Přidání entit do analýzy hrozeb v Microsoft Sentinelu
Během vyšetřování prozkoumáte entity a jejich kontext jako důležitou součást porozumění rozsahu a povaze incidentu. Když v incidentu zjistíte entitu jako škodlivý název domény, adresu URL, soubor nebo IP adresu, měla by být označena a sledována jako indikátor ohrožení zabezpečení (IOC) ve vaší analýze hrozeb.
Například zjistíte IP adresu, která provádí prohledávání portů v síti, nebo funguje jako příkazový a řídicí uzel, odesílá a/nebo přijímá přenosy z velkého počtu uzlů ve vaší síti.
Microsoft Sentinel umožňuje označit tyto typy entit přímo z vyšetřování incidentů a přidat je do analýzy hrozeb. Můžete zobrazit přidané indikátory v protokolech i v analýze hrozeb a používat je v pracovním prostoru Služby Microsoft Sentinel.
Přidání entity do analýzy hrozeb
Stránka s podrobnostmi o novém incidentu nabízí další způsob, jak kromě grafu šetření přidat entity do analýzy hrozeb. Oba způsoby jsou uvedené níže.
- Stránka Podrobnosti incidentu
- Graf šetření
V navigační nabídce Služby Microsoft Sentinel vyberte Incidenty.
Vyberte incident, který chcete prošetřit. Na panelu podrobností incidentu vyberte Zobrazit úplné podrobnosti a otevřete stránku s podrobnostmi incidentu.
Najděte entitu z widgetu Entity , kterou chcete přidat jako indikátor hrozby. (Seznam můžete filtrovat nebo zadat hledaný řetězec, který vám pomůže ho najít.)
Vyberte tři tečky napravo od entity a v místní nabídce vyberte Přidat do TI .
Jako indikátory hrozeb je možné přidat pouze následující typy entit:
- Název domény
- IP adresa (IPv4 a IPv6)
- Adresa URL
- Soubor (hash)
Podle toho, která ze dvou rozhraní zvolíte, skončíte tady:
Otevře se boční panel Nový indikátor . Automaticky se vyplní následující pole:
Typ
- Typ ukazatele představovaný entitou, kterou přidáváte.
Rozevírací seznam s možnými hodnotami: ipv4-addr, ipv6-addr, ADRESA URL, soubor, název_domény - Požadované; automaticky vyplněno na základě typu entity.
- Typ ukazatele představovaný entitou, kterou přidáváte.
Hodnota
- Název tohoto pole se dynamicky změní na vybraný typ ukazatele.
- Hodnota samotného ukazatele.
- Požadované; automaticky naplněné hodnotou entity.
Značky
- Značky volného textu, které můžete přidat do indikátoru.
- Volitelné; automaticky vyplněné ID incidentu. Můžete přidat další uživatele.
Název
- Název indikátoru – to je to, co se zobrazí v seznamu indikátorů.
- Volitelné; automaticky vyplněný názvem incidentu .
Vytvořil/a
- Tvůrce ukazatele.
- Volitelné; uživatel přihlášený k Microsoft Sentinelu automaticky vyplní.
Vyplňte zbývající pole odpovídajícím způsobem.
Typ hrozby
- Typ hrozby reprezentovaný indikátorem.
- Volitelné; volný text.
Popis
- Popis ukazatele
- Volitelné; volný text.
Odvolán
- Stav indikátoru byl odvolán. Zaškrtnutím políčka zrušte odvolání indikátoru, zrušte zaškrtnutí políčka, aby byl aktivní.
- Volitelné; Boolean.
Spolehlivost
- Skóre odrážející spolehlivost správnosti dat podle procenta.
- Volitelné; celé číslo, 1–100
Kill chain
- Fáze v Lockheed Martin Cyber Kill Chain , ke kterému indikátor odpovídá.
- Volitelné; volný text
Platné od
- Čas, od kterého se tento indikátor považuje za platný.
- Požadované; datum a čas
Platné do
- Čas, kdy by tento indikátor již neměl být považován za platný.
- Volitelné; datum a čas
Jakmile se všechna pole vyplní k vaší spokojenosti, vyberte Použít. V pravém horním rohu se zobrazí potvrzovací zpráva, že se indikátor vytvořil.
Entita se přidá jako indikátor hrozby ve vašem pracovním prostoru. Najdete ho v seznamu indikátorů na stránce Analýza hrozeb a také v tabulce ThreatIntelligenceIndicators v protokolech.
Související obsah
V tomto článku jste se dozvěděli, jak přidat entity do seznamů indikátorů hrozeb. Další informace naleznete v tématu: