了解 Microsoft Sentinel 中的威脅情報
Microsoft Sentinel 是雲端原生安全性資訊和事件管理 (SIEM) 解決方案,能夠內嵌、策劃和管理來自許多來源的威脅情報。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
威脅情報簡介
網路威脅情報 (CTI) 是描述對系統和使用者的現有或潛在威脅的資訊。 此情報採用許多形式,例如,書面報告會詳細說明特定威脅行為者的動機、基礎結構和技術。 這也可以是對 IP 位址、網域、檔案雜湊,以及與已知網路威脅相關聯的其他成品所做的具體觀察。
組織會使用 CTI 來提供不尋常活動的基本內容,讓安全性人員可以快速採取動作來保護其人員、資訊和資產。 您可以從許多位置取得 CTI,例如:
- 開放原始碼數據摘要
- 威脅情報共用社群
- 商業智慧摘要
- 在組織內的安全性調查過程中收集的本機情報
針對 Microsoft Sentinel 這類的 SIEM 解決方案,最常見的 CTI 形式是威脅指標,也稱為入侵指標 (IOC) 或攻擊指標。 威脅指標是將 URL、檔案雜湊或 IP 位址等觀察到的成品,與已知的威脅活動如網路釣魚、殭屍網路或惡意程式碼相關聯的資料。 這種形式的威脅情報通常稱為戰術性威脅情報。 這適用於安全性產品和大規模的自動化,用以偵測組織受到的潛在威脅,並加以防範。
威脅情報的另一個方面代表威脅執行者、其技術、戰術和程式(TTP)、其基礎結構,以及受害者的身份。 Microsoft Sentinel 支援與 IOC 一起管理這些 Facet,使用 開放原始碼 標準來交換稱為結構化威脅資訊表達式 (STIX) 的 CTI。 以 STIX 物件表示的威脅情報可改善互作性,並讓組織更有效率地搜捕。 使用 Microsoft Sentinel 中的威脅情報 STIX 對象來偵測您環境中觀察到的惡意活動,並提供攻擊的完整內容,以通知回應決策。
下表概述在 Sentinel Microsoft 中充分利用威脅情報 (TI) 整合所需的活動:
| 動作 | 描述 |
|---|---|
| 將威脅情報儲存在 Sentinel 工作區Microsoft |
|
| 管理威脅情報 |
|
| 使用威脅情報 |
|
威脅情報也提供其他Microsoft Sentinel 體驗中的實用內容,例如筆記本。 如需詳細資訊,請參閱 開始使用筆記本和 MSTICPy。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
匯入和連線威脅情報
大部分的威脅情報都是使用數據連接器或 API 匯入。 設定擷取規則以減少雜訊,並確保智慧摘要已優化。 以下是Microsoft Sentinel 可用的解決方案。
- Microsoft Defender 威脅情報 數據連接器來內嵌Microsoft的威脅情報
- 威脅情報 - 適用於業界標準 STIX/TAXII 摘要的 TAXII 資料連接器
- 威脅情報上傳 API 以使用 REST API 連線進行整合和策劃的 TI 摘要(不需要數據連接器)
- 威脅情報平臺 數據連接器也會使用舊版 REST API 連接 TI 摘要,但位於淘汰的路徑上
視組織來源威脅情報的位置而定,以任何組合使用這些解決方案。 所有這些數據連接器都可在內容中樞作為威脅情報解決方案的一部分使用。 如需此解決方案的詳細資訊,請參閱 Azure Marketplace 項目威脅情報。
另請參閱 Microsoft Sentinel 可用的威脅情報整合目錄。
使用 Defender 威脅情報數據連接器將威脅情報新增至 Microsoft Sentinel
使用 Defender 威脅情報資料連接器,將 Defender 威脅情報所產生的公用、開放原始碼和高逼真度 IOC 導入您的 Microsoft Sentinel 工作區中。 透過簡單的單鍵設定,使用來自標準和進階 Defender 威脅情報資料連接器的威脅情報,進行監視、警示和搜捕。
數據連接器有兩個版本,標準和進階版本。 另外還有一個免費可用的 Defender 威脅情報威脅分析規則,提供進階 Defender 威脅情報數據連接器所提供的範例。 但在使用比對分析時,只有符合規則的指標會擷取到您的環境中。
進階 Defender 威脅情報數據連接器會擷取Microsoft擴充的 開放原始碼 情報,以及Microsoft策劃的 IOC。 這些進階功能可讓分析更多數據源,並具有更大的彈性,並瞭解該威脅情報。 以下是一份表格,顯示授權並啟用進階版本時預期的情況。
| 免費 | 高級 |
|---|---|
| 公用 IOC | |
| 開放原始碼情報 (OSINT) | |
| Microsoft IOC | |
| Microsoft 擴充的 OSINT |
如需詳細資訊,請參閱下列文章:
- 若要瞭解如何取得進階授權並探索標準和進階版本之間的所有差異,請參閱 探索Defender威脅情報授權。
- 若要深入了解免費的 Defender 威脅情報體驗,請參閱介紹 Microsoft Defender 全面偵測回應的 Defender 威脅情報免費體驗。
- 若要了解如何啟用 Defender 威脅情報和進階 Defender 威脅情報資料連接器,請參閱啟用 Defender 威脅情報資料連接器。
- 若要了解比對分析,請參閱使用比對分析來偵測威脅。
使用上傳 API 將威脅情報新增至 Microsoft Sentinel
許多組織都使用威脅情報平台 (TIP) 解決方案來匯總來自各種來源的威脅指標摘要。 資料將從匯總摘要中進行鑑定,以套用至安全性解決方案,例如網路裝置、EDR/XDR 解決方案或 SIEM,例如 Microsoft Sentinel。 上傳 API 可讓您使用這些解決方案,將威脅情報 STIX 物件匯入至 sentinel Microsoft。
新的上傳 API 不需要資料連接器,並提供下列改善:
- 威脅指標欄位以 STIX 標準化格式為基礎。
- Microsoft Entra 應用程式需要Microsoft Sentinel 參與者角色。
- API 要求端點的範圍限於工作區層級。 必要的 Microsoft Entra 應用程式權限可讓您在工作區層級進行精細的指派。
如需詳細資訊,請參閱 使用上傳 API 連接威脅情報平臺
使用威脅情報平臺數據連接器將威脅情報新增至 Microsoft Sentinel
注意
此資料連接器現在位於取代的路徑上。
與上傳 API 類似,威脅情報平臺數據連接器會使用 API,讓您的 TIP 或自定義解決方案將威脅情報傳送至 sentinel Microsoft。 不過,此數據連接器僅限於指標,且現在處於淘汰的路徑。 建議您利用上傳 API 必須提供的優化。
TIP 資料連接器會使用 不支援其他 STIX 物件的 Microsoft Graph 安全性 tiIndicators API 。 將它與 tiIndicators API 通訊的任何自定義 TIP 搭配使用,以將指標傳送至Microsoft Sentinel (以及其他Microsoft安全性解決方案,例如 Defender XDR)。
如需與 Microsoft Sentinel 整合之 TIP 解決方案的詳細資訊,請參閱整合式威脅情報平台產品。 如需詳細資訊,請參閱將威脅情報平台連線至 Microsoft Sentinel。
使用威脅情報 - TAXII 數據連接器將威脅情報新增至 Microsoft Sentinel
用於傳輸威脅情報的最廣泛採用業界標準是 STIX 資料格式和 TAXII 通訊協定的組合。 如果您的組織從支援目前 STIX/TAXII 版本 (2.0 或 2.1) 的解決方案取得威脅情報,請使用威脅情報 - TAXII 數據連接器,將威脅情報帶入Microsoft Sentinel。 威脅情報 - TAXII 資料連接器可讓 Microsoft Sentinel 中的內建 TAXII 用戶端從 TAXII 2.x 伺服器匯入威脅情報。
若要從 TAXII 伺服器將 STIX 格式的威脅情報匯入至Microsoft Sentinel:
- 取得 TAXII 伺服器 API 根目錄和集合識別碼。
- 在 Microsoft Sentinel 中啟用威脅情報 - TAXII 資料連接器。
如需詳細資訊,請參閱將 Microsoft Sentinel 連線至 STIX/TAXII 威脅情報摘要。
建立和管理威脅情報
Microsoft Sentinel 提供的威脅情報是在 Microsoft 統一 SecOps 平臺中 Microsoft Defender 威脅情報 (MDTI) 和威脅分析旁邊管理。
注意
Azure 入口網站 中的威脅情報仍可從Microsoft Sentinel>威脅管理>威脅情報存取。
其中兩個最常見的威脅情報工作是建立與安全性調查和新增標籤相關的新威脅情報。 管理介面可簡化以一些重要功能策劃個別威脅 Intel 的手動程式。
- 設定擷取規則,以將來自傳入來源的威脅 Intel 優化。
- 在您建立新的 STIX 物件時定義關聯性。
- 使用關聯性產生器策劃現有的 TI。
- 從具有重複功能的新或現有 TI 物件複製通用元數據。
- 使用多重選取將自由格式標籤新增至物件。
Microsoft Sentinel 中提供下列 STIX 物件: 
| STIX 物件 | 描述 |
|---|---|
| 威脅執行者 | 從腳本小玩笑到國家狀態,威脅演員物件描述動機、複雜度和資源層級。 |
| 攻擊模式 | 也稱為技術、策略和程式、攻擊模式,描述攻擊的特定元件,以及它所使用的 MITRE ATT&CK 階段。 |
| 指示器 |
Domain name、URL、IPv4 address、 IPv6 address和File hashesX509 certificates 可用來驗證裝置和伺服器的身分識別,以透過因特網進行安全通訊。
JA3 指紋是從 TLS/SSL 交握程式產生的唯一標識碼。 它們有助於識別網路流量中使用的特定應用程式和工具,讓您更輕鬆地偵測惡意活動JA3S 指紋,藉由在指紋程式中納入伺服器特定特性來擴充 JA3 的功能。 此延伸模組提供更完整的網路流量檢視,並協助識別客戶端和伺服器端威脅。
User agents 提供客戶端軟體向伺服器提出要求的相關信息,例如瀏覽器或作系統。 它們有助於識別和分析存取網路的裝置和應用程式。 |
| 身分識別 | 描述受害者、組織和其他群組或個人,以及與其最密切關聯的商務部門。 |
| 關聯 | 連接威脅情報的線程,可透過關聯性描述跨不同訊號和數據點的連線。 |
設定擷取規則
將威脅情報摘要優化,方法是先篩選和增強物件,再將其傳遞至您的工作區。 擷取規則會更新屬性,或一起篩選物件。 下表列出一些使用案例:
| 擷取規則使用案例 | 描述 |
|---|---|
| 減少雜訊 | 篩選掉未更新 6 個月且信賴度低的舊威脅情報。 |
| 延長有效日期 | 藉由將信任的來源擴充 Valid until 到 30 天,以提升高逼真度 IOC。 |
| 記住舊的日子 | 新的威脅演員分類法很棒,但一些分析師希望一定要標記舊的名字。 |
請記住下列使用擷取規則的秘訣:
- 所有規則都會依序套用。 要擷取的威脅情報物件將會由每個規則處理,直到
Delete採取動作為止。 如果對象上沒有採取任何動作,則會從來源擷取。 - 動作
Delete表示已略過威脅情報對象進行擷取,這表示已從管線中移除。 任何已內嵌的舊版物件都不會受到影響。 - 新的和編輯的規則最多需要15分鐘才會生效。
如需詳細資訊,請參閱 使用威脅情報擷取規則。
建立關聯
藉由建立對象與關聯性產生器之間的連線,來增強威脅偵測和回應。 下表列出一些使用案例:
| 關聯性使用案例 | 描述 |
|---|---|
| 將威脅執行者連線到攻擊模式 | 威脅執行者 APT29使用 攻擊模式 Phishing via Email 來取得初始存取權。 |
| 將指標連結至威脅執行者 | 網域指標allyourbase.contoso.com是屬性為威脅執行者 APT29。 |
| 將身分識別 (受害者) 與攻擊模式產生關聯 | 攻擊模式Phishing via Email以組織為目標FourthCoffee。 |
下圖顯示關聯性產生器如何連接所有這些使用案例。
策劃威脅情報
藉由指定稱為「交通燈通訊協定」(TLP)的敏感度層級,設定哪些 TI 物件可以與適當的對象共用。
| TLP 色彩 | 敏感度 |
|---|---|
| 白色 | 資訊可以自由和公開地共用,而不受任何限制。 |
| 綠 | 資訊可以與社群內的對等和合作夥伴組織共用,但無法公開分享。 它適用於社群中更廣泛的受眾。 |
| Amber | 資訊可以與組織成員共用,但無法公開分享。 它的目的是在組織內用來保護敏感性資訊。 |
| 紅色 | 資訊高度敏感,不應在最初披露的特定群組或會議外部共用。 |
當您建立或編輯 TI 物件時,請在 UI 中設定 TLP 值。 透過 API 設定 TLP 較不直覺,而且需要選擇四 marking-definition 個物件 GUID 中的一個。 如需透過 API 設定 TLP 的詳細資訊,請參閱 上傳 API 的一般屬性中的object_marking_refs
另一種策展 TI 的方式是標記。 標記威脅情報是將物件分組在一起,使其更容易找到的快速方式。 一般而言,您可能會套用與特定事件相關的標籤。 但是,如果物件代表來自特定已知動作專案或已知攻擊活動的威脅,請考慮建立關聯性,而不是標記。 搜尋並篩選您想要使用的威脅情報之後,請個別標記或多重選取並一次標記它們。 因為標記是自由格式的,因此建議您為威脅情報標記建立標準命名慣例。
如需詳細資訊,請參閱 在 sentinel 中使用Microsoft威脅情報。
檢視您的威脅情報
從管理介面檢視您的威脅情報。 使用進階搜尋來排序和篩選威脅情報物件,甚至不需要撰寫Log Analytics查詢。
檢視儲存在已啟用 Microsoft Sentinel 的 Log Analytics 工作區中的指標。
Microsoft Sentinel 結構描述底下的 ThreatIntelligenceIndicator 資料表,是您所有 Microsoft Sentinel 威脅指標的儲存之處。 下表是其他Microsoft Sentinel 功能所執行威脅情報查詢的基礎,例如分析、搜捕查詢和活頁簿。
重要
支援新 STIX 物件架構的數據表處於私人預覽狀態。 若要在查詢中檢視 STIX 物件,並解除鎖定使用這些物件的搜捕模型,請要求加入 此表單。 使用這個選擇加入程式,將威脅情報內嵌到新的數據表中, ThreatIntelIndicator 以及 ThreatIntelObjects與 目前的數據表並排或取代目前的數據表 ThreatIntelligenceIndicator。
以下是使用目前數據表只針對威脅指標進行基本查詢的範例檢視。
![顯示 [記錄] 頁面的螢幕擷取畫面,其中包含 ThreatIntelligenceIndicator 資料表的範例查詢。](media/understand-threat-intelligence/logs-page-ti-table.png#lightbox)
威脅情報指標會以唯讀的形式擷取到您 Log Analytics 工作區的 ThreatIntelligenceIndicator 資料表中。 每當有指標更新時,ThreatIntelligenceIndicator 資料表中就會建立新項目。 只有最新的指標會出現在管理介面上。 Microsoft Sentinel 會根據 IndicatorId 和 SourceSystem 屬性對指標刪除重複資料,然後選擇具有最新 TimeGenerated[UTC] 的指標。
IndicatorId屬性是使用 STIX 指標標識碼來產生。 從非 STIX 來源匯入或建立指標時, IndicatorId 會從指標的來源和模式產生。
如需詳細資訊,請參閱 在 sentinel 中使用Microsoft威脅情報。
檢視您的 GeoLocation 和 WhoIs 資料擴充 (公開預覽版)
Microsoft 會使用額外的 GeoLocation 和 WhoIs 資料來擴充 IP 和網域指標,為找到所選取 IOC 的調查提供更多內容。
在 [威脅情報] 窗格上檢視 GeoLocation 和 WhoIs 資料,以了解匯入至 Microsoft Sentinel 的威脅指標類型。
例如,使用 GeoLocation 數據來尋找IP指標的組織或國家或地區等資訊。 使用 WhoIs 資料來尋找註冊機構之類的資料,並從網域指標記錄建立資料。
使用威脅指標型分析來偵測威脅
MICROSOFT Sentinel 等 SIEM 解決方案中威脅情報的最重要使用案例是為威脅偵測提供分析規則。 這些指標型規則會比較資料來源中的原始事件與您的威脅指標,以偵測組織中是否有安全性威脅。 在 Microsoft Sentinel Analytics 中,您可以建立由排程執行併產生安全性警示之查詢所提供的分析規則。 經由設定,可以決定規則的執行頻率、何種查詢結果應產生安全性警示和事件,以及何時觸發自動化回應 (選擇性)。
雖然您可以從頭建立新的分析規則,但 Microsoft Sentinel 提供 Microsoft 安全性工程師所建立的一組內建規則範本,以充分運用您的威脅指標。 這些範本以您想要比對的威脅指標類型 (網域、電子郵件、檔案雜湊、IP 位址或 URL) 和資料來源事件為基礎。 每個範本都會列出規則運作所需的必要來源。 這項資訊可讓您輕鬆判斷必要的事件是否已匯入 Microsoft Sentinel 中。
根據預設,觸發這些內建規則時,將會建立警示。 在 Microsoft Sentinel 中,從分析規則產生的警示也會產生安全性事件。 在 [Microsoft Sentinel] 功能表的 [威脅管理] 底下,選取 [事件]。 事件會由安全性作業小組分類並調查,以決定適當的回應動作。 如需詳細資訊,請參閱教學課程:使用 Microsoft Sentinel 調查事件。
如需在分析規則中使用威脅指標的詳細資訊,請參閱使用威脅情報來偵測威脅。
Microsoft 透過 Defender 威脅情報分析規則提供對其威脅情報的存取。 如需如何利用此規則產生高逼真度警示和事件的詳細資訊,請參閱使用比對分析來偵測威脅。
活頁簿提供關於威脅情報的深入解析
活頁簿提供了功能強大的互動式儀表板,可讓您深入了解 Microsoft Sentinel 的各個層面,威脅情報也不例外。 使用內建威脅情報活頁簿,將威脅情報的重要資訊視覺化。 根據您的業務需求自定義活頁簿。 建立結合許多資料來源的新儀表板,以便以獨特的方式將資料視覺化。
由於 Microsoft Sentinel 活頁簿以 Azure 監視器活頁簿為基礎,因此已有大量的文件和更多範本可供使用。 如需詳細資訊,請參閱使用 Azure 監視器活頁簿建立互動式報表。
GitHub 上也有豐富的 Azure 監視器活頁簿資源,您可以從中下載更多範本,和貢獻您自己的範本。
如需使用和自定義 威脅情報 活頁簿的詳細資訊,請參閱 使用活頁簿將威脅情報可視化。
相關內容
在本文中,您已瞭解由 Microsoft Sentinel 提供的威脅情報功能。 如需詳細資訊,請參閱下列文章: