通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Microsoft Sentinel 威胁情报

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

通过简化威胁情报的创建和管理,加快威胁检测和修正。 本文演示我们该如何充分利用管理界面中的威胁情报集成,无论是从 Azure 门户中的 Microsoft Sentinel 访问,还是使用 Defender 门户访问。

  • 使用结构化威胁信息表达式 (STIX) 创建威胁情报对象
  • 通过查看、策划和可视化来管理威胁情报

重要

Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

访问管理界面

根据想要处理威胁情报的位置,参考以下选项卡之一。 你可根据使用的门户,以不同的方式访问管理界面,但在到达该界面后,创建和管理任务的步骤是相同的。

在 Defender 门户中,导航到“威胁情报 > Intel 管理”。

屏幕截图:Defender 门户中 Intel 管理菜单项。

创建威胁情报

使用管理接口创建 STIX 对象,并执行其他常见的威胁情报任务,例如指示器标记和建立对象之间的连接。

  • 创建新的 STIX 对象时定义关系。
  • 通过使用重复功能从新的或现有的 TI 对象复制元数据,从而快速创建多个对象。

有关受支持的 STIX 对象的详细信息,请参阅了解威胁情报

创建新的 STIX 对象

  1. 选择“添加新内容 > TI 对象”

    显示添加新的威胁指标的屏幕截图。

  2. 选择“对象类型”,然后在“新建 TI 对象”页上填写表单。 必填字段标有红色的星号 (*)。

  3. 考虑为 TI 对象指定敏感度值或交通灯协议 (TLP) 评级。 有关这些值的含义的详细信息,请参阅策展威胁情报

  4. 如果知道此对象与另一个威胁情报对象的关系,请使用“关系类型”和“目标引用”来表示这种关联

  5. 如果要创建具有相同元数据的更多项,请为单个对象选择“添加”,或选择“添加并复制”。 下图显示了复制的每个 STIX 对象的元数据的通用部分。

屏幕截图:新的 STIX 对象创建和所有对象可用的通用元数据。

管理威胁情报

使用引入规则优化来自源的 TI。 使用关系生成器整理现有 TI。 使用管理界面搜索、筛选和排序,然后将标记添加到威胁情报。

使用引入规则优化威胁情报源

减少 TI 源的干扰,延长高值指示器的有效期,并向传入对象添加有意义的标记。 这只是引入规则的一些用例。 下面是在高值指示器上延长有效期的步骤。

  1. 选择“引入规则”,打开全新的页面以查看现有规则并构造新规则逻辑。

    鼠标悬停在引入规则上,显示威胁情报管理菜单的屏幕截图。

  2. 为规则输入一个描述性的名称。 引入规则页具有充足的名称规则,但它是唯一无需编辑即可区分规则的文本说明。

  3. 选择“对象类型”。 此用例基于扩展仅可用于 Indicator 对象类型的 Valid from 属性。

  4. SourceEquals 添加条件并选择高值 Source

  5. ConfidenceGreater than or equal 添加条件并输入 Confidence 分数

  6. 选择“操作”。 由于我们想要修改此指示器,请选择 Edit

  7. Valid untilExtend by 选择“添加操作”,然后选择一个以天为单位的时间跨度

  8. 请考虑添加标记以指示在这些指示器上放置的高值,例如 Extended。 引入规则不会更新修改的日期。

  9. 选择要运行规则的顺序。 规则从最低顺序数运行到最高。 每个规则都会评估引入的每个对象。

  10. 如果规则已准备好启用,请将“状态”切换为打开

  11. 选择“添加”以创建引入规则

显示创建用于延长有效期至日期的新引入规则的屏幕截图。

有关详细信息,请参阅了解威胁情报引入规则

使用关系生成器整理威胁情报

将威胁情报对象与关系生成器连接。 生成器中最多有 20 个关系,但可以通过多次迭代和为新对象添加关系目标引用来创建更多连接。

  1. 从威胁行动者或攻击模式等对象开始,其中单个对象连接到一个或多个对象,如指示器。

  2. 根据下表和 STIX 2.1 引用关系摘要表中概述的最佳做法添加关系类型:

关系类型 说明
复制项
派生项
相关项		 为任何 STIX 域对象 (SDO) 定义的常见关系
有关详细信息,请参阅有关常见关系的 STIX 2.1 参考
目标 Attack patternThreat actor 目标 Identity
使用 Threat actor 使用 Attack pattern
特性化 Threat actor 特性化为 Identity
指示 Indicator 指示 Attack patternThreat actor
模拟 Threat actor 模拟 Identity

下图展示了威胁行动者与使用关系类型表的攻击模式、指示器和标识之间的连接。

屏幕截图:关系生成器。

在管理界面中查看威胁情报

使用管理界面从引入的任何源对威胁情报进行排序、筛选和搜索,而无需编写 Log Analytics 查询。

  1. 在管理界面中,展开“你想要搜索什么?”菜单。

  2. 选择 STIX 对象类型或保留默认的“所有对象类型”

  3. 使用逻辑运算符选择条件。

  4. 选择要查看其详细信息的对象。

在下图中,通过将多个数据源置于 OR 组中进行搜索,同时使用 AND 运算符对多个条件进行分组。

屏幕截图:OR 运算符与多个 AND 条件相结合,用于搜索威胁情报。

Microsoft Sentinel 仅显示此视图中最新版本的威胁情报。 若要详细了解如何更新对象,请参阅了解威胁情报

IP 和域名指示器使用额外的 GeoLocationWhoIs 数据进行扩充,因此你可以为找到指示器的任何调查提供更多上下文。

下面是一个示例。

“威胁情报”页的屏幕截图,其中显示了 GeoLocation 和 WhoIs 数据指标。

重要

GeoLocationWhoIs 扩充目前为预览版。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

标记和编辑威胁情报

标记威胁情报是将对象组合在一起以便更轻松地查找的快速方法。 通常,可以应用与特定事件相关的标记。 但是,如果对象表示来自特定已知行动者或已知攻击活动的威胁,请考虑创建关系而不是标记。

  1. 使用管理界面对威胁情报进行排序、筛选和搜索。
  2. 找到要使用的对象后,选择同一类型的一个或多个对象进行多重选择。
  3. 选择“添加标记”,并使用一个或多个标记一次性标记所有标记。
  4. 由于标记是自由格式的,因此我们建议为组织中的标记创建标准命名约定。

一次编辑一个威胁情报对象,无论该对象是直接在 Microsoft Sentinel 中创建的,还是来自 TIP 和 TAXII 服务器等合作伙伴源。 对于在管理界面中创建的威胁情报,所有字段都是可编辑的。 对于从合作伙伴源引入的威胁情报,只有特定字段可编辑,包括标记、“到期日期”、“置信度”和“已撤销”。 无论哪种方式,只有最新版本的对象出现在管理界面中。

有关威胁情报更新方式的详细信息,请参阅查看威胁情报

使用查询查找和查看指示器

此过程介绍了在不考虑引入威胁指标的源信息提要或方法的情况下,如何在 Log Analytics 中查看威胁指标以及其他 Microsoft Sentinel 事件数据。

威胁指标列在 Microsoft Sentinel ThreatIntelligenceIndicator 表中。 该表是由其他 Microsoft Sentinel 功能(例如 Analytics、搜寻和工作簿)执行的威胁情报查询的基础。

查看威胁情报指标:

  1. 对于 Azure 门户中的 Microsoft Sentinel,请在“常规”下选择“日志”。

    对于 Defender 门户中的 Microsoft Sentinel,选择“调查和响应”>“搜寻”>“高级搜寻”。

  2. ThreatIntelligenceIndicator 表位于 Microsoft Sentinel 组的下方。

  3. 选择表名称旁边的“预览数据”图标(眼睛)。 选择“在查询编辑器中查看”,以运行显示此表中的记录的查询。

    结果应类似于下面所示的示例威胁指标。

    屏幕截图显示了示例 ThreatIntelligenceIndicator 表结果,其中展开了详细信息。

使用工作簿可视化威胁情报

使用特定用途的 Microsoft Sentinel 工作簿直观显示 Microsoft Sentinel 中威胁情报的关键信息,并根据业务需求自定义工作簿。

现在介绍如何查找 Microsoft Sentinel 中提供的威胁情报工作簿,以及如何编辑工作簿的示例,以便对其进行自定义。

  1. Azure 门户中,转到 Microsoft Sentinel。

  2. 使用任一威胁情报数据连接器,选择要将威胁指标导入其中的工作区。

  3. 从 Microsoft Sentinel 菜单的“威胁管理”部分,选择“工作簿”

  4. 找到标题为“威胁情报”的工作簿。 验证 ThreatIntelligenceIndicator 表中是否有你的数据。

    显示数据验证的屏幕截图。

  5. 选择“保存”,然后选择用于存储工作簿的 Azure 位置。 如果要以任何方式修改工作簿并保存更改,就必须执行此步骤。

  6. 现在,选择“查看保存的工作簿”以打开工作簿进行查看和编辑。

  7. 现在应该可以看到模板提供的默认图表。 若要修改图表,请选择页面顶部的“编辑”,进入工作簿的编辑模式。

  8. 按威胁类型添加一个新的威胁指标图表。 滚动到页面底部,选择“添加查询”。

  9. 将以下文本添加到“Log Analytics 工作区日志查询”文本框中:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

    有关上述示例中使用的以下项的详细信息,请参阅 Kusto 文档:

  10. 从“可视化效果”下拉列表中选择“条形图”

  11. 选择“完成编辑”,然后查看工作簿的新图表。

    显示工作簿条形图的屏幕截图。

工作簿提供功能强大的交互式仪表板,让你能够深入了解 Microsoft Sentinel 的各个方面。 你可以使用工作簿执行许多任务,提供的模板是一个很好的选择。 你可以结合许多数据源来自定义模板或创建新的仪表板,以便通过独特的方式可视化数据。

Microsoft Sentinel 工作簿基于 Azure Monitor 工作簿,因此提供了大量文档和模板。 有关详细信息,请参阅使用 Azure Monitor 工作簿创建交互式报表

GitHub 上还有 Azure Monitor 工作簿社区的丰富资源,你可以在此处下载更多模板并贡献自己的模板。

相关内容

有关详细信息,请参阅以下文章:

有关 KQL 的更多信息,请参阅 Kusto 查询语言 (KQL) 概述

其他资源: