Principy inteligence hrozeb v Microsoft Sentinelu

Úvod do inteligence hrozeb

CTI (Cyber Threat Intelligence) je informace popisující známé stávající nebo potenciální hrozby pro systémy a uživatele. Tento typ informací má mnoho podob, od napsaných sestav s podrobnými informacemi o motivaci konkrétního aktéra hrozeb, infrastruktuře a technikách až po konkrétní pozorování IP adres, domén, hash souborů a dalších artefaktů spojených se známými kybernetickými hrozbami. CTI používají organizace k zajištění nezbytného kontextu neobvyklé aktivity, aby pracovníci zabezpečení mohli rychle provést akci k ochraně svých lidí, informací a dalších prostředků. CTI lze získat z mnoha míst, jako jsou open source datové kanály, komunity pro sdílení informací o hrozbách, informační kanály pro komerční inteligenci a místní inteligentní funkce shromážděné během šetření zabezpečení v rámci organizace.

V rámci Security Information and Event Management (SIEM), jako je Microsoft Sentinel, se nejčastěji používají indikátory hrozeb, označované také jako indikátory ohrožení zabezpečení nebo IoC. Indikátory hrozeb jsou data, která přidružují zjištěné artefakty, jako jsou adresy URL, hodnoty hash souborů nebo IP adresy se známými aktivitami hrozeb, jako jsou phishing, botnety nebo malware. Tato forma inteligence hrozeb se často nazývá taktická inteligence hrozeb, protože ji lze použít na bezpečnostní produkty a automatizaci ve velkém měřítku za účelem detekce potenciálních hrozeb pro organizaci a ochrany před nimi. V Microsoft Sentinelu můžete pomocí indikátorů hrozeb detekovat škodlivou aktivitu pozorované ve vašem prostředí a poskytnout kontext vyšetřovatelům zabezpečení, aby mohli informovat rozhodnutí o reakci.

Integraci inteligentních informací o hrozbách (TI) do Služby Microsoft Sentinel prostřednictvím následujících aktivit:

• Naimportujte do Microsoft Sentinelu inteligenci hrozeb tím, že povolíte datové konektory pro různé platformy a informační kanály tis.

• Naimportované informace o hrozeb můžete zobrazit a spravovat v protokolech a v okně Threat Intelligence služby Microsoft Sentinel.

• Detekce hrozeb a generování výstrah zabezpečení a incidentů pomocí předdefinovaných šablon analytických pravidel založených na importované analýze hrozeb

• Vizualizujte klíčové informace o importované inteligenci hrozeb ve službě Microsoft Sentinel pomocí sešitu Threat Intelligence.

Microsoft obohacuje všechny importované indikátory detekce hrozeb o data GeoLocation a WhoIs, která se zobrazují společně s dalšími podrobnostmi indikátorů.

Import funkce Threat Intelligence s datovými konektory

Stejně jako všechna ostatní data událostí v Microsoft Sentinelu se indikátory hrozeb importuje pomocí datových konektorů. Microsoft Sentinel poskytuje dva datové konektory určené speciálně pro indikátory hrozeb: Threat Intelligence – TAXII pro standardní kanály STIX/TAXII a platformy pro analýzu hrozeb pro integrované a kurátorované informační kanály TI. Můžete použít buď samotný datový konektor, nebo oba konektory společně v závislosti na tom, kde vaše organizace zdroje indikátorů hrozeb.

Podívejte se na tento katalog integrací detekce hrozeb dostupných se službou Microsoft Sentinel.

Přidání indikátorů hrozeb do Microsoft Sentinelu pomocí datového konektoru platformy Threat Intelligence

Řada organizací používá řešení TIP (Threat Intelligence Platform) k agregaci informačních kanálů indikátorů hrozeb z různých zdrojů, ke shromažďování dat v rámci platformy a k výběru indikátorů hrozeb, které se mají použít pro různá řešení zabezpečení, jako jsou síťová zařízení, řešení EDR/XDR nebo siem SIEM, jako je Microsoft Sentinel. Pokud vaše organizace používá integrované řešení TIP,datový konektor Platformy pro detekci hrozeb umožňuje váš TIP použít k importu indikátorů hrozeb do Microsoft Sentinelu.

Vzhledem k tomu, že datový konektor TIP k tomu spolupracuje s rozhraním Microsoft Graph Security TiIndicators API, může ho používat také libovolná vlastní platforma pro inteligenci hrozeb, která komunikuje s rozhraním TIIndicators API, k odesílání indikátorů do Microsoft Sentinelu (a do dalších řešení zabezpečení Microsoftu, jako je Microsoft 365 Defender).

Další informace o řešeních TIP integrovaných se službou Microsoft Sentinel najdete v tématu Integrované produkty platformy pro inteligentní hrozby.

Import indikátorů hrozeb do Microsoft Sentinelu z integrované platformy TIP nebo vlastní platformy pro detekci hrozeb:

1. Získání ID aplikace a tajného klíče klienta z Azure Active Directory

2. Zadání těchto informací do řešení TIP nebo vlastní aplikace

3. Povolení datového konektoru platformy Threat Intelligence v Microsoft Sentinelu

Další informace najdete v tématu Připojení platformy pro detekci hrozeb do služby Microsoft Sentinel.

Přidání indikátorů hrozeb do Microsoft Sentinelu pomocí datového konektoru Threat Intelligence – TAXII

Nejrozšířenější oborový standard pro přenos analýzu hrozeb je kombinace datového formátu STIX a protokolu TAXII. Pokud vaše organizace získá indikátory hrozeb z řešení, která podporují aktuální verzi STIX/TAXII (2.0 nebo 2.1), můžete pomocí datového konektoru Threat Intelligence – TAXII přenést indikátory hrozeb do Microsoft Sentinelu. Datový konektor Threat Intelligence – TAXII umožňuje integrovanému klientovi TAXII ve službě Microsoft Sentinel importovat informace o hrozbách ze serverů TAXII 2.x.

Import indikátorů hrozeb ve formátu STIX do Microsoft Sentinelu ze serveru TAXII:

1. Získání kořenového adresáře a ID kolekce rozhraní API serveru TAXII

2. Povolení datového konektoru Threat Intelligence – TAXII v Microsoft Sentinelu

Další informace najdete v tématu Připojení microsoft Sentinel do informačních kanálů pro analýzu hrozeb STIX/TAXII.

Zobrazení a správa indikátorů hrozeb

Úspěšně importované indikátory hrozeb bez ohledu na použitý zdrojový kanál nebo konektor můžete zobrazit v tabulce ThreatIntelligenceIndicator (ve skupině Microsoft Sentinel) v části Protokoly, kde jsou uložená všechna data událostí Microsoft Sentinelu. Tato tabulka je základem pro dotazy analýzy hrozeb prováděné jinými funkcemi Microsoft Sentinelu, jako jsou analýzy a sešity.

Výsledky by měly vypadat podobně jako ukázkový indikátor hrozeb uvedený níže:

Indikátory můžete také zobrazit a spravovat v novém okně Threat Intelligence, které je přístupné z hlavní nabídky Microsoft Sentinelu. Importované indikátory hrozeb můžete řadit, filtrovat a prohledávat, aniž byste zadat dotaz Log Analytics. Tato funkce také umožňuje vytvářet indikátory hrozeb přímo v rozhraní Microsoft Sentinelu a také provádět dvě z nejběžnějších úloh správy v oblasti inteligence hrozeb: označování indikátorů a vytváření nových indikátorů souvisejících s šetřením zabezpečení.

Označování indikátorů hrozeb představuje snadný způsob, jak je seskupit, aby se snadněji našli. Obvykle můžete značku použít na indikátory související s konkrétním incidentem nebo na ty, které představují hrozby od konkrétního známého aktéra nebo dobře známé kampaně útoku. Indikátory hrozeb můžete označit jednotlivě nebo vícenásobně vybrat a označit je všechny najednou. Níže je uvedený příklad označování více indikátorů s ID incidentu. Vzhledem k tomu, že označování je ve volném formátu, doporučuje se vytvořit standardní zásady vytváření názvů pro značky indikátorů hrozeb. U každého indikátoru můžete použít více značek.

Další podrobnosti o zobrazení a správě indikátorů hrozeb najdete v tématu Práce s indikátory hrozeb v Microsoft Sentinelu.

Zobrazení geografické polohy a rozšiřování dat whoIs (Public Preview)

Microsoft obohacuje každý indikátor o další geografická umístění a údaje o osobních údajůch a poskytuje další kontext pro vyšetřování, kde se nachází vybraný indikátor ohrožení zabezpečení.

Data GeoLocation a WhoIs můžete zobrazit v podokně Threat Intelligence pro každý indikátor ohrožení zabezpečení, který jste naimportili do Microsoft Sentinelu.

Pomocí dat GeoLocation můžete například najít podrobnosti, jako je organizace nebo země pro indikátor, a údaje whoIs k vyhledání dat, jako jsou registrátor a data pro vytvoření záznamu.

Detekce hrozeb pomocí analýz založených na indikátoru hrozeb

Nejdůležitějším případem použití indikátorů hrozeb v řešeních SIEM, jako je Microsoft Sentinel, je použití analytických pravidel pro detekci hrozeb. Tato pravidla založená na indikátorech porovnávají nezpracované události z vašich zdrojů dat s indikátory hrozeb a zjišťují bezpečnostní hrozby ve vaší organizaci. V analýzách Microsoft Sentinel vytvoříte analytická pravidla, která se spustí podle plánu a generují výstrahy zabezpečení. Pravidla jsou řízena dotazy a konfiguracemi, které určují, jak často se má pravidlo spouštět, jaký druh výsledků dotazu by měl generovat výstrahy a incidenty zabezpečení a které, pokud se mají aktivovat nějaké automatizace v reakci.

I když můžete vždy vytvářet nová analytická pravidla od začátku, Microsoft Sentinel poskytuje sadu předdefinované šablony pravidel vytvořené techniky zabezpečení Microsoftu, které můžete použít tak, jak jsou, nebo upravit podle svých potřeb. Šablony pravidel, které používají indikátory hrozeb, můžete snadno identifikovat, protože všechny mají název začínající na "MAPA TI...". Všechny tyto šablony pravidel fungují podobně, jediným rozdílem je, který typ indikátorů hrozeb se používá (doména, e-mail, hodnota hash souboru, IP adresa nebo adresa URL) a se kterým typem události se má shodovat. Každá šablona obsahuje seznam požadovaných zdrojů dat potřebných k tomu, aby pravidlo fungovalo, takže můžete na první pohled vidět, jestli už máte potřebné události importované ve službě Microsoft Sentinel. Když upravíte a uložíte existující šablonu pravidla nebo vytvoříte nové pravidlo, je ve výchozím nastavení povolené.

Povolené pravidlo najdete na kartě Aktivní pravidla v části Analýza služby Microsoft Sentinel. Aktivní pravidlo můžete upravit, povolit, zakázat, duplikovat nebo odstranit. Nové pravidlo se spustí okamžitě po aktivaci a od té doby se spustí podle definovaného plánu.

Podle výchozího nastavení se při každém spuštění pravidla podle plánu vygeneruje výstraha zabezpečení ve všech nalezených výsledcích. Výstrahy zabezpečení v Microsoft Sentinelu si můžete prohlédnout v části Protokoly služby Microsoft Sentinel v tabulce SecurityAlert ve skupině Microsoft Sentinel.

Výstrahy vygenerované z analytických pravidel v Microsoft Sentinelu také generují incidenty zabezpečení, které najdete v části Incidenty v části Správa hrozeb v nabídce Microsoft Sentinelu. Incidenty jsou to, co budou týmy operací zabezpečení zkoumat a zkoumat, aby určily vhodné akce reakce. Podrobné informace najdete v tomto kurzu: Vyšetřování incidentů pomocí služby Microsoft Sentinel.

Další podrobnosti o používání indikátorů hrozeb v analytických pravidlech najdete v tématu Práce s indikátory hrozeb v Microsoft Sentinelu.

Sešity poskytují přehledy o inteligentních informacích o hrozbách

Sešity poskytují výkonné interaktivní řídicí panely, které poskytují přehled o všech aspektech služby Microsoft Sentinel, a inteligence hrozeb není výjimkou. Pomocí integrovaného sešitu Threat Intelligence můžete vizualizovat klíčové informace o inteligentních informacích o hrozbách a sešit si můžete snadno přizpůsobit podle svých obchodních potřeb. Můžete dokonce vytvořit nové řídicí panely kombinující mnoho různých zdrojů dat, abyste mohli data vizualizovat jedinečnými způsoby. Vzhledem k tomu, že sešity Microsoft Sentinelu jsou založené na Azure Monitor sešitech, je už k dispozici rozsáhlá dokumentace a mnoho dalších šablon. Skvělým místem, kde začít, je tento článek o vytváření interaktivních sestav pomocí Azure Monitor sešitů.

K dispozici je také bohatá komunita sešitů Azure Monitor na webu GitHub, kde si můžete stáhnout další šablony a přispívat vlastními šablonami.

Další podrobnosti o používání a přizpůsobení sešitu Threat Intelligence najdete v tématu Práce s indikátory hrozeb v Microsoft Sentinelu.

Další kroky

V tomto dokumentu jste se dozvěděli o možnostech detekce hrozeb služby Microsoft Sentinel, včetně okna Threat Intelligence. Praktické pokyny k používání funkcí detekce hrozeb v Microsoft Sentinelu najdete v následujících článcích:

• Připojení Microsoft Sentinel do informačních kanálů pro analýzu hrozeb STIX/TAXII.
• Připojení platformy pro detekci hrozeb do služby Microsoft Sentinel.
• Podívejte se, které platformy TIP, informační kanály TAXII a rozšíření je možné snadno integrovat se službou Microsoft Sentinel.
• Pracujte s indikátory hrozeb v rámci celého prostředí Microsoft Sentinelu.
• Detekce hrozeb s integrovanými nebo vlastními analytickými pravidly ve službě Microsoft Sentinel
• Prozkoumejte incidenty v nástroji Microsoft Sentinel.