你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Microsoft Sentinel 中的威胁指标
通过以下活动将威胁情报 (TI) 集成到 Microsoft Sentinel 中:
- 通过启用面向各种威胁情报平台和源的数据连接器,将威胁情报导入 Microsoft Sentinel。
- 在“日志”和 Microsoft Sentinel 的“威胁情报”页中查看和管理导入的威胁情报。
- 通过使用内置的 Analytics 规则模板,根据导入的威胁情报,检测威胁并生成安全警报和事件。
- 利用“威胁情报”工作簿直观显示 Microsoft Sentinel 中导入的威胁情报的关键信息 。
重要
Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
查看 Microsoft Sentinel 中的威胁指标
了解如何在 Microsoft Sentinel 中使用威胁情报指标。
在“威胁情报”页中查找和查看指标
此过程描述如何在“威胁情报”页(可从 Microsoft Sentinel 主菜单访问)中查看和管理指标。 可使用“威胁情报”对导入的威胁指标进行排序、筛选和搜索,而无需编写 Log Analytics 查询。
在“威胁情报”页中查看威胁情报指标:
对于 Azure 门户中的 Microsoft Sentinel,请在“威胁管理”下选择“威胁情报”。
对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“威胁管理”>“威胁情报”。
在网格中,选择要查看更多详细信息的指标。 指标的信息包括置信度、标记和威胁类型。
Microsoft Sentinel 仅显示此视图中最新版本的指标。 若要详细了解如何更新指标,请参阅了解威胁情报。
IP 和域名指标使用额外的 GeoLocation 和 WhoIs 数据进行扩充。 此数据为找到所选指标的调查提供更多背景信息。
下面是一个示例。
重要
GeoLocation 和 WhoIs 扩充目前为预览版。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
在日志中查找和查看指标
此过程介绍了在不考虑源信息提要或所使用的连接器的情况下,如何在 Microsoft Sentinel“日志”区域中查看导入的威胁指标以及其他 Microsoft Sentinel 事件数据。
导入的威胁指标列在 Microsoft Sentinel ThreatIntelligenceIndicator 表中。 在 Microsoft Sentinel 的其他位置(例如 Analytics 和工作簿)执行威胁情报查询时,该表是基础。
查看“日志”中的威胁情报指标:
对于 Azure 门户中的 Microsoft Sentinel,请在“常规”下选择“日志”。
对于 Defender 门户中的 Microsoft Sentinel,选择“调查和响应”>“搜寻”>“高级搜寻”。
ThreatIntelligenceIndicator表位于 Microsoft Sentinel 组的下方。选择表名称旁边的“预览数据”图标(眼睛)。 选择“在查询编辑器中查看”,以运行显示此表中的记录的查询。
结果应类似于下面所示的示例威胁指标。
创建和标记指标
通过“威胁情报”页面,你还可以直接在 Microsoft Sentinel 界面中创建威胁指标,以及执行两个最常见的威胁情报管理任务:指标标记和创建与安全调查相关的新指标。
创建新指标
对于 Azure 门户中的 Microsoft Sentinel,请在“威胁管理”下选择“威胁情报”。
对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“威胁管理”>“威胁情报”。
在页面顶部的菜单栏中,选择“新建”。
选择指标类型,然后在“新指标”面板上填写表单。 带星号 (*) 的字段为必填字段。
选择“应用”。 系统会将该指标添加到指标列表,同时发送到“日志”中的
ThreatIntelligenceIndicator表中。
标记和编辑威胁指标
通过标记威胁指标,可以轻松地对它们进行分组,使其更易于查找。 通常,可以将标记应用于与特定事件相关的指标,或如果指标表示来自某个已知参与者或已知攻击活动的威胁的指标。 搜索要使用的指标后,可以单独标记它们。 多选指标,并用一个或多个标记一次性标记它们。 由于标记是自由格式的,因此我们建议为威胁指标标记创建标准命名约定。
Microsoft Sentinel 还允许你编辑指标,无论这些指标是直接在 Microsoft Sentinel 中创建的,还是来自合作伙伴源,如 TIP 和 TAXII 服务器。 对于在 Microsoft Sentinel 中创建的指标,所有字段都是可编辑的。 对于来自合作伙伴源的指标,只有特定字段可编辑,包括标记、“到期日期”、“置信度”和“已撤销”。 无论采用哪种方式,都请记住,“威胁智能”页面视图中仅显示最新版本的指标。 若要详细了解如何更新指标,请参阅了解威胁情报。
工作簿提供有关威胁情报的见解
使用特定用途的 Microsoft Sentinel 工作簿直观显示 Microsoft Sentinel 中威胁情报的关键信息,并根据业务需求自定义工作簿。
现在介绍如何查找 Microsoft Sentinel 中提供的威胁情报工作簿,以及如何编辑工作簿的示例,以便对其进行自定义。
在 Azure 门户中,转到 Microsoft Sentinel。
使用任一威胁情报数据连接器,选择要将威胁指标导入其中的工作区。
从 Microsoft Sentinel 菜单的“威胁管理”部分,选择“工作簿”。
找到标题为“威胁情报”的工作簿。 验证
ThreatIntelligenceIndicator表中是否有你的数据。
选择“保存”,然后选择用于存储工作簿的 Azure 位置。 如果要以任何方式修改工作簿并保存更改,就必须执行此步骤。
现在,选择“查看保存的工作簿”以打开工作簿进行查看和编辑。
现在应该可以看到模板提供的默认图表。 若要修改图表,请选择页面顶部的“编辑”,进入工作簿的编辑模式。
按威胁类型添加一个新的威胁指标图表。 滚动到页面底部,选择“添加查询”。
将以下文本添加到“Log Analytics 工作区日志查询”文本框中:
ThreatIntelligenceIndicator | summarize count() by ThreatType有关上述示例中使用的以下项的详细信息,请参阅 Kusto 文档:
从“可视化效果”下拉列表中选择“条形图”。
选择“完成编辑”,然后查看工作簿的新图表。
工作簿提供功能强大的交互式仪表板,让你能够深入了解 Microsoft Sentinel 的各个方面。 你可以使用工作簿执行许多任务,提供的模板是一个很好的选择。 你可以结合许多数据源来自定义模板或创建新的仪表板,以便通过独特的方式可视化数据。
Microsoft Sentinel 工作簿基于 Azure Monitor 工作簿,因此提供了大量文档和模板。 有关详细信息,请参阅使用 Azure Monitor 工作簿创建交互式报表。
GitHub 上还有 Azure Monitor 工作簿社区的丰富资源,你可以在此处下载更多模板并贡献自己的模板。
相关内容
有关 Microsoft Sentinel 中威胁情报的详细信息,请参阅以下文章:
- 理解 Microsoft Sentinel 中的威胁情报。
- 将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源。
- 查看哪些 TIP、TAXII 馈送和扩充可轻松与 Microsoft Sentinel 集成。
有关 KQL 的更多信息,请参阅 Kusto 查询语言 (KQL) 概述。
其他资源: