Trabalhar com indicadores de ameaça no Microsoft Sentinel
Integre informações sobre ameaças no Microsoft Sentinel através das seguintes atividades:
- Importe informações sobre ameaças para o Microsoft Sentinel habilitando conectores de dados para várias plataformas e feeds de inteligência de ameaças.
- Exiba e gerencie as informações sobre ameaças importadas em Logs e na página Inteligência de ameaças do Microsoft Sentinel.
- Detete ameaças e gere alertas e incidentes de segurança usando os modelos de regras do Google Analytics integrados com base em suas informações sobre ameaças importadas.
- Visualize as principais informações sobre suas informações de ameaças importadas no Microsoft Sentinel com a pasta de trabalho Threat Intelligence.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Ver os seus indicadores de ameaça no Microsoft Sentinel
Saiba como trabalhar com indicadores de inteligência de ameaças no Microsoft Sentinel.
Encontre e visualize seus indicadores na página Inteligência de ameaças
Este procedimento descreve como exibir e gerenciar seus indicadores na página Inteligência de ameaças, que você pode acessar no menu principal do Microsoft Sentinel. Use a página Inteligência de ameaças para classificar, filtrar e pesquisar seus indicadores de ameaça importados sem escrever uma consulta do Log Analytics.
Para visualizar seus indicadores de inteligência de ameaças na página Inteligência de ameaças:
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Inteligência de ameaças.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel Threat management Threat intelligence (Gerenciamento de ameaças>do Microsoft Sentinel>).
Na grelha, selecione o indicador para o qual pretende ver mais informações. As informações do indicador incluem níveis de confiança, tags e tipos de ameaça.
O Microsoft Sentinel exibe apenas a versão mais atual dos indicadores nessa exibição. Para obter mais informações sobre como os indicadores são atualizados, consulte Compreender a inteligência de ameaças.
Os indicadores de IP e de nomes de domínio são enriquecidos com dados adicionais GeoLocation
WhoIs
. Esses dados fornecem mais contexto para investigações onde o indicador selecionado é encontrado.
Eis um exemplo.
Importante
GeoLocation
e WhoIs
o enriquecimento está atualmente em fase de pré-visualização. Os Termos Suplementares do Azure Preview incluem mais termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
Encontre e visualize seus indicadores em Logs
Este procedimento descreve como exibir os indicadores de ameaça importados na área Logs do Microsoft Sentinel, juntamente com outros dados de eventos do Microsoft Sentinel, independentemente do feed de origem ou do conector usado.
Os indicadores de ameaça importados estão listados na tabela Microsoft Sentinel ThreatIntelligenceIndicator
. Esta tabela é a base para consultas de inteligência de ameaças executadas em outro lugar no Microsoft Sentinel, como no Google Analytics ou em Pastas de trabalho.
Para visualizar seus indicadores de inteligência de ameaças em Logs:
Para Microsoft Sentinel no portal do Azure, em Geral, selecione Logs.
Para o Microsoft Sentinel no portal do Defender, selecione Investigação e resposta>Caça>avançada.
A
ThreatIntelligenceIndicator
tabela está localizada no grupo Microsoft Sentinel .Selecione o ícone Visualizar dados (o olho) ao lado do nome da tabela. Selecione Ver no editor de consultas para executar uma consulta que mostre registros desta tabela.
Seus resultados devem ser semelhantes ao indicador de ameaça de amostra mostrado aqui.
Criar e marcar indicadores
Use a página Inteligência de ameaças para criar indicadores de ameaças diretamente na interface do Microsoft Sentinel e execute duas tarefas administrativas comuns de inteligência de ameaças: marcação de indicadores e criação de novos indicadores relacionados a investigações de segurança.
Criar um novo indicador
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Inteligência de ameaças.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel Threat management Threat intelligence (Gerenciamento de ameaças>do Microsoft Sentinel>).
Na barra de menus na parte superior da página, selecione Adicionar novo.
Escolha o tipo de indicador e, em seguida, preencha o formulário no painel Novo indicador . Os campos obrigatórios estão marcados com um asterisco (*).
Selecione Aplicar. O indicador é adicionado à lista de indicadores e também é enviado para a
ThreatIntelligenceIndicator
tabela em Logs.
Marcar e editar indicadores de ameaça
Marcar indicadores de ameaça é uma maneira fácil de agrupá-los para torná-los mais fáceis de encontrar. Normalmente, você pode aplicar tags a um indicador relacionado a um incidente específico ou se o indicador representar ameaças de um determinado ator conhecido ou campanha de ataque conhecida. Depois de pesquisar os indicadores com os quais deseja trabalhar, marque-os individualmente. Multiselecionar indicadores e marcá-los todos de uma vez com uma ou mais tags. Como a marcação é de forma livre, recomendamos que você crie convenções de nomenclatura padrão para tags de indicadores de ameaça.
Com o Microsoft Sentinel, você também pode editar indicadores, sejam eles criados diretamente no Microsoft Sentinel ou provenientes de fontes parceiras, como servidores TIP e TAXII. Para indicadores criados no Microsoft Sentinel, todos os campos são editáveis. Para indicadores provenientes de fontes parceiras, apenas campos específicos são editáveis, incluindo tags, Data de validade, Confiança e Revogado. De qualquer forma, apenas a versão mais recente do indicador aparece na página Threat Intelligence . Para obter mais informações sobre como os indicadores são atualizados, consulte Compreender a inteligência de ameaças.
Obtenha informações sobre suas informações sobre ameaças com pastas de trabalho
Use uma pasta de trabalho do Microsoft Sentinel criada especificamente para visualizar informações importantes sobre sua inteligência de ameaças no Microsoft Sentinel e personalizar a pasta de trabalho de acordo com suas necessidades de negócios.
Veja como encontrar a pasta de trabalho de inteligência de ameaças fornecida no Microsoft Sentinel e um exemplo de como fazer edições na pasta de trabalho para personalizá-la.
No portal do Azure, vá para Microsoft Sentinel.
Escolha o espaço de trabalho para o qual você importou indicadores de ameaça usando o conector de dados de inteligência de ameaças.
Na seção Gerenciamento de ameaças do menu Microsoft Sentinel, selecione Pastas de trabalho.
Encontre a pasta de trabalho intitulada Threat Intelligence. Verifique se você tem dados na
ThreatIntelligenceIndicator
tabela.Selecione Salvar e escolha um local do Azure no qual armazenar a pasta de trabalho. Esta etapa é necessária se você pretende modificar a pasta de trabalho de qualquer forma e salvar suas alterações.
Agora selecione Exibir pasta de trabalho salva para abrir a pasta de trabalho para exibição e edição.
Agora você deve ver os gráficos padrão fornecidos pelo modelo. Para modificar um gráfico, selecione Editar na parte superior da página para iniciar o modo de edição da pasta de trabalho.
Adicione um novo gráfico de indicadores de ameaça por tipo de ameaça. Desloque-se para a parte inferior da página e selecione Adicionar consulta.
Adicione o seguinte texto à caixa de texto Consulta de Log do espaço de trabalho do Log Analytics :
ThreatIntelligenceIndicator | summarize count() by ThreatType
No menu suspenso Visualização, selecione Gráfico de barras.
Selecione Edição concluída e exiba o novo gráfico da pasta de trabalho.
As pastas de trabalho fornecem painéis interativos poderosos que fornecem informações sobre todos os aspetos do Microsoft Sentinel. Você pode fazer muitas tarefas com pastas de trabalho, e os modelos fornecidos são um ótimo ponto de partida. Personalize os modelos ou crie novos painéis combinando muitas fontes de dados para que você possa visualizar seus dados de maneiras exclusivas.
As pastas de trabalho do Microsoft Sentinel são baseadas em pastas de trabalho do Azure Monitor, portanto, documentação extensa e muitos outros modelos estão disponíveis. Para obter mais informações, consulte Criar relatórios interativos com pastas de trabalho do Azure Monitor.
Há também um recurso avançado para pastas de trabalho do Azure Monitor no GitHub, onde você pode baixar mais modelos e contribuir com seus próprios modelos.
Conteúdos relacionados
Neste artigo, você aprendeu como trabalhar com indicadores de inteligência de ameaças em todo o Microsoft Sentinel. Para obter mais informações sobre ameaças no Microsoft Sentinel, consulte os seguintes artigos:
- Entenda a inteligência de ameaças no Microsoft Sentinel.
- Conecte o Microsoft Sentinel aos feeds de inteligência de ameaças STIX/TAXII.
- Veja quais TIPs, feeds TAXII e enriquecimentos podem ser prontamente integrados ao Microsoft Sentinel.