Förstå hotinformation i Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel är en molnbaserad siem-lösning (säkerhetsinformation och händelsehantering) med möjlighet att snabbt hämta hotinformation från flera källor.

Viktigt!

Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Introduktion till hotinformation

Cyberhotinformation (CTI) är information som beskriver befintliga eller potentiella hot mot system och användare. Den här intelligensen tar många former som skriftliga rapporter som beskriver en viss hotskådespelares motivation, infrastruktur och tekniker. Det kan också vara specifika observationer av IP-adresser, domäner, filhashvärden och andra artefakter som är associerade med kända cyberhot.

Organisationer använder CTI för att ge viktig kontext till ovanlig aktivitet så att säkerhetspersonal snabbt kan vidta åtgärder för att skydda sina personer, information och tillgångar. Du kan hämta CTI från många platser, till exempel:

• Dataflöden med öppen källkod.
• Grupper för delning av hotinformation.
• Kommersiell intelligens feeds.
• Lokal information som samlats in under säkerhetsutredningar inom en organisation.
• Importera hotinformation till Microsoft Sentinel genom att aktivera dataanslutningar eller använda API:et för STIX-objekt för att ansluta olika TI-plattformar och -feeds.

För SIEM-lösningar som Microsoft Sentinel är de vanligaste formerna av CTI hotindikatorer, som även kallas indikatorer för kompromettering (IOCs) eller indikatorer för angrepp. Hotindikatorer är data som associerar observerade artefakter, till exempel URL:er, filhashvärden eller IP-adresser med kända hotaktiviteter som nätfiske, botnät eller skadlig kod. Denna form av hotinformation kallas ofta taktisk hotinformation. Den tillämpas på säkerhetsprodukter och automatisering i stor skala för att identifiera potentiella hot mot en organisation och skydda mot dem.

Använd hotinformation i Microsoft Sentinel för att identifiera skadlig aktivitet som observerats i din miljö och ge kontext till säkerhetsutredare för att informera svarsbeslut.

Du kan integrera hotinformation i Microsoft Sentinel genom följande aktiviteter:

• Importera hotinformation till Microsoft Sentinel genom att aktivera dataanslutningar till olika plattformar och feeds för hotinformation.
• Visa och hantera den importerade hotinformationen i loggar och i fönstret Hotinformation i Microsoft Sentinel.
• Identifiera hot och generera säkerhetsaviseringar och incidenter med hjälp av de inbyggda analysregelmallarna baserat på din importerade hotinformation.
• Visualisera viktig information om din importerade hotinformation i Microsoft Sentinel med arbetsboken Hotinformation .

Microsoft berikar alla importerade hotinformationsindikatorer med GeoLocation- och WhoIs-data, som visas tillsammans med annan indikatorinformation.

Hotinformation ger också användbar kontext i andra Microsoft Sentinel-upplevelser, till exempel jakt och notebook-filer. Mer information finns i Jupyter Notebooks i Microsoft Sentinel och Självstudie: Kom igång med Jupyter Notebooks och MSTICPy i Microsoft Sentinel.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Importera hotinformation med dataanslutningsprogram

De flesta hotinformation importeras med hjälp av dataanslutningsprogram eller ett API. Här är de lösningar som är tillgängliga för Microsoft Sentinel.

• Microsoft Defender Hotinformation dataanslutning för att mata in Microsofts hotindikatorer
• Hotinformation – TAXII för STIX/TAXII-flöden av branschstandard
• HOTINFORMATION STIX-objekt-API för integrerade och kurerade TI-flöden med hjälp av ett REST-API för att ansluta
• Threat Intelligence Platform-dataanslutningen ansluter även TI-feeds med hjälp av ett REST-API, men är på väg mot utfasning

Använd någon av dessa lösningar i valfri kombination, beroende på var din organisation hämtar hotinformation. Alla tre av dessa är tillgängliga i Innehållshubben som en del av hotinformationslösningen. Mer information om den här lösningen finns i Azure Marketplace-posten Hotinformation.

Se även den här katalogen med hotinformationsintegreringar som är tillgängliga med Microsoft Sentinel.

Lägga till hotindikatorer i Microsoft Sentinel med Defender Threat Intelligence-dataanslutningsappen

Ta med offentliga IOP:er med öppen källkod och hög återgivning som genereras av Defender Threat Intelligence till din Microsoft Sentinel-arbetsyta med Defender Threat Intelligence-dataanslutningarna. Med en enkel konfiguration med ett klick använder du hotinformationen från standard- och Premium Defender Threat Intelligence-dataanslutningarna för att övervaka, avisera och jaga.

Med den kostnadsfria hotanalysregeln för Defender Threat Intelligence får du ett exempel på vad Premium Defender Threat Intelligence-dataanslutningen tillhandahåller. Men med matchande analys matas endast indikatorer som matchar regeln in i din miljö. Premium Defender Threat Intelligence-dataanslutningsappen ger premiumhotinformation och möjliggör analys för fler datakällor med större flexibilitet och förståelse för den hotinformationen. Här är en tabell som visar vad du kan förvänta dig när du licensierar och aktiverar premium Defender Threat Intelligence-dataanslutningen.

Kostnadsfri	Premium
Offentliga IOPS
Öppen källkodsinformation (OSINT)
	Microsoft IOCs
	Microsoft-berikad OSINT

Mer information finns i följande artiklar:

• Information om hur du skaffar en Premium-licens och utforskar alla skillnader mellan standard- och premiumversionerna finns på Microsoft Defender Hotinformation produktsidan.
• Mer information om den kostnadsfria Defender Threat Intelligence-upplevelsen finns i Introduktion till kostnadsfri kostnadsfri upplevelse för Defender Threat Intelligence för Microsoft Defender XDR.
• Information om hur du aktiverar Defender Threat Intelligence och Premium Defender Threat Intelligence-dataanslutningar finns i Aktivera Defender Threat Intelligence-dataanslutningen.
• Mer information om matchande analys finns i Använda matchande analys för att identifiera hot.

Lägga till hotinformation i Microsoft Sentinel med STIX-objekt-API:et

Många organisationer använder TIP-lösningar (Threat Intelligence Platform) för att aggregera hotindikatorflöden från olika källor. Från det aggregerade flödet kureras data för att gälla för säkerhetslösningar som nätverksenheter, EDR/XDR-lösningar eller SIEM:er som Microsoft Sentinel. MED STIX-objekt-API:et kan du använda dessa lösningar för att importera hotinformation till Microsoft Sentinel.

Den här dataanslutningsappen använder ett nytt API och erbjuder följande förbättringar:

• Fälten för hotindikatorn baseras på standardformatet STIX.
• Microsoft Entra-programmet kräver endast rollen Microsoft Sentinel-deltagare.
• API-begärandeslutpunkten är begränsad till arbetsytans nivå. Nödvändiga Microsoft Entra-programbehörigheter tillåter detaljerad tilldelning på arbetsytenivå.

Mer information finns i Ansluta din plattform för hotinformation med STIX-objekt-API

Lägga till hotindikatorer i Microsoft Sentinel med dataanslutningsappen Threat Intelligence Platform

Kommentar

Den här dataanslutningsappen är nu på en sökväg för utfasning.

Precis som det befintliga STIX-objekt-API:et använder dataanslutningsappen Threat Intelligence Platform ett API som gör att din TIP eller anpassade lösning kan skicka indikatorer till Microsoft Sentinel. Men den här dataanslutningsappen är nu på en sökväg för utfasning. Vi rekommenderar att du drar nytta av de optimeringar som STIX-objekt-API:et har att erbjuda.

TIP-dataanslutningsappen fungerar med API:et Microsoft Graph Security tiIndicators. Använd den med alla anpassade TIPS som kommunicerar med tiIndicators-API:et för att skicka indikatorer till Microsoft Sentinel (och till andra Microsoft-säkerhetslösningar som Defender XDR).

Mer information om TIP-lösningarna som är integrerade med Microsoft Sentinel finns i Integrerade produkter för hotinformationsplattform. Mer information finns i Ansluta din plattform för hotinformation till Microsoft Sentinel.

Lägga till hotindikatorer i Microsoft Sentinel med anslutningsprogrammet för hotinformation – TAXII-data

Den vanligaste branschstandarden för överföring av hotinformation är en kombination av STIX-dataformatet och TAXII-protokollet. Om din organisation får hotindikatorer från lösningar som stöder den aktuella STIX/TAXII-versionen (2.0 eller 2.1) använder du dataanslutningsappen Hotinformation – TAXII för att föra in dina hotindikatorer i Microsoft Sentinel. Med dataanslutningsappen Hotinformation – TAXII kan en inbyggd TAXII-klient i Microsoft Sentinel importera hotinformation från TAXII 2.x-servrar.

Så här importerar du STIX-formaterade hotindikatorer till Microsoft Sentinel från en TAXII-server:

1. Hämta rot- och samlings-ID:t för TAXII-server-API:et.
2. Aktivera anslutningsprogrammet hotinformation – TAXII-data i Microsoft Sentinel.

Mer information finns i Ansluta Microsoft Sentinel till STIX/TAXII-hotinformationsflöden.

Visa och hantera hotindikatorer

Visa och hantera dina indikatorer på sidan Hotinformation . Sortera, filtrera och sök efter dina importerade hotindikatorer utan att ens skriva en Log Analytics-fråga.

Två av de vanligaste hotinformationsuppgifterna är indikatortaggning och att skapa nya indikatorer relaterade till säkerhetsutredningar. Skapa eller redigera hotindikatorerna direkt på sidan Hotinformation när du bara behöver hantera några få snabbt.

Taggning av hotindikatorer är ett enkelt sätt att gruppera dem så att de blir lättare att hitta. Vanligtvis kan du använda taggar för en indikator som är relaterad till en viss incident, eller om indikatorn representerar hot från en viss känd aktör eller en välkänd attackkampanj. När du har sökt efter de indikatorer som du vill arbeta med kan du tagga dem individuellt. Flervalsindikatorer och tagga dem alla samtidigt med en eller flera taggar. Eftersom taggning är kostnadsfritt rekommenderar vi att du skapar standardnamnkonventioner för hotindikatortaggar.

Verifiera indikatorerna och visa de hotindikatorer som har importerats från den Microsoft Sentinel-aktiverade Log Analytics-arbetsytan. Tabellen ThreatIntelligenceIndicator under Microsoft Sentinel-schemat är den plats där alla hotindikatorer för Microsoft Sentinel lagras. Den här tabellen är grunden för hotinformationsfrågor som utförs av andra Microsoft Sentinel-funktioner, till exempel analys och arbetsböcker.

Här är en exempelvy av en grundläggande fråga för hotindikatorer.

Indikatorer för hotinformation matas in i tabellen på ThreatIntelligenceIndicator Log Analytics-arbetsytan som skrivskyddad. När en indikator uppdateras skapas en ny post i ThreatIntelligenceIndicator tabellen. Endast den senaste indikatorn visas på sidan Hotinformation . Microsoft Sentinel deduplicerar indikatorer baserat på IndicatorId egenskaperna och SourceSystem och väljer indikatorn med den senaste TimeGenerated[UTC].

Egenskapen IndicatorId genereras med hjälp av STIX-indikator-ID:t. När indikatorer importeras eller skapas från icke-STIX-källor IndicatorId genereras av indikatorns källa och mönster.

Mer information om hur du visar och hanterar hotindikatorer finns i Arbeta med hotindikatorer i Microsoft Sentinel.

Visa dina GeoLocation- och WhoIs-databerikningar (offentlig förhandsversion)

Microsoft berikar IP- och domänindikatorer med extra GeoLocation WhoIs och data för att ge mer kontext för undersökningar där den valda IOK:en hittas.

Visa GeoLocation och WhoIs data i fönstret Hotinformation för de typer av hotindikatorer som importeras till Microsoft Sentinel.

Använd till exempel GeoLocation data för att hitta information som organisationen eller landet/regionen för en IP-indikator. Använd WhoIs data för att hitta data som registrator och registrera skapandedata från en domänindikator.

Identifiera hot med analys av hotindikatorer

Det viktigaste användningsfallet för hotindikatorer i SIEM-lösningar som Microsoft Sentinel är att energianalysregler för hotidentifiering. Dessa indikatorbaserade regler jämför rådatahändelser från dina datakällor mot dina hotindikatorer för att identifiera säkerhetshot i din organisation. I Microsoft Sentinel Analytics skapar du analysregler som körs enligt ett schema och genererar säkerhetsaviseringar. Reglerna drivs av frågor. Tillsammans med konfigurationer avgör de hur ofta regeln ska köras, vilken typ av frågeresultat som ska generera säkerhetsaviseringar och incidenter och, om du vill, när ett automatiserat svar ska utlösas.

Även om du alltid kan skapa nya analysregler från grunden tillhandahåller Microsoft Sentinel en uppsättning inbyggda regelmallar som skapats av Microsofts säkerhetstekniker för att dra nytta av dina hotindikatorer. Dessa mallar baseras på typen av hotindikatorer (domän, e-post, filhash, IP-adress eller URL) och datakällans händelser som du vill matcha. Varje mall visar de källor som krävs för att regeln ska fungera. Den här informationen gör det enkelt att avgöra om nödvändiga händelser redan har importerats i Microsoft Sentinel.

När dessa inbyggda regler utlöses skapas som standard en avisering. I Microsoft Sentinel genererar aviseringarna som genereras från analysregler även säkerhetsincidenter. På Microsoft Sentinel-menyn går du till Hothantering och väljer Incidenter. Incidenter är vad dina säkerhetsåtgärdsteam sorterar och undersöker för att fastställa lämpliga svarsåtgärder. Mer information finns i Självstudie: Undersöka incidenter med Microsoft Sentinel.

Mer information om hur du använder hotindikatorer i dina analysregler finns i Använda hotinformation för att identifiera hot.

Microsoft ger åtkomst till sin hotinformation via analysregeln för Defender Threat Intelligence. Mer information om hur du drar nytta av den här regeln, som genererar aviseringar och incidenter med hög återgivning, finns i Använda matchande analys för att identifiera hot.

Arbetsböcker ger insikter om din hotinformation

Arbetsböcker ger kraftfulla interaktiva instrumentpaneler som ger dig insikter om alla aspekter av Microsoft Sentinel, och hotinformation är inget undantag. Använd den inbyggda arbetsboken Hotinformation för att visualisera viktig information om din hotinformation. Du kan enkelt anpassa arbetsboken efter dina affärsbehov. Skapa nya instrumentpaneler genom att kombinera många datakällor som hjälper dig att visualisera dina data på unika sätt.

Eftersom Microsoft Sentinel-arbetsböcker baseras på Azure Monitor-arbetsböcker är omfattande dokumentation och många fler mallar redan tillgängliga. Mer information finns i Skapa interaktiva rapporter med Azure Monitor-arbetsböcker.

Det finns också en omfattande resurs för Azure Monitor-arbetsböcker på GitHub, där du kan ladda ned fler mallar och bidra med dina egna mallar.

Mer information om hur du använder och anpassar arbetsboken Hotinformation finns i Arbeta med hotindikatorer i Microsoft Sentinel.

Relaterat innehåll

I den här artikeln har du lärt dig om funktionerna för hotinformation i Microsoft Sentinel, inklusive fönstret Hotinformation . Praktisk vägledning om hur du använder hotinformationsfunktioner i Microsoft Sentinel finns i följande artiklar:

• Anslut Microsoft Sentinel till STIX/TAXII-hotinformationsflöden.
• Ansluta plattformar för hotinformation till Microsoft Sentinel.
• Se vilka TIP-plattformar, TAXII-feeds och berikningar som är lätt integrerade med Microsoft Sentinel.
• Arbeta med hotindikatorer i hela Microsoft Sentinel-upplevelsen.
• Identifiera hot med inbyggda eller anpassade analysregler i Microsoft Sentinel.
• Undersöka incidenter i Microsoft Sentinel.