你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

理解 Microsoft Sentinel 中的威胁情报

Microsoft Sentinel 是一种云原生安全信息和事件管理 (SIEM) 解决方案,能够从众多来源快速提取威胁情报。

重要

Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

威胁情报简介

网络威胁情报 (CTI) 是描述对系统和用户的现有或潜在威胁的信息。 这种情报采用多种形式,如详细描述特定威胁参与者的动机、基础结构和技术的书面报告。 它还可以是对已知网络威胁关联的 IP 地址、域、文件哈希和其他项目的特定观察。

组织使用 CTI 为异常活动提供必要的上下文,以便安全负责人可以快速采取措施来保护其人员、信息和资产。 可以从许多位置获取 CTI,例如:

  • 开源数据源。
  • 威胁情报共享社区。
  • 商业情报源。
  • 在组织内的安全调查过程中收集了本地情报。

对于 Microsoft Sentinel 等 SIEM 解决方案,最常见的 CTI 形式是威胁指标,也称为入侵指标 (IOC) 或攻击指标。 威胁指标是将 URL、文件哈希或 IP 地址等观察项目与网络钓鱼、僵尸网络或恶意软件等已知威胁活动关联起来的数据。 这种形式的威胁情报通常称为“战术威胁情报”。 它会大规模地应用于安全产品和自动化服务,以检测组织面临的潜在威胁并进行防范。

在 Microsoft Sentinel 中使用威胁指标来检测环境中观察到的恶意活动,并为安全调查人员提供背景信息,帮助其做出响应决策。

可以通过以下活动将威胁情报集成到 Microsoft Sentinel 中:

  • 通过启用面向各种威胁情报平台的数据连接器,将威胁情报导入 Microsoft Sentinel
  • 在“日志”和 Microsoft Sentinel 的“威胁情报”窗格中查看和管理导入的威胁情报
  • 通过使用内置的 Analytics 规则模板,根据导入的威胁情报,检测威胁并生成安全警报和事件
  • 利用“威胁情报”工作簿直观显示 Microsoft Sentinel 中导入的威胁情报的关键信息 。

Microsoft 使用 GeoLocation 和 WhoIs 数据扩充所有导入的威胁情报指标,这些数据与其他指标信息一起显示。

威胁情报还在其他 Microsoft Sentinel 体验(例如“搜寻”和“笔记本”)中提供有用的上下文。 有关详细信息,请参阅 Microsoft Sentinel 中的 Jupyter 笔记本教程:开始使用 Microsoft Sentinel 中的 Jupyter Notebook 和 MSTICPy

注意

有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

使用数据连接器导入威胁情报

就像 Microsoft Sentinel 中的所有其他事件数据一样,威胁指标使用数据连接器导入。 Microsoft Sentinel 中提供了数据连接器,专门用于获取威胁指标:

  • Microsoft Defender 威胁情报数据连接器:用于引入 Microsoft 的威胁指标。
  • 高级 Defender 威胁情报数据连接器:用于引入 Defender 威胁情报高级智能源。
  • 威胁情报 - TAXII:用于行业标准 STIX/TAXII 源。
  • 威胁智能上传指标 API:用于集成和特选的威胁情报源,方法是使用 REST API 进行连接。
  • 威胁智能平台 (TIP) 数据连接器:用于使用 REST API 连接威胁情报源,但它即将弃用。

以任意组合使用以上任何数据连接器,具体取决于组织从何处获取威胁指标。 这三个连接器都作为威胁情报解决方案的一部分在内容中心提供。 有关此解决方案的详细信息,请参阅 Azure 市场条目威胁情报

请参阅 Microsoft Sentinel 提供的此威胁情报集成目录。

使用 Defender 威胁情报数据连接器向 Microsoft Sentinel 添加威胁指标

使用 Defender 威胁情报数据连接器将 Defender 威胁情报生成的公开、开源和高保真度 IOC 引入 Microsoft Sentinel 工作区。 只需完成简单的一键式设置,即可使用标准和高级 Defender 威胁情报数据连接器的威胁情报进行监视、警报和搜寻。

免费的 Defender 威胁情报威胁分析规则提供了高级 Defender 威胁情报数据连接器提供的示例。 然而,在匹配分析中,只有与规则相匹配的指标才会引入到环境中。 高级 Defender 威胁智能数据连接器带来了高级威胁情报,并允许分析更多数据源,具有更大的灵活性和对威胁情报的理解。 下表显示了许可和启用高级 Defender 威胁情报数据连接器时的预期结果。

免费 高级
公共 IOC
开源情报 (OSINT)
Microsoft IOC
Microsoft 扩充的 OSINT

有关详细信息,请参阅以下文章:

使用威胁情报上传指标 API 数据连接器向 Microsoft Sentinel 添加威胁指标

许多组织使用威胁情报平台 (TIP) 解决方案聚合各种来源的威胁指标源。 在聚合源中,数据经过精心整理,以应用于安全解决方案,例如网络设备、EDR/XDR 解决方案或 SIEM(如 Microsoft Sentinel)。 通过使用威胁情报上传指标 API 数据连接器,可以使用这些解决方案将威胁指标导入到 Microsoft Sentinel。

显示上传指标 API 导入路径的关系图。

此数据连接器使用新的 API 并提供以下改进:

  • 威胁指标字段基于 STIX 标准化格式。
  • Microsoft Entra 应用程序仅需要 Microsoft Sentinel 参与者角色。
  • API 请求终结点的范围限定在工作区级别。 所需的 Microsoft Entra 应用程序权限允许在工作区级别进行精细分配。

有关详细信息,请参阅使用上传指标 API 连接威胁情报平台

使用威胁情报平台数据连接器向 Microsoft Sentinel 添加威胁指标

与现有的上传指标 API 数据连接器非常类似,威胁情报平台数据连接器使用 API,允许 TIP 或自定义解决方案将指标发送到 Microsoft Sentinel。 然而,此数据连接器现在即将弃用。 建议利用上传指标 API 提供的优化。

TIP 数据连接器与 Microsoft Graph Security tiIndicators API 配合使用。 还可以将其与 tiIndicators API 通信的任何自定义 TIP 一起使用,以将指标发送到 Microsoft Sentinel(以及其他Microsoft安全解决方案,如 Defender XDR)。

显示威胁情报导入路径的屏幕截图。

有关与 Microsoft Sentinel 集成的 TIP 解决方案的详细信息,请参阅集成式威胁情报平台产品。 有关详细信息,请参阅将威胁情报平台连接到 Microsoft Sentinel

使用“威胁情报 - TAXII”数据连接器向 Microsoft Sentinel 添加威胁指标

威胁情报传输最广泛采用的行业标准是 STIX 数据格式和 TAXII 协议的组合。 如果组织从支持当前 STIX/TAXII 版本(2.0 或 2.1)的解决方案中获取威胁指标,请使用“威胁情报 - TAXII”数据连接器将威胁指标引入 Microsoft Sentinel。 “威胁情报 - TAXII”数据连接器使 Microsoft Sentinel 中的内置 TAXII 客户端可以从 TAXII 2.x 服务器导入威胁情报。

显示 TAXII 导入路径的屏幕截图

若要将 STIX 格式的威胁指标从 TAXII 服务器导入到 Microsoft Sentinel,请执行以下操作:

  1. 获取 TAXII 服务器 API 根和集合 ID。
  2. 在 Microsoft Sentinel 中启用“威胁情报 - TAXII”数据连接器。

有关详细信息,请参阅将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源

查看并管理威胁指标

在“威胁情报”页中查看和管理指标。 对导入的威胁指标进行排序、筛选和搜索,甚至无需编写 Log Analytics 查询。

高级搜索界面的屏幕截图,其中展示了源和模式条件。

两个最常见的威胁情报任务:指标标记和创建与安全调查相关的新指标。 当只需要快速管理几个威胁指标时,可以直接在“威胁情报”页中创建或编辑这些指标。

通过标记威胁指标,可以轻松地对它们进行分组,使其更易于查找。 通常,可以将标记应用于与特定事件相关的指标,或如果指标表示来自某个已知参与者或已知攻击活动的威胁的指标。 搜索要使用的指标后,可以单独标记它们。 多选指标,并用一个或多个标记一次性标记它们。 由于标记是自由格式的,因此我们建议为威胁指标标记创建标准命名约定。

验证指标并查看已成功从已启用 Microsoft Sentinel 的 Log Analytics 工作区导入的威胁指标。 Microsoft Sentinel 架构下的 ThreatIntelligenceIndicator 表是存储所有 Microsoft Sentinel 威胁指标的位置。 该表是由其他 Microsoft Sentinel 功能(例如 Analytics 和工作簿)执行的威胁情报查询的基础。

下面是威胁指标的基本查询的示例视图。

屏幕截图显示包含 ThreatIntelligenceIndicator 表的示例查询的日志页。

威胁情报指标引入 Log Analytics 工作区的 ThreatIntelligenceIndicator 表作为只读内容。 每当更新指标时,将创建表中的新条目 ThreatIntelligenceIndicator。 威胁情报页上仅显示最新的指标。 Microsoft Sentinel 重复数据删除基于属性 SourceSystem 的指标 IndicatorId ,并选择具有最新 TimeGenerated[UTC] 的指标。

IndicatorId 属性是使用 STIX 指标 ID 生成的。 从非 STIX 源导入或创建指标时,IndicatorId 由指标的源和模式生成。

有关查看和管理威胁指标的更多信息,请参阅使用 Microsoft Sentinel 中的威胁指标

查看 GeoLocation 和 WhoIs 数据扩充(公共预览版)

Microsoft使用额外 GeoLocationWhoIs 数据和数据丰富 IP 和域指标,以便为找到所选 IOC 的调查提供更多上下文。

在“威胁情报”窗格中查看已导入 Microsoft Sentinel 的这些类型的威胁指标的 GeoLocationWhoIs 数据。

例如,使用 GeoLocation 数据查找 IP 指示器的组织或国家/地区等信息。 使用 WhoIs 数据查找注册机构等数据,并从域指标记录创建数据。

使用威胁指标分析检测威胁

在诸如 Microsoft Sentinel 之类的 SIEM 解决方案中,威胁指标最重要的用例是为威胁检测的分析规则提供支持。 这些基于指标的规则将数据源中的原始事件与威胁指标进行比较,以检测组织中的安全威胁。 在 Microsoft Sentinel 的“Analytics”中,可创建按计划运行的分析规则并生成安全警报。 规则由查询驱动。 与一些配置一起,它们用于确定规则的运行频率、应生成安全警报和事件的查询结果类型,以及触发自动化响应(可选)。

尽管你始终可以从头开始创建新的分析规则,但 Microsoft Sentinel 提供了一组由 Microsoft 安全工程师创建的内置规则模板,以利用你的威胁指标。 这些模板基于威胁指标的类型(域、电子邮件、文件哈希、IP 地址或 URL)和你要匹配的数据源事件。 每个模板列出了规则正常运行所需的源。 利用这信息可以轻松确定 Microsoft Sentinel 中是否已导入必要的事件。

默认情况下,当这些内置规则被触发时,会创建一个警报。 在 Microsoft Sentinel 中,从分析规则生成的警报也会生成安全事件。 在 Microsoft Sentinel 菜单中的“威胁管理”下,选择“事件”。 安全操作团队将对事件进行会审和调查,以确定适当的响应操作。 有关详细信息,请参阅教程:通过 Microsoft Sentinel 调查事件

有关在分析规则中使用威胁指标的更多信息,请参阅使用威胁情报检测威胁

Microsoft 通过 Defender 威胁情报分析规则提供对其威胁情报的访问权限。 有关如何利用这条可生成高保真警报和事件的规则的详细信息,请参阅使用匹配分析来检测威胁

该屏幕截图显示了通过匹配分析生成的高保真事件,其中包含来自 Defender 威胁情报的其他上下文信息。

工作簿提供有关威胁情报的见解

工作簿提供功能强大的交互式仪表板,让你能够深入了解 Microsoft Sentinel 的各个方面,包括威胁情报。 使用内置的威胁情报工作簿直观显示有关威胁情报的关键信息。 可以根据业务需求轻松自定义工作簿。 通过将多个数据源组合在一起,以独特的方式将数据可视化,从而创建新仪表板。

Microsoft Sentinel 工作簿基于 Azure Monitor 工作簿,因此,系统已经提供大量文档以及更多可用模板。 有关详细信息,请参阅使用 Azure Monitor 工作簿创建交互式报表

GitHub 上还有 Azure Monitor 工作簿社区的丰富资源,你可以在此处下载更多模板并贡献自己的模板。

有关使用和自定义威胁情报工作簿的更多信息,请参阅使用 Microsoft Sentinel 中的威胁指标

本文介绍了 Microsoft Sentinel 的威胁情报功能,包括“威胁情报”边栏选项卡。 有关如何使用 Microsoft Sentinel 的威胁情报功能的实用指导,请参阅以下文章: