Megosztás a következőn keresztül:

A Microsoft Sentinel fenyegetésfelderítésének használata

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Gyorsítsa fel a fenyegetésészlelést és a szervizelést a fenyegetésfelderítés egyszerűbb létrehozásával és kezelésével. Ez a cikk bemutatja, hogyan lehet a lehető legtöbbet kihozni a fenyegetésintelligencia-integrációból a felügyeleti felületen, függetlenül attól, hogy az Azure Portalon vagy a Defender portálon a Microsoft Sentinelből éri el.

  • Fenyegetésintelligencia-objektumok létrehozása strukturált fenyegetésinformációs kifejezéssel (STIX)
  • Fenyegetésfelderítés kezelése megtekintéssel, kurálással és vizualizációval

Fontos

A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Hozzáférés a felügyeleti felülethez

Az alábbi lapok egyikére hivatkozhat attól függően, hogy hol szeretné használni a fenyegetésfelderítést. Annak ellenére, hogy a felügyeleti felület a használt portáltól függően eltérően érhető el, a létrehozási és felügyeleti feladatok ugyanazokat a lépéseket hajtják végre, amint odaér.

A Defender portálon keresse meg a Fenyegetésintelligencia>Intel-felügyeletét.

Képernyőkép az Intel felügyeleti menüelemről a Defender portálon.

Fenyegetésintelligencia létrehozása

A felügyeleti felületen STIX-objektumokat hozhat létre, és egyéb gyakori fenyegetésfelderítési feladatokat hajthat végre, például jelzőcímkét és kapcsolatokat létesíthet az objektumok között.

  • Új STIX-objektumok létrehozásakor definiáljon kapcsolatokat.
  • A metaadatok új vagy meglévő TI-objektumból való másolásához az ismétlődő funkcióval gyorsan létrehozhat több objektumot.

A támogatott STIX-objektumokról további információt a fenyegetésintelligencia ismertetése című témakörben talál.

Új STIX-objektum létrehozása

  1. Válassza az Új TI-objektum>hozzáadása lehetőséget.

    Új fenyegetésjelző hozzáadását bemutató képernyőkép.

  2. Válassza ki az Objektumtípust, majd töltse ki az űrlapot az Új TI objektumlapon . A kötelező mezőket piros csillag (*) jelöli.

  3. Fontolja meg egy bizalmassági érték vagy a Traffic Light Protocol (TLP) minősítésének a TI-objektumra való kiosztását. Az értékek megjelenítéséről további információt a fenyegetésfelderítés curate című témakörben talál.

  4. Ha tudja, hogy ez az objektum hogyan kapcsolódik egy másik fenyegetésintelligencia-objektumhoz, jelezze, hogy a kapcsolat típusa és a célhivatkozás kapcsolata.

  5. Válassza a Hozzáadás lehetőséget egy adott objektumhoz, vagy ha több elemet szeretne létrehozni ugyanazokkal a metaadatokkal, válassza a Hozzáadás lehetőséget. Az alábbi képen az egyes STIX-objektumok metaadatainak gyakran ismétlődő szakasza látható.

Képernyőkép az új STIX-objektumok létrehozásáról és az összes objektum számára elérhető gyakori metaadatokról.

Fenyegetésintelligencia kezelése

A forrásokból származó TI optimalizálása betöltési szabályokkal. A meglévő TI-nek a kapcsolatszerkesztővel való curálása. A felügyeleti felületen kereshet, szűrhet és rendezhet, majd címkéket adhat hozzá a fenyegetésfelderítéshez.

A fenyegetésintelligencia-hírcsatornák optimalizálása betöltési szabályokkal

Csökkentse a TI-hírcsatornák zaját, meghosszabbítsa a magas értékű jelzők érvényességét, és adjon hozzá értelmes címkéket a bejövő objektumokhoz. Ezek csak néhány használati eset a betöltési szabályokhoz. Az alábbiakban az érvényességi dátum nagy értékű mutatókra való kiterjesztésének lépéseit mutatjuk be.

  1. A betöltési szabályok kiválasztásával teljesen új lapot nyithat meg a meglévő szabályok megtekintéséhez és új szabálylogika létrehozásához.

    Képernyőkép a fenyegetésintelligencia-kezelési menüről, amely a betöltési szabályokra mutat.

  2. Adjon meg egy leíró nevet a szabálynak. A betöltési szabályok lapjának számos szabálya van a névhez, de ez az egyetlen szöveges leírás, amely a szabályok szerkesztés nélküli megkülönböztetéséhez érhető el.

  3. Válassza ki az objektumtípust. Ez a használati eset a Valid from tulajdonság kiterjesztésén alapul, amely csak az objektumtípusokhoz Indicator érhető el.

  4. Adja hozzá a feltételt , SourceEquals és válassza ki a magas értéket Source.

  5. Adjon hozzá feltételt , ConfidenceGreater than or equal és adjon meg egy pontszámot Confidence .

  6. Válassza ki a műveletet. Mivel módosítani szeretnénk ezt a mutatót, válassza a lehetőséget Edit.

  7. Válassza ki a Hozzáadás műveletet a következőhöz Valid until, Extend byés válasszon egy időtartamot napok alatt.

  8. Fontolja meg egy címke hozzáadását, hogy jelezze az ezeken a mutatókon elhelyezett magas értéket, például Extended. A módosított dátumot a betöltési szabályok nem frissítik.

  9. Válassza ki a szabály futtatásához szükséges sorrendet . A szabályok a legalacsonyabb rendelésszámtól a legmagasabbig futnak. Minden szabály kiértékeli az összes betöltött objektumot.

  10. Ha a szabály készen áll az engedélyezésre, kapcsolja be az állapotot .

  11. Válassza a Hozzáadás lehetőséget a betöltési szabály létrehozásához.

Képernyőkép az új betöltési szabály létrehozásának dátumig történő meghosszabbításáról.

További információ: A fenyegetésintelligencia-betöltési szabályok ismertetése.

A fenyegetésintelligencia kezelése a kapcsolatszerkesztővel

A fenyegetésintelligencia-objektumok csatlakoztatása a kapcsolatszerkesztővel. Egyszerre legfeljebb 20 kapcsolat lehet a szerkesztőben, de több kapcsolat is létrehozható több iterációval, valamint új objektumok kapcsolati célhivatkozásainak hozzáadásával.

  1. Kezdje olyan objektumokkal, mint a fenyegetéselektor vagy a támadási minta, ahol az egyetlen objektum egy vagy több objektumhoz, például jelzőkhöz csatlakozik.

  2. Adja hozzá a kapcsolat típusát az alábbi táblázatban és az STIX 2.1 referenciakapcsolat-összefoglaló táblában ismertetett ajánlott eljárásoknak megfelelően:

Kapcsolat típusa Leírás
A kapcsolódó forrásból származó
származtatás duplikálása
 Bármely STIX-tartományobjektumhoz (SDO) definiált gyakori kapcsolatok
További információ: STIX 2.1–referenciák a gyakori kapcsolatokról
Célok Attack pattern vagy Threat actor Célok Identity
Használ Threat actor Használ Attack pattern
A attribútuma Threat actor A attribútuma Identity
Azt jelzi IndicatorJelzi vagy Attack patternThreat actor
Megszemélyesítések Threat actor Megszemélyesítések Identity

Az alábbi kép a fenyegetéselektor és a támadási minta, a mutató és az identitás közötti kapcsolatokat mutatja be a kapcsolattípus-táblázat használatával.

Képernyőkép a kapcsolatszerkesztőről.

A fenyegetésintelligencia megtekintése a felügyeleti felületen

A felügyeleti felülettel rendezheti, szűrheti és keresheti a fenyegetésintelligencia-adatokat bármilyen forrásból, amelyből a rendszer log Analytics-lekérdezést írt.

  1. A felügyeleti felületen bontsa ki a Mit szeretne keresni? menüt.

  2. Válasszon ki egy STIX objektumtípust, vagy hagyja meg az alapértelmezett Minden objektumtípust.

  3. Logikai operátorok használatával válasszon ki feltételeket.

  4. Jelölje ki azt az objektumot, amelyről további információt szeretne látni.

A következő képen több forrást használtunk a kereséshez, ha egy OR csoportba helyeztük őket, míg több feltételt csoportosítottunk az AND operátorral.

Képernyőkép egy OR operátorról, amely több AND feltétellel kombinálva keres fenyegetésfelderítést.

A Microsoft Sentinel ebben a nézetben csak a fenyegetést jelző intel legújabb verzióját jeleníti meg. Az objektumok frissítéséről további információt a fenyegetésintelligencia ismertetése című témakörben talál.

Az IP- és tartománynévmutatók további GeoLocation adatokkal WhoIs bővülnek, így több kontextust biztosíthat minden olyan vizsgálathoz, ahol a mutató megtalálható.

Íme egy példa.

Képernyőkép a Fenyegetésintelligencia lapról, amelyen a GeoLocation és a WhoIs adatai láthatók.

Fontos

GeoLocation és WhoIs a bővítés jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy egyébként még nem általánosan elérhető Azure-funkciókra vonatkoznak.

Fenyegetésfelderítés címkézése és szerkesztése

A fenyegetésintelligencia címkézésével gyorsan csoportosíthatja az objektumokat, hogy könnyebben megtalálják őket. Általában egy adott incidenshez kapcsolódó címkéket alkalmazhat. Ha azonban egy objektum egy adott ismert szereplő vagy jól ismert támadási kampány fenyegetéseit jelöli, fontolja meg egy kapcsolat létrehozását címke helyett.

  1. A felügyeleti felületen rendezheti, szűrheti és keresheti meg a fenyegetésintelligencia-információkat.
  2. Miután megtalálta a használni kívánt objektumokat, jelöljön ki egy vagy több azonos típusú objektumot.
  3. Válassza a Címkék hozzáadása lehetőséget, és egyszerre címkézze meg őket egy vagy több címkével.
  4. Mivel a címkézés ingyenes, javasoljuk, hogy hozzon létre szabványos elnevezési konvenciókat a címkékhez a szervezetben.

Egyszerre egy objektumot szerkeszthet a fenyegetésfelderítésben, akár közvetlenül a Microsoft Sentinelben, akár partnerforrásokból, például TIP- és TAXII-kiszolgálókról. A felügyeleti felületen létrehozott veszélyforrások esetén az összes mező szerkeszthető. Partnerforrásokból származó fenyegetések esetén csak bizonyos mezők szerkeszthetők, beleértve a címkéket, a lejárati dátumot, a megbízhatóságot és a visszavonást. Akárhogy is, csak az objektum legújabb verziója jelenik meg a felügyeleti felületen.

A fenyegetésintelligencia frissítéséről további információt a fenyegetésintelligencia megtekintése című témakörben talál.

Mutatóinak megkeresése és megtekintése lekérdezésekkel

Ez az eljárás azt ismerteti, hogyan tekintheti meg a fenyegetésjelzőket a Log Analyticsben, valamint a Microsoft Sentinel egyéb eseményadatait, függetlenül attól, hogy milyen forráscsatornát vagy metódust használt az adatok betöltéséhez.

A fenyegetésjelzők a Microsoft Sentinel ThreatIntelligenceIndicator táblában jelennek meg. Ez a táblázat képezi az egyéb Microsoft Sentinel-funkciók, például az Elemzés, a Vadászat és a Munkafüzetek által végrehajtott fenyegetésfelderítési lekérdezések alapját.

A fenyegetésintelligencia-mutatók megtekintése:

  1. Az Azure PortalOn a Microsoft Sentinel esetében az Általános területen válassza a Naplók lehetőséget.

    A Microsoft Sentinel esetében a Defender portálon válassza a Vizsgálat > válaszkeresés>>speciális vadászat lehetőséget.

  2. A ThreatIntelligenceIndicator tábla a Microsoft Sentinel csoport alatt található.

  3. Válassza az Adatok előnézete ikont (a szem) a tábla neve mellett. Válassza a See in query editor (Lásd a lekérdezésszerkesztőben ) lehetőséget a tábla rekordjait megjelenítő lekérdezés futtatásához.

    Az eredményeknek az itt látható veszélyforrás-mintamutatóhoz hasonlóan kell kinéznie.

    Képernyőkép a ThreatIntelligenceIndicator mintatáblázat eredményeiről a kibontott részletekkel.

A fenyegetésintelligencia vizualizációja munkafüzetekkel

A célként létrehozott Microsoft Sentinel-munkafüzettel megjelenítheti a fenyegetésintelligencia legfontosabb információit a Microsoft Sentinelben, és üzleti igényeinek megfelelően testre szabhatja a munkafüzetet.

Az alábbiakban megtalálhatja a Microsoft Sentinel fenyegetésfelderítési munkafüzetét, valamint egy példát arra, hogyan módosíthatja a munkafüzetet a testreszabásához.

  1. Az Azure Portalon nyissa meg a Microsoft Sentinelt.

  2. Válassza ki azt a munkaterületet, ahová a fenyegetésjelzőket importálta a fenyegetésintelligencia-adatösszekötő használatával.

  3. A Microsoft Sentinel menü Fenyegetéskezelés szakaszában válassza a Munkafüzetek lehetőséget.

  4. Keresse meg a Fenyegetésfelderítés című munkafüzetet. Ellenőrizze, hogy vannak-e adatok a ThreatIntelligenceIndicator táblában.

    Képernyőkép arról, hogy rendelkezik-e adatokkal.

  5. Válassza a Mentés lehetőséget, és válassza ki azt az Azure-helyet, ahol tárolni szeretné a munkafüzetet. Erre a lépésre akkor van szükség, ha bármilyen módon módosítani szeretné a munkafüzetet, és menteni szeretné a módosításokat.

  6. Most válassza a Mentett munkafüzet megtekintése lehetőséget a munkafüzet megtekintéséhez és szerkesztéséhez.

  7. Most már látnia kell a sablon által biztosított alapértelmezett diagramokat. Diagram módosításához válassza a lap tetején található Szerkesztés lehetőséget a munkafüzet szerkesztési módjának elindításához.

  8. Adjon hozzá egy új fenyegetésmutató-diagramot fenyegetéstípus szerint. Görgessen a lap aljára, és válassza a Lekérdezés hozzáadása lehetőséget.

  9. Adja hozzá a következő szöveget a Log Analytics-munkaterület Napló lekérdezése szövegmezőhöz:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

    Az előző példában használt alábbi elemekről további információt a Kusto dokumentációjában talál:

  10. A Vizualizáció legördülő menüben válassza a Sávdiagram lehetőséget.

  11. Válassza a Kész szerkesztés lehetőséget, és tekintse meg a munkafüzet új diagramját.

    A munkafüzet sávdiagramjának képernyőképe.

A munkafüzetek hatékony interaktív irányítópultokat biztosítanak, amelyek betekintést nyújtanak a Microsoft Sentinel minden aspektusába. A munkafüzetekkel számos feladatot elvégezhet, és a megadott sablonok nagyszerű kiindulópontot jelentenek. Testre szabhatja a sablonokat, vagy új irányítópultokat hozhat létre számos adatforrás kombinálásával, hogy egyedi módon jeleníthesse meg az adatokat.

A Microsoft Sentinel-munkafüzetek Azure Monitor-munkafüzeteken alapulnak, így széles körű dokumentáció és sok más sablon érhető el. További információ: Interaktív jelentések létrehozása Azure Monitor-munkafüzetekkel.

A GitHubon található Azure Monitor-munkafüzetekhez egy gazdag erőforrás is rendelkezésre áll, ahol további sablonokat tölthet le, és saját sablonokat adhat hozzá.

Kapcsolódó tartalom

További információért tekintse át az alábbi cikkeket:

A KQL-ről további információt a Kusto lekérdezésnyelv (KQL) áttekintésében talál.

Egyéb erőforrások: