Bagikan melalui

Tambahkan ke inteligensi ancaman di Microsoft Sentinel

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal

Selama penyelidikan, Anda memeriksa entitas dan konteksnya sebagai bagian penting untuk memahami cakupan dan sifat insiden. Saat Anda menemukan entitas sebagai nama domain, URL, file, atau alamat IP berbahaya dalam insiden tersebut, entitas tersebut harus diberi label dan dilacak sebagai indikator kompromi (IOC) dalam inteligensi ancaman Anda.

Misalnya, Anda mungkin menemukan alamat IP yang melakukan pemindaian port di seluruh jaringan atau fungsi Anda sebagai node perintah dan kontrol dengan mengirim dan/atau menerima transmisi dari sejumlah besar simpul di jaringan Anda.

Dengan Microsoft Azure Sentinel, Anda dapat menandai jenis entitas ini dari dalam penyelidikan insiden Anda dan menambahkannya ke inteligensi ancaman Anda. Anda dapat melihat indikator yang ditambahkan dengan mengkuerinya atau mencarinya di antarmuka manajemen inteligensi ancaman dan menggunakannya di seluruh ruang kerja Microsoft Azure Sentinel Anda.

Menambahkan entitas ke inteligensi ancaman Anda

Halaman Detail insiden dan grafik investigasi memberi Anda dua cara untuk menambahkan entitas ke inteligensi ancaman.

  1. Pada menu Microsoft Azure Sentinel, pilih Insiden dari bagian Manajemen ancaman .

  2. Pilih insiden untuk diselidiki. Pada panel Detail insiden, pilih Tampilkan detail lengkap untuk membuka halaman Detail insiden.

  3. Pada panel Entitas , temukan entitas yang ingin Anda tambahkan sebagai indikator ancaman. (Anda dapat memfilter daftar atau memasukkan string pencarian untuk membantu Anda menemukannya.)

    Cuplikan layar yang memperlihatkan halaman Detail insiden.

  4. Pilih tiga titik di sebelah kanan entitas, dan pilih Tambahkan ke TI dari menu pop-up.

    Tambahkan hanya jenis entitas berikut sebagai indikator ancaman:

    • Nama domain
    • Alamat IP (IPv4 dan IPv6)
    • URL
    • File (hash)

    Cuplikan layar yang memperlihatkan penambahan entitas ke inteligensi ancaman.

Mana pun dari dua antarmuka yang Anda pilih, Anda berakhir di sini.

  1. Panel sisi indikator baru terbuka. Bidang berikut diisi secara otomatis:

    • Jenis

      • Jenis indikator yang diwakili oleh entitas yang Anda tambahkan.
        • Daftar dropdown dengan nilai yang mungkin: ipv4-addr, , ipv6-addr, URLfile, dan domain-name.
      • Harus diisi. Diisi secara otomatis berdasarkan jenis entitas.

    • Nilai

      • Nama bidang ini berubah secara dinamis menjadi jenis indikator terpilih.
      • Nilai indikator itu sendiri.
      • Harus diisi. Diisi secara otomatis oleh nilai entitas.

    • Tag

      • Tag teks bebas yang dapat Anda tambahkan ke indikator.
      • Opsional. Diisi secara otomatis oleh ID insiden. Anda dapat menambahkan yang lain.

    • Nama

      • Nama indikator. Nama inilah yang muncul dalam daftar indikator Anda.
      • Opsional. Secara otomatis diisi dengan nama insiden.

    • Dibuat oleh

      • Pembuat indikator.
      • Opsional. Secara otomatis diisi oleh pengguna yang masuk ke Microsoft Sentinel.

    Isi bidang yang tersisa sesuai dengan itu.

    • Jenis ancaman

      • Jenis ancaman yang diwakili oleh indikator .
      • Opsional. Teks bebas.

    • Deskripsi

      • Deskripsi indikator.
      • Opsional. Teks bebas.

    • Dicabut

      • Status indikator yang dicabut. Pilih kotak centang untuk mencabut indikator. Kosongkan kotak centang untuk membuatnya aktif.
      • Opsional. Boolean.

    • Keyakinan

      • Skor yang mencerminkan keyakinan pada kebenaran data, berdasarkan persen.
      • Opsional. Bilangan bulat, 1-100.

    • Membunuh rantai

    • Valid dari

      • Waktu dari mana indikator ini dianggap valid.
      • Harus diisi. Tanggal/waktu.

    • Valid hingga

      • Waktu di mana indikator ini tidak boleh lagi dianggap valid.
      • Opsional. Tanggal/waktu.

    Cuplikan layar yang memperlihatkan memasukkan informasi di panel indikator ancaman baru.

  2. Saat semua bidang diisi dengan kepuasan Anda, pilih Terapkan. Pesan muncul di sudut kanan atas untuk mengonfirmasi bahwa indikator Anda telah dibuat.

  3. Entitas ditambahkan sebagai inteligensi ancaman di ruang kerja Anda. Anda dapat menemukannya di antarmuka manajemen inteligensi ancaman. Anda juga dapat mengkuerinya menggunakan tabel ThreatIntelligenceIndicators.

Konten terkait

Dalam artikel ini, Anda telah mempelajari cara menambahkan entitas ke daftar indikator ancaman Anda. Untuk informasi lebih lanjut, baca artikel berikut: