共用方式為


在 Microsoft Sentinel 中使用威脅指標

透過下列活動,將威脅情報整合至 Microsoft Sentinel 中:

  • 藉由啟用各種威脅情報平台摘要資料連接器將威脅情報匯入 Microsoft Sentinel 中。
  • 在 [記錄] 和 Microsoft Sentinel 的 [威脅情報] 頁面中,檢視及管理匯入的威脅情報。
  • 根據您匯入的威脅情報,使用內建的分析規則範本來偵測威脅,並產生安全性警示和事件。
  • 使用威脅情報活頁簿,以在 Microsoft Sentinel 中視覺化已匯入威脅情報的重要資訊。

重要

Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

在 Microsoft Sentinel 中檢視您的威脅指標

了解如何在整個 Microsoft Sentinel 中使用威脅情報指標。

在 [威脅情報] 頁面尋找及檢視您的指標

此程序說明如何在 [威脅情報] 頁面檢視及管理指標,此頁面可從主要 Microsoft Sentinel 功能表存取。 使用 [威脅情報] 頁面來排序、篩選和搜尋您匯入的威脅指標,而無須撰寫 Log Analytics 查詢。

若要在 [威脅情報] 頁面檢視威脅情報指標:

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,於 [威脅管理] 底下,選取 [威脅情報]

    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[威脅管理]>[威脅情報]

  2. 從格線中選取您要檢視更多詳細資料的指標。 指標的資訊包括信賴度等級、標籤和威脅類型。

Microsoft Sentinel 只會在此檢視中顯示最新的指標版本。 如需指標更新方式的詳細資訊,請參閱瞭解威脅情報

IP 和網域名稱指標會以額外的 GeoLocationWhoIs 資料擴充。 此資料會提供更多內容來調查所選取指標的位置。

以下是範例。

[威脅情報] 頁面的螢幕擷取畫面,其中含有顯示 GeoLocation 和 WhoIs 資料的指標。

重要

GeoLocationWhoIs 擴充目前為預覽狀態。 Azure 預覽補充條款包含適用於搶鮮版 (Beta)、預覽版,或尚未正式發行的版本 Azure 功能的其他法律條款。

在記錄中尋找及檢視您的指標

此程序說明如何在 Microsoft Sentinel 的 [記錄] 區域中檢視您匯入的威脅指標以及其他 Microsoft Sentinel 事件資料,無論來源摘要或使用的連接器為何。

匯入的威脅指標會列在 Microsoft Sentinel ThreatIntelligenceIndicator 資料表中。 此資料表是在 Microsoft Sentinel 中其他地方 (例如 AnalyticsWorkbooks) 執行威脅情報查詢的基礎。

若要在 [記錄] 中檢視您的威脅情報指標:

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,在 [一般] 下,選取 [記錄]

    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [調查與回應]>[搜捕]>[進階搜捕]

  2. ThreatIntelligenceIndicator 資料表位於 Microsoft Sentinel 群組底下。

  3. 選取資料表名稱旁的 [預覽資料] 圖示 (眼睛)。 選取 [在查詢編輯器中查看],以執行顯示此資料表記錄的查詢。

    您的結果看起來應該會類似這裡所顯示的範例威脅指標。

    顯示範例 ThreatIntelligenceIndicator 資料表結果的螢幕擷取畫面,其中已展開詳細資料。

建立和標記指標

使用 [威脅情報] 頁面直接在 Microsoft Sentinel 介面內建立威脅指標,以及執行兩個常見的威脅情報管理工作: 指標標記,以及建立與安全性調查相關的新指標。

建立新的指標

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,於 [威脅管理] 底下,選取 [威脅情報]

    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[威脅管理]>[威脅情報]

  2. 在頁面頂端的功能表列上,選取 [新增新的]

    顯示增加新威脅指標的螢幕擷取畫面。

  3. 選擇指標類型,然後填寫 [新指標] 面板上的表單。 必要欄位會標有星號 (*)。

  4. 選取套用。 指標會新增至指標清單,也會傳送至 [記錄] 中的 ThreatIntelligenceIndicator 資料表。

標記和編輯威脅指標

標記威脅指標可將輕易地分組在一起,以便尋找指標。 一般來說,您可能會將標籤套用至與特定事件相關的指標,或代表來自特定已知行為者或已知攻擊活動之威脅的指標。 搜尋您想要使用的指標之後,個別加以標記。 多重選取指標,並以一或多個標籤同時將其全部標記。 由於標記採自由格式,建議您為威脅指標標籤建立標準命名慣例。

顯示套用標籤到威脅指標的螢幕擷取畫面。

有了 Microsoft Sentinel,您也可以編輯指標,無論這些指標是直接在 Microsoft Sentinel 中建立,還是來自合作夥伴來源 (例如 TIP 和 TAXII 伺服器)。 對於在 Microsoft Sentinel 中建立的指標,所有欄位都是可編輯的。 針對來自合作夥伴來源的指標,只可以編輯特定欄位,包括標籤、[到期日]、[信賴度] 和 [已撤銷]。 無論如何,只有指標的最新版本會顯示在 [威脅情報] 頁面。 如需指標更新方式的詳細資訊,請參閱瞭解威脅情報

使用活頁簿取得關於威脅情報的深入解析

請使用按用途建置的 Microsoft Sentinel 活頁簿,將 Microsoft Sentinel 中有關於威脅情報的重要資訊視覺化,並根據您的業務需求自訂活頁簿。

以下說明如何尋找 Microsoft Sentinel 中提供的威脅情報活頁簿,並以範例說明如何編輯活頁簿而加以自訂。

  1. Azure 入口網站移至 Microsoft Sentinel

  2. 選擇您使用任一威脅情報資料連接器匯入威脅指標的工作區。

  3. 從 Microsoft Sentinel 功能表的 [威脅管理] 區段中,選取 [活頁簿]

  4. 尋找標題為 [威脅情報] 的活頁簿。 確認您在 ThreatIntelligenceIndicator 資料表中有資料。

    顯示確認您有資料的螢幕擷取畫面。

  5. 選取 [儲存],然後選擇用來儲存活頁簿的 Azure 位置。 如果您意圖以任何方式修改活頁簿,並儲存您的變更,則需進行此步驟。

  6. 現在,選取 [檢視已儲存的活頁簿] 以開啟活頁簿以供檢視和編輯。

  7. 您現在應該會看到範本提供的預設圖表。 若要修改圖表,請選取頁面頂端的 [編輯] 以開始活頁簿的編輯模式。

  8. 依威脅類型新增威脅指標的圖表。 將頁面往下捲動,並選取 [新增查詢]

  9. 將下列文字新增至 [Log Analytics 工作區記錄查詢] 文字方塊:

    ThreatIntelligenceIndicator
    | summarize count() by ThreatType
    
  10. 從 [視覺效果] 下拉式功能表中,選取 [橫條圖]

  11. 選取 [完成編輯],然後檢視活頁簿的新圖表。

    顯示活頁簿橫條圖的螢幕擷取畫面。

活頁簿提供了功能強大的互動式儀表板,可讓您深入了解 Microsoft Sentinel 的各個層面。 您可以使用活頁簿執行許多工作,而提供的範本是絕佳的起點。 藉由結合許多資料來源來自訂範本或建立新的儀表板,您可以用獨特的方式將資料視覺化。

Microsoft Sentinel 活頁簿以 Azure 監視器活頁簿為基礎,因此有各式各樣的文件和更多範本可供您使用。 如需詳細資訊,請參閱使用 Azure 監視器活頁簿建立互動式報表

GitHub 上也有豐富的 Azure 監視器活頁簿資源,您可以從中下載更多範本,和貢獻您自己的範本。

您已在本文了解如何在整個 Microsoft Sentinel 中使用威脅情報指標。 若要進一步了解 Microsoft Sentinel 中的威脅情報,請參閱下列文章: