede, soluções EDR/XDR ou SIEMs, como o Microsoft Sentinel. A API de carregamento permite que você use essas soluções para importar objetos STIX de inteligência de ameaças para o Microsoft Sentinel.
A nova API de carregamento não requer um conector de dados e oferece as seguintes melhorias:
- Os campos do indicador de ameaça são baseados no formato padronizado STIX.
- O aplicativo Microsoft Entra requer a função de Colaborador do Microsoft Sentinel.
- O ponto de extremidade de solicitação de API tem escopo no nível do espaço de trabalho. As permissões necessárias do aplicativo Microsoft Entra permitem a atribuição granular no nível do espaço de trabalho.
Para obter mais informações, consulte Conectar sua plataforma de inteligência de ameaças usando a API de upload
Adicione informações sobre ameaças ao Microsoft Sentinel com o conector de dados da Threat Intelligence Platform
Nota
Esse conector de dados agora está em um caminho para descontinuação.
Assim como a API de upload, o conector de dados da Threat Intelligence Platform usa uma API que permite que sua TIP ou solução personalizada envie informações sobre ameaças para o Microsoft Sentinel. No entanto, esse conector de dados é limitado apenas a indicadores e agora está em um caminho para a descontinuação. Recomendamos que você aproveite as otimizações que a API de upload tem a oferecer.
O conector de dados TIP usa a API tiIndicators do Microsoft Graph Security que não suporta outros objetos STIX. Use-o com qualquer TIP personalizada que se comunique com a API tiIndicators para enviar indicadores para o Microsoft Sentinel (e para outras soluções de segurança da Microsoft, como o Defender XDR).
Para obter mais informações sobre as soluções TIP integradas ao Microsoft Sentinel, consulte Produtos de plataforma integrada de inteligência contra ameaças. Para obter mais informações, consulte Conectar sua plataforma de inteligência de ameaças ao Microsoft Sentinel.
Adicione informações sobre ameaças ao Microsoft Sentinel com o conector de dados Threat Intelligence - TAXII
O padrão da indústria mais amplamente adotado para a transmissão de informações sobre ameaças é uma combinação do formato de dados STIX e do protocolo TAXII. Se a sua organização obtiver informações sobre ameaças de soluções que suportem a versão atual do STIX/TAXII (2.0 ou 2.1), use o conector de dados Threat Intelligence - TAXII para trazer sua inteligência de ameaças para o Microsoft Sentinel. O conector de dados Threat Intelligence - TAXII permite que um cliente TAXII integrado no Microsoft Sentinel importe informações sobre ameaças de servidores TAXII 2.x.
Para importar informações sobre ameaças formatadas em STIX para o Microsoft Sentinel a partir de um servidor TAXII:
- Obtenha a raiz da API do servidor TAXII e a ID da coleção.
- Habilite o conector de dados Threat Intelligence - TAXII no Microsoft Sentinel.
Para obter mais informações, consulte Conectar o Microsoft Sentinel a feeds de inteligência de ameaças STIX/TAXII.
Crie e gerencie informações sobre ameaças
A inteligência de ameaças fornecida pelo Microsoft Sentinel é gerenciada ao lado do Microsoft Defender Threat Intelligence (MDTI) e do Threat Analytics na plataforma unificada SecOps da Microsoft.
Nota
A inteligência de ameaças no portal do Azure ainda é acessada a partir do Microsoft Sentinel>Threat management>Threat intelligence Threat intelligence.
Duas das tarefas mais comuns de inteligência de ameaças são a criação de novas informações sobre ameaças relacionadas a investigações de segurança e a adição de tags. A interface de gerenciamento simplifica o processo manual de curadoria de informações sobre ameaças individuais com alguns recursos importantes.
- Configure regras de ingestão para otimizar informações sobre ameaças de fontes de entrada.
- Defina relações à medida que cria novos objetos STIX.
- Cubra a TI existente com o construtor de relacionamentos.
- Copie metadados comuns de um objeto TI novo ou existente com o recurso duplicado.
- Adicione tags de forma livre a objetos com seleção múltipla.
Os seguintes objetos STIX estão disponíveis no Microsoft Sentinel: 
| Objeto STIX | Description |
|---|---|
| Agente de ameaça | De roteiristas a estados-nação, objetos de atores de ameaças descrevem motivações, sofisticação e níveis de recursos. |
| Padrão de ataque | Também conhecidos como técnicas, táticas e procedimentos, os padrões de ataque descrevem um componente específico de um ataque e o estágio MITRE ATT&CK em que ele é usado. |
| Indicador |
Domain name, URL, IPv4 address, IPv6 address, e File hashesX509 certificates são utilizados para autenticar a identidade de dispositivos e servidores para uma comunicação segura através da Internet.
JA3 as impressões digitais são identificadores exclusivos gerados a partir do processo de handshake TLS/SSL. Eles ajudam na identificação de aplicativos e ferramentas específicas usadas no tráfego de rede, facilitando a deteção de atividadesJA3S maliciosas As impressões digitais ampliam os recursos do JA3, incluindo também características específicas do servidor no processo de impressão digital. Esta extensão fornece uma visão mais abrangente do tráfego de rede e ajuda na identificação de ameaças do lado do cliente e do servidor.
User agents Forneça informações sobre o software cliente que faz solicitações a um servidor, como o navegador ou o sistema operacional. Eles são úteis para identificar e criar perfis de dispositivos e aplicativos que acessam uma rede. |
| Identidade | Descreva vítimas, organizações e outros grupos ou indivíduos, juntamente com os setores de negócios mais estreitamente associados a eles. |
| Relação | Os threads que conectam inteligência de ameaças, ajudando a fazer conexões entre sinais e pontos de dados díspares, são descritos com relacionamentos. |
Configurar regras de ingestão
Otimize os feeds de inteligência de ameaças filtrando e aprimorando objetos antes que eles sejam entregues ao seu espaço de trabalho. As regras de ingestão atualizam atributos ou filtram objetos todos juntos. A tabela a seguir lista alguns casos de uso:
| Caso de uso da regra de ingestão | Description |
|---|---|
| Reduzir o ruído | Filtre informações de ameaças antigas não atualizadas por 6 meses que também tenham baixa confiança. |
| Prolongar a data de validade | Promova IOCs de alta fidelidade de fontes confiáveis, estendendo o seu Valid until por 30 dias. |
| Lembre-se dos velhos tempos | A nova taxonomia de atores de ameaças é ótima, mas alguns dos analistas querem ter certeza de marcar os nomes antigos. |
Tenha em mente as seguintes dicas para usar as regras de ingestão:
- Todas as regras se aplicam em ordem. Os objetos de inteligência de ameaças que estão sendo ingeridos serão processados por cada regra até que uma
Deleteação seja tomada. Se nenhuma ação for tomada em um objeto, ele será ingerido da fonte como está. - A
Deleteação significa que o objeto de inteligência de ameaças é ignorado para ingestão, o que significa que é removido do pipeline. Quaisquer versões anteriores do objeto já ingerido não são afetadas. - Regras novas e editadas levam até 15 minutos para entrar em vigor.
Para obter mais informações, consulte Trabalhar com regras de ingestão de informações sobre ameaças.
Criar relações
Melhore a deteção e a resposta a ameaças estabelecendo conexões entre objetos com o construtor de relacionamentos. A tabela a seguir lista alguns de seus casos de uso:
| Caso de uso de relacionamento | Description |
|---|---|
| Conectar um agente de ameaça a um padrão de ataque | O agente APT29de ameaça Usa o padrão Phishing via Email de ataque para obter acesso inicial. |
| Vincular um indicador a um agente de ameaça | Um indicador allyourbase.contoso.com de domínio é atribuído ao agente APT29de ameaça. |
| Associar uma identidade (vítima) a um padrão de ataque | O padrão Phishing via Emailde ataque tem como alvo a FourthCoffee organização. |
A imagem a seguir mostra como o construtor de relacionamentos conecta todos esses casos de uso.
Organizar informações sobre ameaças
Configure quais objetos de TI podem ser compartilhados com públicos apropriados designando um nível de sensibilidade chamado TLP (Traffic Light Protocol).
| Cor TLP | Sensibilidade |
|---|---|
| Caucasiano | As informações podem ser partilhadas livre e publicamente sem quaisquer restrições. |
| Verde | As informações podem ser compartilhadas com colegas e organizações parceiras dentro da comunidade, mas não publicamente. Destina-se a um público mais amplo dentro da comunidade. |
| Bárbara | As informações podem ser compartilhadas com os membros da organização, mas não publicamente. Destina-se a ser usado dentro da organização para proteger informações confidenciais. |
| Vermelho | As informações são altamente confidenciais e não devem ser compartilhadas fora do grupo ou reunião específica onde foram originalmente divulgadas. |
Defina valores TLP para objetos TI na interface do usuário ao criá-los ou editá-los. A configuração de TLP através da API é menos intuitiva e requer a escolha de um dos quatro marking-definition GUIDs de objeto. Para obter mais informações sobre como configurar o TLP por meio da API, consulte object_marking_refs nas propriedades comuns da API de carregamento
Outra forma de fazer a curadoria de TI é com tags. Marcar informações sobre ameaças é uma maneira rápida de agrupar objetos para torná-los mais fáceis de encontrar. Normalmente, você pode aplicar tags relacionadas a um incidente específico. Mas, se um objeto representar ameaças de um determinado ator conhecido ou campanha de ataque conhecida, considere criar um relacionamento em vez de uma tag. Depois de pesquisar e filtrar as informações sobre ameaças com as quais deseja trabalhar, marque-as individualmente ou faça uma seleção múltipla e marque-as todas de uma vez. Como a marcação é de forma livre, recomendamos que você crie convenções de nomenclatura padrão para tags de inteligência de ameaças.
Para obter mais informações, consulte Trabalhar com informações sobre ameaças no Microsoft Sentinel.
Veja a sua inteligência sobre ameaças
Veja a sua inteligência sobre ameaças a partir da interface de gestão. Use a pesquisa avançada para classificar e filtrar seus objetos de inteligência de ameaças sem sequer escrever uma consulta do Log Analytics.
Exiba seus indicadores armazenados no espaço de trabalho do Log Analytics habilitado para Microsoft Sentinel. A ThreatIntelligenceIndicator tabela sob o esquema do Microsoft Sentinel é onde todos os seus indicadores de ameaça do Microsoft Sentinel são armazenados. Esta tabela é a base para consultas de inteligência de ameaças realizadas por outros recursos do Microsoft Sentinel, como análises, consultas de caça e pastas de trabalho.
Importante
As tabelas que suportam o novo esquema de objeto STIX estão em visualização privada. Para visualizar os objetos STIX em consultas e desbloquear o modelo de caça que os utiliza, solicite a aceitação deste formulário. Ingerir a sua inteligência sobre ameaças nas novas tabelas eThreatIntelObjects, ThreatIntelIndicator ao lado ou em vez da tabela atual, ThreatIntelligenceIndicatorcom este processo de aceitação.
Aqui está uma exibição de exemplo de uma consulta básica apenas para indicadores de ameaça usando a tabela atual.
Os indicadores de inteligência de ameaças são ingeridos na ThreatIntelligenceIndicator tabela do seu espaço de trabalho do Log Analytics como somente leitura. Sempre que um indicador é atualizado, uma nova entrada na ThreatIntelligenceIndicator tabela é criada. Apenas o indicador mais atual aparece na interface de gerenciamento. O IndicatorId Microsoft Sentinel desduplica indicadores com base nas propriedades e SourceSystem e escolhe o indicador com o mais recente TimeGenerated[UTC].
A IndicatorId propriedade é gerada usando o ID do indicador STIX. Quando os indicadores são importados ou criados a partir de fontes não-STIX, IndicatorId é gerado a partir da fonte e do padrão do indicador.
Para obter mais informações, consulte Trabalhar com informações sobre ameaças no Microsoft Sentinel.
Ver o seu enriquecimento de dados GeoLocation e WhoIs (pré-visualização pública)
A Microsoft enriquece indicadores de IP e domínio com dados extras GeoLocation para WhoIs fornecer mais contexto para investigações onde o COI selecionado é encontrado.
Exiba GeoLocation e WhoIs forneça dados no painel Threat Intelligence para esses tipos de indicadores de ameaça importados para o Microsoft Sentinel.
Por exemplo, use GeoLocation dados para localizar informações como a organização ou o país ou região de um indicador IP. Use WhoIs dados para localizar dados como registradores e dados de criação de registros de um indicador de domínio.
Detete ameaças com análise de indicadores de ameaças
O caso de uso mais importante para inteligência de ameaças em soluções SIEM como o Microsoft Sentinel é potencializar as regras de análise para deteção de ameaças. Essas regras baseadas em indicadores comparam eventos brutos de suas fontes de dados com seus indicadores de ameaças para detetar ameaças à segurança em sua organização. No Microsoft Sentinel Analytics, você cria regras de análise alimentadas por consultas que são executadas de acordo com uma programação e geram alertas de segurança. Juntamente com as configurações, eles determinam com que frequência a regra deve ser executada, que tipo de resultados de consulta devem gerar alertas e incidentes de segurança e, opcionalmente, quando acionar uma resposta automatizada.
Embora você sempre possa criar novas regras de análise do zero, o Microsoft Sentinel fornece um conjunto de modelos de regras internos, criados por engenheiros de segurança da Microsoft, para aproveitar seus indicadores de ameaça. Esses modelos são baseados no tipo de indicadores de ameaça (domínio, e-mail, hash de arquivo, endereço IP ou URL) e eventos de fonte de dados que você deseja corresponder. Cada modelo lista as fontes necessárias para que a regra funcione. Essas informações facilitam a determinação se os eventos necessários já foram importados no Microsoft Sentinel.
Por padrão, quando essas regras internas são acionadas, um alerta é criado. No Microsoft Sentinel, os alertas gerados a partir de regras de análise também geram incidentes de segurança. No menu Microsoft Sentinel, em Gerenciamento de ameaças, selecione Incidentes. Incidentes são o que suas equipes de operações de segurança triam e investigam para determinar as ações de resposta apropriadas. Para obter mais informações, consulte Tutorial: Investigar incidentes com o Microsoft Sentinel.
Para obter mais informações sobre como usar indicadores de ameaças em suas regras de análise, consulte Usar inteligência de ameaças para detetar ameaças.
A Microsoft fornece acesso à sua inteligência de ameaças por meio da regra de análise do Defender Threat Intelligence. Para obter mais informações sobre como aproveitar essa regra, que gera alertas e incidentes de alta fidelidade, consulte Usar análise de correspondência para detetar ameaças.
As pastas de trabalho fornecem informações sobre suas informações sobre ameaças
As pastas de trabalho fornecem painéis interativos poderosos que fornecem informações sobre todos os aspetos do Microsoft Sentinel, e a inteligência contra ameaças não é exceção. Use a pasta de trabalho interna do Threat Intelligence para visualizar as principais informações sobre sua inteligência de ameaças. Personalize a pasta de trabalho de acordo com as necessidades da sua empresa. Crie novos painéis combinando muitas fontes de dados para ajudá-lo a visualizar seus dados de maneiras exclusivas.
Como as pastas de trabalho do Microsoft Sentinel são baseadas em pastas de trabalho do Azure Monitor, documentação extensa e muitos outros modelos já estão disponíveis. Para obter mais informações, consulte Criar relatórios interativos com pastas de trabalho do Azure Monitor.
Há também um recurso avançado para pastas de trabalho do Azure Monitor no GitHub, onde você pode baixar mais modelos e contribuir com seus próprios modelos.
Para obter mais informações sobre como usar e personalizar a pasta de trabalho do Threat Intelligence , consulte Visualizar informações sobre ameaças com pastas de trabalho.
Conteúdos relacionados
Neste artigo, você aprendeu sobre os recursos de inteligência de ameaças fornecidos pelo Microsoft Sentinel. Para obter mais informações, consulte os seguintes artigos: