Tento článek popisuje, jak řešení Siem (cloudové informace o zabezpečení a Správa událostí), jako je Azure Sentinel , může používat indikátory hrozeb ke zjišťování, poskytování kontextu a informování odpovědí na stávající nebo potenciální počítačové hrozby.
Internetoví Threat Intelligence (CTI) může pocházet z mnoha zdrojů, jako jsou Open Source datové kanály, komunity pro sdílení hrozeb, placené kanály pro platby a vyšetřování zabezpečení v rámci organizací. CTI může být v rozsahu od písemně psaných sestav v rámci motivů, infrastruktury a techniků objektu Threat, a to na konkrétní pozorování IP adres, domén a hodnot hash souborů. CTI poskytuje základní kontext pro neobvyklé aktivity, takže personál zabezpečení může rychle pracovat s ochranou lidí a prostředků.
Nejvíce využité CTI v řešeních SIEM, jako je Azure Sentinel, jsou data indikátoru hrozeb, která se někdy označují jako indikátory ohrožení (IoCs). Indikátory hrozeb přiřadí adresy URL, hodnoty hash souborů, IP adresy a další data se známou aktivitou hrozby, jako je phishing, botnety nebo malware. Tato forma analýzy hrozeb se často označuje jako taktické Threat Intelligence, protože zabezpečovací produkty a automatizace je můžou používat ve velkém měřítku k ochraně a detekci potenciálních hrozeb. Možnost Azure Sentinel může pomáhat detekovat, reagovat na a poskytovat kontext CTI pro škodlivou činnost při práci s internetem.
Potenciální případy použití
- pro identifikaci, analýzu a reakci na aktivitu hrozby Připojení otevřít data indikátoru hrozby ze veřejných serverů.
- k připojení a řízení přístupu k datům indikátorů hrozeb použijte existující platformy pro analýzu hrozeb nebo vlastní řešení s rozhraním API Microsoft Graph tiIndicators .
- Poskytněte kontext CTI a vytváření sestav pro prověřování zabezpečení a zúčastněné strany.
Architektura
Službu Azure Sentinel můžete použít k těmto akcím:
- Import indikátorů hrozeb ze struktury STIX (structured threat information Expression) a důvěryhodných automatizovaných Exchange serverů TAXII (threat intelligence information) nebo z jakéhokoli řešení pro platformu threat intelligence (TIP)
- Zobrazení dat indikátoru hrozeb a dotazování na ně
- Vytváření analytických pravidel pro generování výstrah zabezpečení, incidentů a automatizovaných odpovědí z dat CTI
- Vizualizace klíčových informací CTI v sešitech
Datové konektory indikátoru hrozeb
Služba Azure Sentinel importuje indikátory hrozeb stejně jako všechna ostatní data událostí pomocí datových konektorů. Dva datové konektory Azure Sentinel pro indikátory hrozeb jsou analytické funkce pro analýzy hrozeb – TAXII a Threat Intelligence. V závislosti na tom, kde vaše organizace získá data indikátoru hrozby, můžete použít jeden nebo oba datové konektory. Povolte datové konektory v každém pracovním prostoru, ve kterém chcete přijímat data.
Analýza hrozeb – datový konektor TAXII
Nejpoužívanějším oborovým standardem pro přenos CTI je Stix Data Format a TAXII Protocol. Organizace, které získávají indikátory hrozeb z aktuálních řešení STIX/TAXII verze 2. x, můžou pomocí konektoru data Intelligence – TAXII data Connector naimportovat své indikátory hrozeb do Azure Sentinel. Integrovaný klient služby Azure Sentinel TAXII importuje informace o hrozbách ze serverů TAXII 2. x.
Podrobné pokyny pro import dat indikátoru hrozeb STIX/TAXII do Azure Sentinel najdete v tématu Import indikátorů hrozeb pomocí konektoru dat TAXII.
Datový konektor platforem pro analýzu hrozeb
Mnoho organizací používá řešení TIP jako MISP, anomálie ThreatStream, ThreatConnect nebo Palo Alto Networks MineMeld k agregaci kanálů indikátoru hrozeb z nejrůznějších zdrojů. Organizace používají TIP k obdata a pak si můžete vybrat, které indikátory hrozeb se mají použít u různých řešení zabezpečení, jako jsou síťová zařízení, rozšířená řešení ochrany před internetovými útoky nebo systémů Siem, jako je třeba Sentinel Azure. Datový konektor platforem pro analýzu hrozeb umožňuje organizacím používat integrované řešení tip s funkcí Sentinel Azure.
datový konektor platforem pro analýzu hrozeb používá rozhraní API pro Microsoft Graph Security tiIndicators. Všechny organizace, které mají vlastní TIP, můžou tento datový konektor využít k využití rozhraní tiIndicators API a k odesílání ukazatelů do Azure Sentinel a k dalším řešením zabezpečení Microsoftu, jako je třeba ATP v programu Defender.
Podrobné pokyny pro import dat TIP do Azure Sentinel najdete v tématu Import indikátorů hrozeb pomocí konektoru dat platforem.
Protokoly indikátorů hrozeb
Po importu indikátorů hrozeb do Azure Sentinel pomocí datových konektorů pro TAXII nebo datové konektory hrozeb pro analýzu hrozeb můžete importovat importovaná data v tabulce ThreatIntelligenceIndicator v protokolech, kde jsou uložená všechna data události služby Azure Sentinel. Tuto tabulku používají i funkce Azure Sentinel, jako jsou analýzy a sešity .
Postup zobrazení indikátorů hrozeb:
V Azure Portalvyhledejte a vyberte Azure Sentinel.
Vyberte pracovní prostor, do kterého jste naimportovali indikátory hrozeb.
V levém navigačním panelu vyberte protokoly.
Na kartě tabulky vyhledejte a vyberte tabulku ThreatIntelligenceIndicator .
Chcete-li zobrazit data tabulky, vyberte ikonu náhledu dat náhledu dat vedle názvu tabulky.Vyberte možnost Zobrazit v editoru dotazů a potom vyberte šipku rozevíracího seznamu vlevo od kteréhokoli z výsledků, abyste viděli informace jako v následujícím příkladu:
Analýza Azure Sentinel
Nejdůležitějším využitím indikátorů hrozeb v řešeních SIEM je Power Analytics, která odpovídá událostem s indikátory hrozeb pro vytváření výstrah zabezpečení, incidentů a automatických odpovědí. Azure Sentinel Analytics vytvoří analytická pravidla, která aktivují plán pro generování výstrah. Parametry pravidla můžete vyjádřit jako dotazy a nakonfigurovat, jak často se pravidlo spouští, jaké výsledky dotazu generují výstrahy zabezpečení a incidenty a všechny automatizované odezvy na výstrahy.
Můžete vytvořit nová analytická pravidla od začátku nebo ze sady integrovaných šablon pravidel Azure Sentinel, které můžete použít tak, jak jsou, nebo upravit tak, aby vyhovovaly vašim potřebám. Šablony pravidel analýz, které odpovídají indikátorům hrozeb s daty události, jsou všechny s názvem začínajícím na mapě ČŘ a fungují podobně. Rozdíly jsou typy používaných ukazatelů hrozeb: doména, e-mail, hodnota hash souboru, IP adresa nebo adresa URL a typy událostí, které se mají spárovat. Každá šablona obsahuje seznam požadovaných zdrojů dat, pro které má pravidlo fungovat, takže uvidíte na první pohled, jestli už máte naimportované nezbytné události do Azure Sentinel.
Podrobné pokyny pro vytvoření pravidla analýzy ze šablony najdete v tématu Vytvoření pravidla analýzy ze šablony.
Ve službě Azure Sentinel jsou povolená pravidla analýz na kartě aktivní pravidla v části Analýza . Můžete upravit, povolit, zakázat, duplikovat nebo odstranit aktivní pravidla.
Vygenerované výstrahy zabezpečení jsou v tabulce SecurityAlert v části protokoly služby Azure Sentinel. Výstrahy zabezpečení také generují incidenty zabezpečení, které jsou v části incidenty . Provozní týmy zabezpečení mohou posoudit a prozkoumat incidenty k určení vhodných odpovědí. Další informace najdete v tématu kurz: prozkoumání incidentů pomocí služby Azure Sentinel.
Můžete také určit automatizaci, která se aktivuje, když pravidla generují výstrahy zabezpečení. Automatizace v Azure Sentinel používá playbooky, která využívá Azure Logic Apps. Další informace najdete v tématu kurz: nastavení automatických odpovědí na hrozby v Azure Sentinel.
Sešit Azure Sentinel Threat Intelligence
Pracovní sešity poskytují výkonné interaktivní řídicí panely, které vám poskytnou přehled o všech aspektech Azure Sentinel. K vizualizaci klíčových informací CTI můžete použít sešit Sentinel Azure. Poskytnuté šablony poskytují výchozí bod a můžete snadno přizpůsobit šablony pro své obchodní potřeby, vytvářet nové řídicí panely, které kombinují mnoho různých zdrojů dat, a vizualizovat data jedinečným způsobem. Sešity Sentinel Azure jsou založené na Azure monitor sešitech, takže jsou k dispozici rozsáhlá dokumentace a šablony.
Podrobné pokyny k zobrazení a úpravě sešitu Azure Sentinel Threat Intelligence najdete v tématu zobrazení a úprava sešitu analýzy hrozeb.
Požadavky
Datové konektory Azure Sentinel Threat Intelligence jsou momentálně ve verzi Public Preview. Některé funkce nemusí být podporované nebo můžou mít omezené možnosti.
Služba Azure Sentinel používá řízení přístupu na základě role Azure (Azure RBAC) k přiřazení předdefinovaných rolí přispěvatelům, čtenářům a respondérům pro uživatele, skupiny a služby Azure. Můžou spolupracovat s rolemi Azure (vlastník, přispěvatel, čtenář) a rolemi Log Analytics (čtenář Log Analytics, Log Analytics Přispěvatel). Můžete vytvořit vlastní role a použít pokročilou službu Azure RBAC na data, která ukládáte v Azure Sentinel. Další informace najdete v tématu oprávnění v Azure Sentinel.
Azure Sentinel je zadarmo na prvních 31 dní v jakémkoli pracovním prostoru Azure Monitor Log Analytics. Potom můžete použít modely rezervací průběžných plateb nebo kapacity pro data, která ingestují a ukládají. Podrobnosti najdete v tématu ceny služby Azure Sentinel.
Alternativy
Indikátory hrozeb poskytují užitečný kontext v jiných prostředích Sentinel Azure, jako jsou například lovecké a poznámkové bloky. Další informace o použití CTI v poznámkových blocích naleznete v tématu Jupyter poznámkové bloky v Sentinel.
každá organizace, která má vlastní TIP, může použít rozhraní API Microsoft Graph Security tiIndicators k odesílání indikátorů hrozeb do jiných řešení zabezpečení microsoftu, jako je například Defender ATP.
Azure Sentinel poskytuje mnoho dalších integrovaných datových konektorů pro řešení microsoftu, jako je ochrana před internetovými útoky microsoftu, Microsoft 365 zdroje a Microsoft Cloud App Security. K dispozici jsou také integrované konektory k širšímu ekosystému zabezpečení pro řešení jiných výrobců než Microsoftu. Můžete také použít běžné formáty událostí, syslog nebo REST API pro připojení zdrojů dat k Azure Sentinel. další informace najdete v tématu Připojení zdrojů dat.
Nasazení
Následující části obsahují podrobné pokyny k:
- Povolte datové konektory pro TAXII a hrozby pro analýzu hrozeb.
- Vytvořte příklad pravidla Azure Sentinel Analytics pro generování výstrah zabezpečení a incidentů z dat cti.
- Zobrazení a úprava sešitu Azure Sentinel Threat Intelligence
Import indikátorů hrozeb pomocí konektoru dat TAXII
TAXII 2. x servery inzerují kořeny rozhraní API, což jsou adresy URL, které hostují kolekce analýz hrozeb. Pokud už znáte kořen rozhraní API serveru TAXII a ID kolekce , se kterou chcete pracovat, můžete přeskočit dopředu a povolit konektor TAXII jenom v Azure Sentinel.
Pokud nemáte kořenový adresář rozhraní API, můžete ho obvykle získat ze stránky dokumentace poskytovatele analýzy hrozeb, ale v některých případech jsou k dispozici jenom informace o adrese URL koncového bodu zjišťování. Kořenový adresář rozhraní API můžete najít pomocí koncového bodu zjišťování. Následující příklad používá koncový bod zjišťování serveru TAXII 2.0 Anomali Limo ThreatStream.
V prohlížeči přejděte a přihlaste se ke koncovému bodu zjišťování serveru THREATStream TAXII 2.0 pomocí hosta uživatelského jména a https://limo.anomali.com/taxii hesla hosta. Po přihlášení se zobrazí následující informace:
{ "api_roots": [ "https://limo.anomali.com/api/v1/taxii2/feeds/", "https://limo.anomali.com/api/v1/taxii2/trusted_circles/", "https://limo.anomali.com/api/v1/taxii2/search_filters/" ], "contact": "info@anomali.com", "default": "https://limo.anomali.com/api/v1/taxii2/feeds/", "description": "TAXII 2.0 Server (guest)", "title": "ThreatStream Taxii 2.0 Server" }Pokud chcete procházet kolekce, zadejte do prohlížeče kořenový adresář rozhraní API, který jste získali v předchozím kroku: https://limo.anomali.com/api/v1/taxii2/feeds/collections/ . Zobrazí se například tyto informace:
{ "collections": [ { "can_read": true, "can_write": false, "description": "", "id": "107", "title": "Phish Tank" }, ... { "can_read": true, "can_write": false, "description": "", "id": "41", "title": "CyberCrime" } ] }
Teď máte informace, které potřebujete k připojení Azure Sentinel jedné nebo více kolekcí serverů TAXII od Anomali Limo. Například:
| Kořen rozhraní API | ID kolekce |
|---|---|
| Phish Tank | 107 |
| Kybernetická bezpečnost | 41 |
Povolení datového konektoru Threat Intelligence – TAXII v Azure Sentinel:
V Azure Portalvyhledejte a vyberte Azure Sentinel.
Vyberte pracovní prostor, do kterého chcete importovat indikátory hrozeb ze služby TAXII.
V levém navigačním panelu vyberte Datové konektory, vyhledejte a vyberte Threat Intelligence – TAXII (Preview) a vyberte Otevřít stránku konektoru.
Na stránce Konfigurace zadejte popisný název (pro server), například název kolekce, kořenovou adresu URL rozhraní API a ID kolekce, které chcete importovat, a v případě potřeby uživatelské jméno a heslo a pak vyberte Přidat.
Připojení se zobrazí v části Seznam nakonfigurovaných serverů TAXII 2.0. Konfiguraci opakujte pro každou kolekci, kterou chcete připojit ze stejných nebo různých serverů TAXII.
Import indikátorů hrozeb pomocí datového konektoru Platformy
Rozhraní TIIndicators API potřebuje ID aplikace (klienta), ID adresáře (tenanta) a tajný kód klienta z TIP nebo vlastního řešení, aby se k připojení a odeslání indikátorů hrozeb Azure Sentinel. Tyto informace získáte tak, že si zaregistrujete TIP nebo aplikaci řešení v Azure Active Directory (Azure AD) a udělíte jim potřebná oprávnění.
Nejprve zaregistrujte aplikaci v Azure AD:
V Azure Portalvyhledejte a vyberte Registrace aplikací a pak vyberte Nová registrace.
Na stránce Zaregistrovat aplikaci zadejte název aplikace TIP nebo vlastního řešení, vyberte Účty pouze v tomto organizačním adresáři a pak vyberte Zaregistrovat.
Po úspěšné registraci zkopírujte a uložte hodnoty ID aplikace (klienta) a ID adresáře (tenanta) ze stránky Přehled vaší registrované aplikace.
Dále udělte tipu nebo vlastnímu řešení oprávnění pro připojení k rozhraní MICROSOFT Graph tiIndicators API a odesílání indikátorů hrozeb. Globální správce Azure AD musí také udělit souhlas aplikaci pro vaši organizaci.
V levém navigačním panelu zaregistrované aplikace TIP nebo vlastního řešení vyberte Oprávnění rozhraní API a pak vyberte Přidat oprávnění.
Na stránce Požádat o oprávnění rozhraní API vyberte Microsoft Graph a pak oprávnění aplikace.
Vyhledejte a vyberte ThreatIndicators.ReadWrite.OwnedBy a pak vyberte Přidat oprávnění.
Pokud chcete udělit souhlas pro <your tenant> vaši organizaci, na stránce oprávnění rozhraní API aplikace vyberte Udělit souhlas správce pro . Pokud ve svém účtu nemáte roli globálního správce, toto tlačítko je zakázané. O provedení tohoto kroku požádejte globálního správce z vaší organizace. Po udělení souhlasu vaší aplikaci by se v části Stav měla zobrazit zelená značka zaškrtnutí.
Po udělení oprávnění a souhlasu vyberte v levém navigačním & vaší aplikace Certifikáty a tajné kódy a pak vyberte Nový tajný kód klienta.
Vyberte Přidat a získejte tajný klíč rozhraní API pro vaši aplikaci.
Nezapomeňte zkopírovat a uložit tajný klíč klienta, protože jakmile z této stránky přejdete, nemůžete tajný kód načíst.
Do integrovaného tipu nebo vlastního řešení zadejte hodnoty ID aplikace (klienta), ID adresáře (tenanta) a tajného klíče klienta, které jste uložili. Nastavte Azure Sentinel jako cíl a nastavte akci pro každý indikátor. Výstraha je nejzásažitnější akcí pro většinu Azure Sentinel použití. Rozhraní MICROSOFT Graph tiIndicators API teď odesílá indikátory hrozeb do Azure Sentinel, které jsou dostupné pro všechny Azure Sentinel pracovní prostory ve vaší organizaci.
Nakonec povolte konektor dat platformy Azure Sentinel Threat Intelligence Platforms a naimportujte indikátory hrozeb, které váš TIP nebo vlastní řešení odesílá prostřednictvím rozhraní MICROSOFT Graph tiIndicators API:
- V Azure Portalvyhledejte a vyberte Azure Sentinel.
- Vyberte pracovní prostor, do kterého chcete importovat indikátory hrozeb z TIP nebo vlastního řešení.
- V levém navigačním panelu vyberte Datové konektory, vyhledejte a vyberte Platformy Threat Intelligence (Preview) a vyberte Otevřít stránku konektoru.
- Vzhledem k tomu, že jste už dokončili kroky registrace a konfigurace, vyberte Připojení.
Během několika minut by se indikátory hrozeb tipu nebo vlastního řešení měly začít přetékat do Azure Sentinel pracovního prostoru.
Vytvoření analytického pravidla ze šablony
Tento příklad používá šablonu pravidla s názvem TI map IP entity na AzureActivity, která porovnává všechny indikátory hrozeb typu IP adresy se všemi událostmi IP adresy aktivit Azure. Jakákoli shoda vygeneruje výstrahu zabezpečení a odpovídající incident pro šetření vaším týmem operací zabezpečení.
V příkladu se předpokládá, že jste k importu indikátorů hrozeb použili jeden nebo oba datové konektory funkce Threat Intelligence a k importu událostí na úrovni předplatného Azure jste použili datový konektor aktivity Azure. K úspěšnému použití tohoto analytického pravidla potřebujete oba datové typy.
V Azure Portalvyhledejte a vyberte Azure Sentinel.
Vyberte pracovní prostor, ve kterém jste naimportli indikátory hrozeb s datovým konektorem pro některou z hrozeb.
V levém navigačním panelu vyberte Analýza.
Na kartě Šablony pravidel vyhledejte a vyberte pravidlo (Preview) TI mapovat entitu IP adresy na AzureActivity a pak vyberte Vytvořit pravidlo.
Na první stránce Průvodce analytickým pravidlem – Vytvořit nové pravidlo ze šablony se ujistěte, že je stav pravidla nastavený na Povoleno, a pokud chcete, změňte název nebo popis pravidla. Vyberte Další: Nastavit logiku pravidla.
Stránka logiky pravidla obsahuje dotaz na pravidlo, entity, které se mají mapovat, plánování pravidel a počet výsledků dotazu, které generují výstrahu zabezpečení. Nastavení šablony se spustí jednou za hodinu, identifikuje všechna IoC IP adres, která odpovídají IP adresám z událostí Azure, a generuje výstrahy zabezpečení pro všechny shody. Tato nastavení si můžete ponechat nebo můžete libovolnou z nich změnit tak, aby splňovala vaše potřeby. Až budete hotovi, vyberte Další: Nastavení incidentu (Preview).
V části Nastavení incidentu (Preview) se ujistěte, že možnost Vytvářet incidenty z výstrah aktivovaných tímto analytickým pravidlem je nastavená na Povoleno, a vyberte Další: Automatizovaná odpověď.
Tento krok umožňuje nakonfigurovat automatizaci, která se aktivuje, když pravidlo vygeneruje výstrahu zabezpečení. Automatizace v Azure Sentinel používá playbooky, které využívá Azure Logic Apps. Další informace najdete v tématu Kurz: Nastavení automatizovaných reakcí na hrozby v Azure Sentinel. V tomto příkladu vyberte Další: Zkontrolovat a po prohlédněte si nastavení vyberte Vytvořit.
Pravidlo se aktivuje okamžitě po vytvoření a pak se aktivuje v pravidelných intervalech.
Zobrazení a úprava sešitu s informací o hrozbách
V Azure Portalvyhledejte a vyberte Azure Sentinel.
Vyberte pracovní prostor, ve kterém jste naimportli indikátory hrozeb s datovým konektorem pro některou z hrozeb.
V levém navigačním panelu vyberte Workbooks (Sešity).
Vyhledejte a vyberte sešit s názvem Threat Intelligence.
Ujistěte se, že máte potřebná data a připojení, jak je znázorněno, a pak vyberte Uložit.
V automaticky otevíraného okně vyberte umístění a pak vyberte OK. Tento krok uloží sešit, abyste ho mohli upravit a uložit změny.
Výběrem možnosti Zobrazit uložený sešit otevřete sešit a podívejte se na výchozí grafy, které šablona nabízí.
Pokud chcete sešit upravit, vyberte Upravit na panelu nástrojů v horní části stránky. Výběrem možnosti Upravit vedle libovolného grafu můžete upravit dotaz a nastavení pro tento graf.
Přidání nového grafu, který zobrazuje indikátory hrozeb podle typu hrozby:
V horní části stránky vyberte Upravit, posuňte se do dolní části stránky, vyberte Přidat a pak vyberte Přidat dotaz.
V části Dotaz protokolů pracovního prostoru služby Log Analytics zadejte následující dotaz:
ThreatIntelligenceIndicator | summarize count() by ThreatTypeV rozevíracím seznamu Vizualizace vyberte Pruhový graf a pak vyberte Úpravy jsou hotové.
V horní části stránky vyberte Úpravy jsou hotové a výběrem ikony Uložit nový graf a sešit uložte.
Další kroky
Navštivte Azure Sentinel na GitHub a podívejte se na příspěvky od komunity, a to jak z velké části, tak od Microsoftu. Tady najdete nové nápady, šablony a konverzace o všech funkcích Azure Sentinel.
Azure Sentinel sešity jsou založené na Azure Monitor sešitech, takže je k dispozici rozsáhlá dokumentace a šablony. Skvělým místem, kde začít, je vytvořit interaktivní sestavy s Azure Monitor sešity. Existuje bohatá komunita uživatelů Azure Monitor sešitů na GitHub, kde si můžete stáhnout další šablony a přispívat vlastními šablonami.