你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将实体添加到 Microsoft Sentinel 中的威胁情报
在调查期间,请检查实体及其上下文,这是了解事件范围和性质的重要操作。 当你在事件中发现某个实体是一个恶意的域名、URL、文件或 IP 地址时,该实体应作为威胁情报中的入侵指标 (IOC) 进行标记和跟踪。
例如,你可能会发现某个 IP 地址在网络中执行端口扫描,或者通过发送和/或接收来自网络中的大量节点的传输内容来充当命令和控制节点。
使用 Microsoft Sentinel,可以在事件调查中标记这些类型的实体,并将其添加到威胁情报中。 你可以在“日志”和“威胁情报”中查看添加的指标,并跨 Microsoft Sentinel 工作区使用它们。
将实体添加到威胁情报
“事件详细信息”页和调查图提供了两种向威胁情报添加实体的方法。
从 Microsoft Sentinel 菜单的“威胁管理”部分中选择“事件”。
选择要调查的事件。 在“事件详细信息”面板中,选择“查看完整详细信息”以打开“事件详细信息”页。
在“实体”窗格上,查找要添加为威胁指标的实体。 (可以筛选列表或输入搜索字符串来帮助你找到它。)
选择实体右侧的三个点,然后从弹出菜单中选择“添加到 TI”。
仅将以下类型的实体添加为威胁指标:
- 域名
- IP 地址(IPv4 和 IPv6)
- URL
- 文件(哈希)
无论选择两个接口中的哪一个,都将在此处结束。
“新建指标”侧面板此时会打开。 将自动填充以下字段:
类型
- 要添加的实体所表示的指标的类型。
- 下拉列表,可能值如下:
ipv4-addr、ipv6-addr、URL、file和domain-name。
- 下拉列表,可能值如下:
- 必需。 根据实体类型自动填充。
- 要添加的实体所表示的指标的类型。
值
- 此字段的名称会动态更改为所选指标类型。
- 指标本身的值。
- 必需。 使用实体值自动填充。
标记
- 可以添加到指标中的自由文本标记。
- 可选。 使用事件 ID 自动填充。 还可以添加其他模拟器。
Name
- 指标的名称。 此名称是指标列表中所显示的内容。
- 可选。 使用事件名称自动填充。
创建者
- 指标的创建者。
- 可选。 由注册到 Microsoft Sentinel 的用户自动填充。
相应地填充其余字段。
威胁类型
- 指标表示的威胁类型。
- 可选。 自由文本。
描述
- 指示器的说明。
- 可选。 自由文本。
已撤销
- 指标的“已撤销”状态。 选中该复选框可撤销指标。 清除该复选框可使其激活。
- 可选。 布尔值。
Confidence
- 分数反映对数据正确性的信心,以百分比表示。
- 可选。 整数,1-100。
终止链
- 指标对应的 Lockheed Martin Cyber Kill Chain 中的阶段。
- 可选。 自由文本。
有效期起始日期
- 此指标开始被视为有效的时间。
- 必需。 日期/时间。
有效期截止时间
- 此指标不再被视为有效的时间。
- 可选。 日期/时间。
当所有字段都填充到满意时,请选择“应用”。 右上角会显示一条消息,确认已创建指标。
此实体作为威胁指标添加到工作区中。 可以在“威胁情报”页上的指标列表中找到它。 也可以在“日志”中的 ThreatIntelligenceIndicators 表中找到它。
相关内容
本文介绍了如何将实体添加到威胁指标列表中。 有关详细信息,请参阅以下文章: