你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
理解 Microsoft Sentinel 中的威胁情报
Microsoft Sentinel 是一种云原生安全信息和事件管理 (SIEM) 解决方案,能够从众多来源引入、整理和管理威胁情报。
重要
Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
威胁情报简介
网络威胁情报 (CTI) 是描述对系统和用户的现有或潜在威胁的信息。 这种情报采用多种形式,如详细描述特定威胁参与者的动机、基础结构和技术的书面报告。 它还可以是对已知网络威胁关联的 IP 地址、域、文件哈希和其他项目的特定观察。
组织使用 CTI 为异常活动提供必要的上下文,以便安全负责人可以快速采取措施来保护其人员、信息和资产。 可以从许多位置获取 CTI,例如:
- 开源数据源
- 威胁情报共享社区
- 商业情报源
- 在组织内的安全调查过程中收集的本地情报
对于 Microsoft Sentinel 等 SIEM 解决方案,最常见的 CTI 形式是威胁指标,也称为入侵指标 (IOC) 或攻击指标。 威胁指标是将 URL、文件哈希或 IP 地址等观察项目与网络钓鱼、僵尸网络或恶意软件等已知威胁活动关联起来的数据。 这种形式的威胁情报通常称为“战术威胁情报”。 它会大规模地应用于安全产品和自动化服务,以检测组织面临的潜在威胁并进行防范。
威胁情报的另一个方面是威胁行动者、其技术、策略和过程 (TTP)、其基础结构和受害者的身份。 Microsoft Sentinel 支持管理这些方面以及 IOC,使用被称为结构化威胁信息表达 (STIX) 的 CTI 交换开源标准进行表达。 表达为 STIX 对象的威胁情报可提高互操作性,并使组织能够更高效地搜寻。 使用 Microsoft Sentinel 中的威胁情报 STIX 对象检测环境中观察到的恶意活动,并提供攻击的完整上下文,为响应决策提供依据。
下表概述了在 Microsoft Sentinel 中充分利用威胁情报 (TI) 集成所需的活动:
| 操作 | 说明 |
|---|---|
| 在 Microsoft Sentinel 工作区中存储威胁情报 |
|
| 管理威胁情报 |
|
| 使用威胁情报 |
|
威胁情报还在其他 Microsoft Sentinel 体验(例如“笔记本”)中提供有用的上下文。 有关详细信息,请参阅笔记本和 MSTICPy 入门。
注意
有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。
导入和连接威胁情报
大多数威胁情报都是使用数据连接器或 API 导入的。 配置引入规则以减少干扰并确保情报源得到优化。 下面是适用于 Microsoft Sentinel 的解决方案。
- Microsoft Defender 威胁智能数据连接器,用于引入 Microsoft 的威胁情报
- 威胁情报 - TAXII:用于行业标准 STIX/TAXII 源的数据连接器
- 威胁情报上传 API,用于通过 REST API 进行连接来获取集成和特选 TI 源(不需要数据连接器)
- 威胁情报平台数据连接器也使用旧 REST API 连接 TI 源,但即将弃用
以任意组合使用这些解决方案,具体取决于组织从何处获取威胁情报。 所有这些数据连接器都作为威胁情报解决方案的一部分在内容中心提供。 有关此解决方案的详细信息,请参阅 Azure 市场条目威胁情报。
请参阅 Microsoft Sentinel 提供的此威胁情报集成目录。
使用 Defender 威胁智能数据连接器向 Microsoft Sentinel 添加威胁情报
使用 Defender 威胁情报数据连接器将 Defender 威胁情报生成的公开、开源和高保真度 IOC 引入 Microsoft Sentinel 工作区。 只需完成简单的一键式设置,即可使用标准和高级 Defender 威胁情报数据连接器的威胁情报进行监视、警报和搜寻。
数据连接器有两个版本:标准版和高级版。 还有免费可用的 Defender 威胁情报威胁分析规则,它展示了高级 Defender 威胁情报数据连接器提供的示例。 然而,在匹配分析中,只有与规则相匹配的指标才会引入到环境中。
高级 Defender 威胁智能数据连接器引入 Microsoft 扩充的开源智能和 Microsoft 特选 IOC。 借助这些高级功能,可以更灵活地分析更多数据源,并了解该威胁情报。 下表显示了许可和启用高级版本时预期的情况。
| 免费 | 高级 |
|---|---|
| 公共 IOC | |
| 开源情报 (OSINT) | |
| Microsoft IOC | |
| Microsoft 扩充的 OSINT |
有关详细信息,请参阅以下文章:
- 若要了解如何获取高级许可证并探索标准版本与高级版本之间的所有差异,请参阅了解 Defender 威胁智能许可证。
- 若要了解有关免费 Defender 威胁情报体验的详细信息,请参阅介绍适用于 Microsoft Defender XDR 的 Defender 威胁情报免费体验。
- 若要了解如何启用 Defender 威胁情报和高级 Defender 威胁情报数据连接器,请参阅启用 Defender 威胁情报数据连接器。
- 若要了解匹配分析,请参阅使用匹配分析检测威胁。
使用上传 API 将威胁情报添加到 Microsoft Sentinel
许多组织使用威胁情报平台 (TIP) 解决方案汇总各种来源的威胁指标源。 在聚合源中,数据经过精心整理,以应用于安全解决方案,例如网络设备、EDR/XDR 解决方案或 SIEM(如 Microsoft Sentinel)。 使用上传 API,你可以通过这些解决方案将威胁情报 STIX 对象导入到 Microsoft Sentinel 中。
新的上传 API 不需要数据连接器,它提供了以下改进:
- 威胁指标字段基于 STIX 标准化格式。
- Microsoft Entra 应用程序需要 Microsoft Sentinel 参与者角色。
- API 请求终结点的范围限定在工作区级别。 所需的 Microsoft Entra 应用程序权限允许在工作区级别进行精细分配。
有关详细信息,请参阅使用上传 API 连接威胁情报平台
使用威胁情报平台数据连接器向 Microsoft Sentinel 添加威胁情报
注意
此数据连接器现在即将弃用。
与上传 API 非常类似,威胁情报平台数据连接器使用的 API 允许 TIP 或自定义解决方案将威胁情报发送到 Microsoft Sentinel 中。 但是,此数据连接器仅限于指示器,现在处于弃用路径。 建议利用上传 API 提供的优化。
TIP 数据连接器使用 Microsoft Graph 安全性 tiIndicators API,它不支持其他 STIX 对象。 请将其与任何与 tiIndicators API 通信的自定义 TIP 配合使用,以将指标发送到 Microsoft Sentinel(以及其他 Microsoft 安全解决方案,如 Defender XDR)。
有关与 Microsoft Sentinel 集成的 TIP 解决方案的详细信息,请参阅集成式威胁情报平台产品。 有关详细信息,请参阅将威胁情报平台连接到 Microsoft Sentinel。
使用“威胁情报 - TAXII”数据连接器向 Microsoft Sentinel 添加威胁情报
威胁情报传输最广泛采用的行业标准是 STIX 数据格式和 TAXII 协议的组合。 如果组织从支持当前 STIX/TAXII 版本(2.0 或 2.1)的解决方案中获取威胁情报,请使用“威胁情报 - TAXII”数据连接器将威胁情报引入 Microsoft Sentinel。 “威胁情报 - TAXII”数据连接器使 Microsoft Sentinel 中的内置 TAXII 客户端可以从 TAXII 2.x 服务器导入威胁情报。
若要将 STIX 格式的威胁情报从 TAXII 服务器导入到 Microsoft Sentinel,请执行以下操作:
- 获取 TAXII 服务器 API 根和集合 ID。
- 在 Microsoft Sentinel 中启用“威胁情报 - TAXII”数据连接器。
有关详细信息,请参阅将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源。
创建和管理威胁情报
由 Microsoft Sentinel 提供支持的威胁情报在 Microsoft 统一的 SecOps 平台中与 Microsoft Defender 威胁智能 (MDTI) 和威胁分析一同管理。
注意
Azure 门户中的威胁情报仍可从“Microsoft Sentinel”>“威胁管理”>“威胁情报”访问。
最常见的两个威胁情报任务是创建与安全调查和添加标记相关的新威胁情报。 管理界面简化了使用一些关键功能手动整理单个威胁情报的过程。
- 配置引入规则以优化来自传入源的威胁情报。
- 创建新的 STIX 对象时定义关系。
- 使用关系生成器整理现有 TI。
- 使用重复功能从新的或现有的 TI 对象复制通用元数据。
- 使用多选向对象添加自由格式标记。
Microsoft Sentinel 中提供了以下 STIX 对象:
| STIX 对象 | 说明 |
|---|---|
| 威胁行动者 | 从脚本小子到国家级别,威胁行动者对象描述了动机、复杂性和资源水平。 |
| 攻击模式 | 攻击模式也称为技术、策略和过程,它描述了攻击的特定组件以及使用它的 MITRE ATT&CK 阶段。 |
| 指示器 |
Domain name、URL、IPv4 address、IPv6 address 和 File hashesX509 certificates 用于对设备和服务器的标识进行身份验证,以便通过 Internet 进行安全通信。
JA3 指纹是从 TLS/SSL 握手过程生成的唯一标识符。 它们有助于识别网络流量中使用的特定应用程序和工具,从而更轻松地检测恶意活动JA3S 指纹扩展了 JA3 的功能,在指纹过程中包含特定于服务器的特征。 此扩展提供了更全面的网络流量视图,有助于识别客户端和服务器端的威胁。
User agents 提供有关向服务器发出请求的客户端软件的信息,例如浏览器或操作系统。 它们可用于识别和分析访问网络的设备和应用程序。 |
| 标识 | 描述与受害者、组织和其他团体或个人以及与他们最紧密相关的业务部门。 |
| 关系 | 使用关系描述连接威胁情报的线程,帮助跨不同的信号和数据点建立连接。 |
配置引入规则
在将对象传递到工作区之前,通过筛选和增强对象来优化威胁情报源。 引入规则将更新属性,或筛选出所有对象。 下表列出了一些用例:
| 引入规则用例 | 说明 |
|---|---|
| 减少干扰 | 筛选掉 6 个月未更新且可信度低的旧威胁情报。 |
| 延长有效期 | 通过将其 Valid until 延长 30 天,扩展受信任的源的高保真 IOC。 |
| 记下旧的日子 | 新的威胁行动者分类很好,但一些分析师希望确保标记旧名称。 |
请记住以下有关使用引入规则的技巧:
- 所有规则按顺序应用。 引入的威胁情报对象将受到每条规则处理,直到执行了
Delete操作。 如果未对对象执行任何操作,则会按原样从源引入该对象。 -
Delete操作意味着该威胁情报对象跳过了引入,已从管道中删除。 已引入的对象的任何早期版本都不受影响。 - 新规则和编辑的规则最多可能需要 15 分钟才能生效。
有关详细信息,请参阅使用威胁情报引入规则。
创建关系
通过建立对象与关系生成器之间的连接来增强威胁检测和响应。 下表列出了它的一些用例:
| 关系用例 | 说明 |
|---|---|
| 将威胁行动者连接到攻击模式 | 威胁行动者 APT29使用攻击模式 Phishing via Email 获取初始访问权限。 |
| 将指示器链接到威胁行动者 | 域指示器 allyourbase.contoso.com 被归属到威胁行动者 APT29。 |
| 将身份(受害者)与攻击模式相关联 | 攻击模式 Phishing via Email面向FourthCoffee 组织。 |
下图显示了关系生成器如何连接所有这些用例。
整理威胁情报
通过指定名为“交通灯协议”(TLP) 的敏感度级别,配置哪些 TI 对象可以与适当的受众共享。
| TLP 颜色 | 敏感性 |
|---|---|
| 白色 | 无需任何限制即可自由公开共享信息。 |
| 绿色 | 信息可以与社区内的同行和合作伙伴组织共享,但不能公开共享。 它适用于社区内更广泛的受众。 |
| Amber | 信息可以与组织成员共享,但不能公开共享。 它旨在用于组织内以保护敏感信息。 |
| Red | 信息高度敏感,不应在最初披露的特定组或会议之外共享。 |
标记威胁情报是将对象组合在一起以便更轻松地查找的快速方法。 通常,可以应用与特定事件相关的标记。 但是,如果对象表示来自特定已知行动者或已知攻击活动的威胁,请考虑创建关系而不是标记。 搜索和筛选要使用的威胁情报后,单独标记或多选并一次性标记它们。 由于标记是自由格式的,因此我们建议为威胁情报标记创建标准命名约定。
有关详细信息,请参阅在 Microsoft Sentinel 中使用威胁情报。
查看威胁情报
从管理界面查看威胁情报。 使用高级搜索对威胁情报对象进行排序和筛选,甚至无需编写 Log Analytics 查询。
查看存储在已启用 Microsoft Sentinel 的 Log Analytics 工作区中的指示器。 Microsoft Sentinel 架构下的 ThreatIntelligenceIndicator 表是存储所有 Microsoft Sentinel 威胁指标的位置。 此表是由其他 Microsoft Sentinel 功能(例如分析、搜寻查询和工作簿)执行的威胁情报查询的基础。
重要
支持新 STIX 对象架构的表以个人预览版提供。 若要在查询中查看 STIX 对象并解锁使用它们的搜寻模型,请使用此表单请求选择加入。 通过此选择加入过程,将威胁情报引入到新表 ThreatIntelIndicator 和 ThreatIntelObjects 中,结合或取代当前表 ThreatIntelligenceIndicator。
下面是使用当前表仅针对威胁指示器的基本查询的示例视图。
威胁情报指标引入 Log Analytics 工作区的 ThreatIntelligenceIndicator 表作为只读内容。 每当更新指标时,将创建表中的新条目 ThreatIntelligenceIndicator。 管理界面上仅显示最新的指示器。 Microsoft Sentinel 重复数据删除基于属性 SourceSystem 的指标 IndicatorId ,并选择具有最新 TimeGenerated[UTC] 的指标。
IndicatorId 属性是使用 STIX 指示器 ID 生成的。 从非 STIX 源导入或创建指示器时,IndicatorId 从指示器的源和模式生成。
有关详细信息,请参阅在 Microsoft Sentinel 中使用威胁情报。
查看 GeoLocation 和 WhoIs 数据扩充(公共预览版)
Microsoft使用额外 GeoLocation 和 WhoIs 数据和数据丰富 IP 和域指标,以便为找到所选 IOC 的调查提供更多上下文。
在“威胁情报”窗格中查看已导入 Microsoft Sentinel 的这些类型的威胁指标的 GeoLocation 和 WhoIs 数据。
例如,使用 GeoLocation 数据查找 IP 指示器的组织或国家/地区等信息。 使用 WhoIs 数据查找注册机构等数据,并从域指标记录创建数据。
使用威胁指标分析检测威胁
在诸如 Microsoft Sentinel 之类的 SIEM 解决方案中,威胁情报最重要的用例是为威胁检测的分析规则提供支持。 这些基于指标的规则将数据源中的原始事件与威胁指标进行比较,以检测组织中的安全威胁。 在 Microsoft Sentinel Analytics 中,可创建按计划运行的查询支持的分析规则并生成安全警报。 与一些配置一起,它们用于确定规则的运行频率、应生成安全警报和事件的查询结果类型,以及触发自动化响应(可选)。
尽管你始终可以从头开始创建新的分析规则,但 Microsoft Sentinel 提供了一组由 Microsoft 安全工程师创建的内置规则模板,以利用你的威胁指标。 这些模板基于威胁指标的类型(域、电子邮件、文件哈希、IP 地址或 URL)和你要匹配的数据源事件。 每个模板列出了规则正常运行所需的源。 利用这信息可以轻松确定 Microsoft Sentinel 中是否已导入必要的事件。
默认情况下,当这些内置规则被触发时,会创建一个警报。 在 Microsoft Sentinel 中,从分析规则生成的警报也会生成安全事件。 在 Microsoft Sentinel 菜单中的“威胁管理”下,选择“事件”。 安全操作团队将对事件进行会审和调查,以确定适当的响应操作。 有关详细信息,请参阅教程:通过 Microsoft Sentinel 调查事件。
有关在分析规则中使用威胁指标的更多信息,请参阅使用威胁情报检测威胁。
Microsoft 通过 Defender 威胁情报分析规则提供对其威胁情报的访问权限。 有关如何利用这条可生成高保真警报和事件的规则的详细信息,请参阅使用匹配分析来检测威胁。
工作簿提供有关威胁情报的见解
工作簿提供功能强大的交互式仪表板,让你能够深入了解 Microsoft Sentinel 的各个方面,包括威胁情报。 使用内置的威胁情报工作簿直观显示有关威胁情报的关键信息。 根据业务需求自定义工作簿。 通过将多个数据源组合在一起,以独特的方式将数据可视化,从而创建新仪表板。
Microsoft Sentinel 工作簿基于 Azure Monitor 工作簿,因此,系统已经提供大量文档以及更多可用模板。 有关详细信息,请参阅使用 Azure Monitor 工作簿创建交互式报表。
GitHub 上还有 Azure Monitor 工作簿社区的丰富资源,你可以在此处下载更多模板并贡献自己的模板。
有关使用和自定义威胁情报工作簿的详细信息,请参阅使用工作簿可视化威胁情报。
相关内容
在本文中,你了解了由 Microsoft Sentinel 提供支持的威胁情报功能。 有关详细信息,请参阅以下文章: