你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将实体添加到 Microsoft Sentinel 中的威胁情报

在调查期间,请检查实体及其上下文,这是了解事件范围和性质的重要操作。 当你在事件中发现某个实体是一个恶意的域名、URL、文件或 IP 地址时,该实体应作为威胁情报中的入侵指标 (IOC) 进行标记和跟踪。

例如,你可能会发现某个 IP 地址在网络中执行端口扫描,或者通过发送和/或接收来自网络中的大量节点的传输内容来充当命令和控制节点。

使用 Microsoft Sentinel,可以在事件调查中标记这些类型的实体,并将其添加到威胁情报中。 你可以在“日志”和“威胁情报”中查看添加的指标,并跨 Microsoft Sentinel 工作区使用它们。

将实体添加到威胁情报

“事件详细信息”页和调查图提供了两种向威胁情报添加实体的方法

  1. 从 Microsoft Sentinel 菜单的“威胁管理”部分中选择“事件”

  2. 选择要调查的事件。 在“事件详细信息”面板中,选择“查看完整详细信息”以打开“事件详细信息”页

  3. 在“实体”窗格上,查找要添加为威胁指标的实体。 (可以筛选列表或输入搜索字符串来帮助你找到它。)

    显示“事件详细信息”页的屏幕截图。

  4. 选择实体右侧的三个点,然后从弹出菜单中选择“添加到 TI”。

    仅将以下类型的实体添加为威胁指标:

    • 域名
    • IP 地址(IPv4 和 IPv6)
    • URL
    • 文件(哈希)

    显示将实体添加到威胁情报的屏幕截图。

无论选择两个接口中的哪一个,都将在此处结束。

  1. “新建指标”侧面板此时会打开。 将自动填充以下字段:

    • 类型

      • 要添加的实体所表示的指标的类型。
        • 下拉列表,可能值如下:ipv4-addripv6-addrURLfiledomain-name
      • 必需。 根据实体类型自动填充。
      • 此字段的名称会动态更改为所选指标类型。
      • 指标本身的值。
      • 必需。 使用实体值自动填充。
    • 标记

      • 可以添加到指标中的自由文本标记。
      • 可选。 使用事件 ID 自动填充。 还可以添加其他模拟器。
    • Name

      • 指标的名称。 此名称是指标列表中所显示的内容。
      • 可选。 使用事件名称自动填充。
    • 创建者

      • 指标的创建者。
      • 可选。 由注册到 Microsoft Sentinel 的用户自动填充。

    相应地填充其余字段。

    • 威胁类型

      • 指标表示的威胁类型。
      • 可选。 自由文本。
    • 描述

      • 指示器的说明。
      • 可选。 自由文本。
    • 已撤销

      • 指标的“已撤销”状态。 选中该复选框可撤销指标。 清除该复选框可使其激活。
      • 可选。 布尔值。
    • Confidence

      • 分数反映对数据正确性的信心,以百分比表示。
      • 可选。 整数,1-100。
    • 终止链

    • 有效期起始日期

      • 此指标开始被视为有效的时间。
      • 必需。 日期/时间。
    • 有效期截止时间

      • 此指标不再被视为有效的时间。
      • 可选。 日期/时间。

    显示如何在新的威胁指标窗格中输入信息的屏幕截图。

  2. 当所有字段都填充到满意时,请选择“应用”。 右上角会显示一条消息,确认已创建指标。

  3. 此实体作为威胁指标添加到工作区中。 可以在“威胁情报”页上的指标列表中找到它。 也可以在“日志”中的 ThreatIntelligenceIndicators 表中找到它。

本文介绍了如何将实体添加到威胁指标列表中。 有关详细信息,请参阅以下文章: