Práce s indikátory hrozeb v Microsoft Sentinel

  • Článek
  • 11 min ke čtení

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.

Do programu Microsoft Sentinel můžete integrovat analýzu hrozeb (ČŘ) prostřednictvím následujících činností:

  • Pomocí datových konektorů k různým platformám a kanálůmpro ČŘ můžete importovat analýzy hrozeb do služby Microsoft Sentinel.

  • Zobrazení a Správa importovaných informací o hrozbách v protokolech a na stránce Microsoft Sentinel Threat Intelligence

  • Vyhledá hrozby a vygeneruje výstrahy zabezpečení a incidenty pomocí integrovaných šablon pravidel Analytics na základě vašich importovaných analýz hrozeb.

  • Seznamte se s informacemi o vašich importovaných analýzách hrozeb v Microsoft Sentinel se sešitem s přehledem hrozeb.

Zobrazit indikátory hrozeb v Microsoft Sentinel

Hledání ukazatelů v protokolech a jejich zobrazení

Tento postup popisuje, jak zobrazit importované indikátory hrozeb v oblasti protokoly Sentinel společnosti Microsoft spolu s dalšími daty události Microsoft Sentinel, bez ohledu na zdrojový kanál nebo použitý konektor.

Importované indikátory hrozeb jsou uvedené v tabulce Microsoft sentinel > ThreatIntelligenceIndicator , která je základem pro dotazy funkce Threat Intelligence spuštěné jinde v rámci služby Microsoft Sentinel, například v části analýza nebo sešity.

Zobrazení ukazatelů analýzy hrozeb v protokolech:

  1. Otevřete Azure Portal a přejděte ke službě Microsoft Sentinel .

  2. Vyberte pracovní prostor, do kterého jste naimportovali ukazatele hrozeb pomocí datového konektoru pro analýzu hrozeb.

  3. V části Obecné v nabídce Sentinel společnosti Microsoft vyberte protokoly .

  4. Tabulka ThreatIntelligenceIndicator je umístěná ve skupině Sentinel společnosti Microsoft .

  5. Vyberte ikonu náhledu dat (oka) vedle názvu tabulky a výběrem tlačítka Zobrazit v editoru dotazů spusťte dotaz, který zobrazí záznamy z této tabulky.

Výsledky by měly vypadat podobně jako na indikátoru ukázkové hrozby uvedené níže:

Ukázková data dotazů

Vyhledání a zobrazení ukazatelů na stránce Analýza hrozeb

Tento postup popisuje, jak zobrazit a spravovat indikátory na stránce Analýza hrozeb , která je přístupná z hlavní nabídky Microsoft Sentinel. Stránku Analýza hrozeb použijte k řazení, filtrování a hledání importovaných indikátorů hrozeb bez psaní dotazu Log Analytics.

Postup zobrazení ukazatelů analýzy hrozeb na stránce Analýza hrozeb:

  1. Otevřete Azure Portal a přejděte ke službě Microsoft Sentinel .

  2. Vyberte pracovní prostor, do kterého jste importovali indikátory hrozeb pomocí konektorů/playbooky, nebo jste vytvořili data pro analýzu hrozeb.

  3. V části Správa hrozeb na levé straně vyberte stránku Analýza hrozeb .

  4. V mřížce vyberte indikátor, pro který chcete zobrazit další podrobnosti. Podrobnosti o indikátoru se zobrazí na pravé straně, kde se zobrazují informace, jako jsou úrovně spolehlivosti, značky, typy hrozeb a další.

    Společnost Microsoft rozšiřuje každý indikátor o další geografickou polohu a data služby WhoIs a poskytuje tak více kontextu pro šetření, ve kterých je vybraný indikátor nalezen.

    Například:

    Snímek obrazovky se stránkou s přehledem hrozeb s ukazatelem ukazující data geografického umístění a WhoIs

Stránka Analýza hrozeb také umožňuje vytvářet indikátory hrozeb přímo v rozhraní Microsoft Sentinel a provádět dva z nejběžnějších úloh správy v rámci hrozeb: označování indikátorů a vytváření nových ukazatelů souvisejících s vyšetřováním zabezpečení.

Důležité

Geografická poloha a rozšíření WhoIs jsou momentálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo jinak ještě nedostupné ve všeobecné dostupnosti.

Vytvořit nový indikátor

  1. Z Azure Portalpřejděte ke službě Microsoft Sentinel .

  2. Vyberte pracovní prostor , do kterého jste naimportovali ukazatele hrozeb pomocí datového konektoru pro analýzu hrozeb.

  3. V části Správa hrozeb v nabídce ověřovací modul společnosti Microsoft vyberte možnost Analýza hrozeb .

  4. V řádku nabídek v horní části stránky vyberte tlačítko Přidat nový .

    Přidat nový indikátor hrozby

  5. Zvolte typ indikátoru a pak vyplňte formulář na novém panelu indikátoru . Požadovaná pole jsou označena červenou hvězdičkou (*).

  6. Vyberte Použít. Indikátor se přidá do seznamu ukazatelů a v protokolech se také pošle do tabulky ThreatIntelligenceIndicator .

Označení indikátorů hrozeb

Označování indikátorů hrozeb je jednoduchý způsob, jak je seskupit dohromady, aby bylo snazší je najít. Obvykle můžete použít značku na indikátory týkající se konkrétního incidentu nebo na ty, které představují hrozby z konkrétního známého objektu actor nebo známé kampaně pro útok. Můžete označit indikátory hrozeb jednotlivě nebo indikátory vícenásobného výběru a označit je všechny najednou. Níže je uveden příklad označování více indikátorů s ID incidentu. Vzhledem k tomu, že označení je zdarma, doporučuje se vytvořit standardní konvence pojmenování pro značky indikátoru hrozeb. U každého indikátoru můžete použít více značek.

Použít značky na indikátory hrozeb

Zjišťování hrozeb pomocí analýz na základě indikace hrozeb

Nejdůležitější případ použití pro indikátory hrozeb v řešeních SIEM, jako je Microsoft Sentinel, je pravidla analýzy detekce hrozeb. Tato pravidla založené na ukazateli porovnávají nezpracované události ze zdrojů dat se svými indikátory hrozeb a zjišťují přítomnost bezpečnostních hrozeb ve vaší organizaci. V nástroji Microsoft Sentinel Analytics vytvoříte analytická pravidla, která se spouštějí na základě plánu a generují výstrahy zabezpečení. Tato pravidla jsou založená na dotazech spolu s konfiguracemi, které určují, jak často se má pravidlo spouštět, jaký druh výsledků dotazu by měl generovat výstrahy zabezpečení a incidenty a které automatizace se spustí v reakci.

I když můžete vždy vytvořit nová analytická pravidla od začátku, Microsoft Sentinel poskytuje sadu předdefinovaných šablon pravidla, které vytvořili technici Microsoftu pro zabezpečení, které můžete použít tak, jak jsou, nebo upravit, aby vyhovovaly vašim potřebám. Můžete snadno identifikovat šablony pravidel, které používají indikátory hrozeb, protože jsou všechny s názvem od "ČŘ map...". Všechny tyto šablony pravidel fungují podobně, přičemž jediným rozdílem je, že se používá typ indikátorů hrozeb (doména, e-mail, hodnota hash souboru, IP adresa nebo adresa URL) a odpovídající typ události. Každá šablona obsahuje seznam požadovaných zdrojů dat potřebných k tomu, aby pravidlo fungovalo, takže se můžete podívat na první pohled v případě, že jsou již nezbytné události importovány v rámci programu Microsoft Sentinel. Když upravíte a uložíte existující šablonu pravidla nebo vytvoříte nové pravidlo, bude ve výchozím nastavení povolená.

Konfigurace pravidla pro generování výstrah zabezpečení

Níže je uveden příklad, jak povolit a nakonfigurovat pravidlo pro generování výstrah zabezpečení pomocí indikátorů hrozeb, které jste importovali do programu Microsoft Sentinel. V tomto příkladu použijte šablonu pravidla nazvanou entity IP adresy ČŘ na AzureActivity. Toto pravidlo bude odpovídat jakémukoli indikátoru hrozby typu IP adresa a všem událostem aktivity Azure. Pokud je nalezena shoda, bude vygenerována Výstraha a odpovídající incident pro šetření vaším týmem zabezpečení provozu. Toto pravidlo analýzy bude fungovat úspěšně jenom v případě, že jste povolili jeden nebo oba datové konektory pro analýzu hrozeb (pro import indikátorů hrozeb) a konektor dat aktivit Azure (pro import událostí na úrovni předplatného Azure).

  1. Z Azure Portalpřejděte ke službě Microsoft Sentinel .

  2. Pomocí konektoru dat o aktivitách Azure vyberte pracovní prostor , do kterého jste importovali indikátory hrozeb pomocí datových konektorů a dat o aktivitách Azure.

  3. V části Konfigurace v nabídce ověřovací služby společnosti Microsoft vyberte Analýza .

  4. Vyberte kartu šablony pravidel a zobrazte seznam dostupných šablon pravidel Analytics.

  5. Vyhledejte pravidlo s názvem entita mapování IP adresy AzureActivity a ujistěte se, že jste připojili všechny požadované zdroje dat, jak je uvedeno níže.

    Požadované zdroje dat

  6. Vyberte pravidlo pro entitu ča mapování IP na AzureActivity a pak vyberte vytvořit pravidlo . otevře se Průvodce konfigurací pravidla. Nakonfigurujte nastavení v průvodci a potom vyberte Další: nastavte logiku pravidla >.

    Vytvořit analytické pravidlo

  7. Část pravidla Logika průvodce byla předem vyplněná následujícími položkami:

    • Dotaz, který se použije v pravidle.

    • Mapování entit, která dávají službě Microsoft Sentinel informace o tom, jak rozpoznat entity, jako jsou účty, IP adresy a adresy URL, aby incidenty a šetření porozuměly tomu, jak pracovat s daty v jakékoli výstrahy zabezpečení generované tímto pravidlem.

    • Plán, ve kterém má být toto pravidlo spuštěno.

    • Počet výsledků dotazu potřebných před vygenerováním výstrahy zabezpečení.

    Výchozí nastavení v šabloně:

    • Spustí se jednou za hodinu.

    • Porovnává všechny indikátory hrozeb IP adres z tabulky ThreatIntelligenceIndicator s jakoukoli IP adresou nalezenou během poslední hodiny událostí z tabulky AzureActivity .

    • Vygenerovat výstrahu zabezpečení, pokud jsou výsledky dotazu větší než nula, což znamená, že se najde nějaké shody.

    Můžete ponechat výchozí nastavení nebo je změnit tak, aby splňovalo vaše požadavky, a můžete definovat nastavení generování incidentů na kartě Nastavení incidentu . Další informace najdete v tématu Vytvoření vlastních pravidel analýzy pro detekci hrozeb. Po dokončení vyberte kartu automatizovaná odpověď .

  8. Nakonfigurujte všechny automatizace, které byste chtěli aktivovat při vygenerování výstrahy zabezpečení z tohoto pravidla analýzy. Automatizace ve službě Microsoft Sentinel se provádí pomocí kombinací pravidel automatizace a playbooky využívajících technologii, kterou používá Azure Logic Apps. Další informace najdete v tomto kurzu: použití playbooky s pravidly automatizace v Microsoft Sentinel. Po dokončení vyberte tlačítko Další: zkontrolovat > , abyste mohli pokračovat.

  9. Jakmile se zobrazí zpráva, že ověření platnosti pravidla proběhlo, vyberte tlačítko vytvořit a budete hotovi.

Povolená pravidla najdete na kartě aktivní pravidla v části Analýza v tématu Microsoft Sentinel. Aktivní pravidlo můžete upravit, povolit, zakázat, duplikovat nebo odstranit. Nové pravidlo se spustí hned po aktivaci a od potom se spustí podle definovaného plánu.

Vzhledem k výchozímu nastavení pokaždé, když se pravidlo spustí podle plánu, všechny nalezené výsledky budou generovat výstrahu zabezpečení. Výstrahy zabezpečení ve službě Microsoft Sentinel je možné zobrazit v části protokoly v tématu Microsoft Sentinel v tabulce SecurityAlert ve skupině Sentinel společnosti Microsoft .

V rámci Microsoft Sentinel generují výstrahy z pravidel analýzy také incidenty zabezpečení, které se dají najít v incidentech pod správu hrozeb v nabídce ověřovacích událostí Microsoftu. Incidenty jsou to, co budou týmy operací zabezpečení zkoumat a zkoumat, aby určily vhodné akce reakce. Podrobné informace najdete v tomto kurzu: Vyšetřování incidentů pomocí služby Microsoft Sentinel.

Detekce hrozeb pomocí odpovídajících analýz (Public Preview)

Důležité

Odpovídající analýzy jsou aktuálně ve verzi PREVIEW. Další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo které ještě nejsou všeobecně dostupné, najdete v dodatečných podmínkách použití pro verze Microsoft Azure Preview.

Vytvořte pravidlo pomocí integrované analytické šablony analýzy analýzy hrozeb od Microsoftu, aby služba Microsoft Sentinel odpovídala datům analýzy hrozeb generovaných Microsoftem s protokoly, které jste ingestoval do služby Microsoft Sentinel.

Párování dat detekce hrozeb s vašimi protokoly pomáhá generovat vysoce věrná upozornění a incidenty s odpovídajícími závažnostmi. Když je nalezena shoda, všechny vygenerované výstrahy se seskupí do incidentů.

Výstrahy se seskupí podle pozorovatelného stavu za 24 hodin. Například všechny výstrahy vygenerované během 24hodinových časových období, které odpovídají doméně, se seskupí abc.com do jednoho incidentu.

Triage through an incident generated by matching analytics

Pokud najdete shodu, všechny vygenerované výstrahy se seskupí do incidentů.

Pomocí následujících kroků můžete provést hodnocení incidentů generovaných pravidlem analýzy porovnávání analýzy hrozeb Microsoftu:

  1. V pracovním prostoru Microsoft Sentinel, kde jste povolili pravidlo Analýzy porovnávání hrozeb Microsoftu, vyberte Incidenty a vyhledejte Microsoft Threat Intelligence Analytics.

    Všechny nalezené incidenty se zobrazí v mřížce.

  2. Pokud chcete zobrazit entity a další podrobnosti o incidentu, například konkrétní výstrahy, vyberte Zobrazit úplné podrobnosti.

    Například:

    Ukázky odpovídající podrobnostem analýzy

Když je nalezena shoda, indikátor se publikuje také do indikátorů threatIntelligenceIndicators služby Log Analytics a zobrazí se na stránce Analýza hrozeb. U všech indikátorů publikovaných z tohoto pravidla se zdroj definuje jako Microsoft Threat Intelligence Analytics.

Například v protokolu ThreatIntelligenceIndicators:

Odpovídající analýzy zobrazené v protokolu ThreatIntelligenceIndicators

Na stránce Threat Intelligence (Informace o hrozbě):

Odpovídající analýzy zobrazené na stránce Analýza hrozeb

Podporované zdroje protokolů pro odpovídající analýzy

Pravidlo Microsoft Threat Intelligence Matching Analytics se v současné době podporuje pro následující zdroje protokolů:

Zdroj protokolu Description
CEF Porovnávání se provádí pro všechny protokoly CEF, které jsou ingestovány v tabulce CommonSecurityLog služby Log Analytics, s výjimkou protokolů, ve kterých je uveden DeviceVendor Cisco jako .

Pokud chcete porovnat informace o hrozbě vygenerované Microsoftem s protokoly CEF, nezapomeňte namapovat doménu v RequestURL poli protokolu CEF.
DNS Párování se provádí pro všechny protokoly DNS, které vyhledá dotazy DNS z klientů do služeb DNS ( SubType == "LookupQuery" ). Dotazy DNS se zpracovávají jenom pro dotazy IPv4 ( ) a QueryType=”A” IPv6 ( QueryType=” AAAA” ).

K spárování inteligentních informací o hrozbách generovaných Microsoftem s protokoly DNS není potřeba ruční mapování sloupců, protože všechny sloupce jsou standardní ze serveru DNS Windows domény budou ve výchozím nastavení ve Name sloupci .
Syslog Porovnávání se v současné době provádí pouze pro události Syslogu, kde Facility je cron .

Aby bylo možné porovnat inteligenci hrozeb vygenerované Microsoftem se syslogem, není potřeba ruční mapování sloupců. Podrobnosti jsou ve výchozím nastavení v poli Syslogu a pravidlo bude analyzovat doménu SyslogMessage přímo ze zprávy SyslogMessage.

Sešity poskytují přehledy o inteligentních informacích o hrozbách

Pomocí účelového sešitu Microsoft Sentinelu můžete vizualizovat klíčové informace o inteligentních informacích o hrozbách v Microsoft Sentinelu a sešit si snadno přizpůsobit podle svých obchodních potřeb.

Tady je postup, jak najít sešit s informací o hrozbách, který je k dispozici v Microsoft Sentinelu, a příklad, jak v sešitu provádět úpravy a přizpůsobit ho.

  1. V Azure Portalpřejděte na službu Microsoft Sentinel.

  2. Vyberte pracovní prostor, do kterého jste naimportli indikátory hrozeb, pomocí datového konektoru funkce Threat Intelligence.

  3. V části Správa hrozeb nabídky Microsoft Sentinel vyberte Sešity.

  4. Vyhledejte sešit s názvem Threat Intelligence a ověřte, že máte data v tabulce ThreatIntelligenceIndicator, jak je znázorněno níže.

    Ověření dat

  5. Vyberte tlačítko Uložit a zvolte umístění Azure, do které chcete sešit uložit. Tento krok je nutný, pokud budete sešit libovolně upravovat a změny uložíte.

  6. Teď výběrem tlačítka Zobrazit uložený sešit otevřete sešit pro zobrazení a úpravy.

  7. Teď byste měli vidět výchozí grafy, které šablona poskytuje. Pokud chcete graf upravit, vyberte tlačítko Upravit v horní části stránky a otevřete režim úprav sešitu.

  8. Přidejte nový graf indikátorů hrozeb podle typu hrozby. Posuňte se do dolní části stránky a vyberte Přidat dotaz.

  9. Do textového pole Dotaz protokolu pracovního prostoru služby Log Analytics přidejte následující text:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

  10. V rozevíracím seznamu Vizualizace vyberte Pruhový graf.

  11. Vyberte tlačítko Úpravy jsou hotové. Vytvořili jste nový graf pro váš sešit.

    Pruhový graf

Sešity poskytují výkonné interaktivní řídicí panely, které vám poskytnou přehled o všech aspektech služby Microsoft Sentinel. S sešity můžete dělat spoustu věcí, a přestože jsou poskytované šablony skvělým výchozím bodem, pravděpodobně se budete chtít ponořit do těchto šablon a přizpůsobit je nebo vytvořit nové řídicí panely kombinující mnoho různých zdrojů dat, abyste mohli data jedinečným způsobem vizualizovat. Vzhledem k tomu, že sešity Microsoft Sentinelu jsou založené na Azure Monitor sešitech, je už k dispozici rozsáhlá dokumentace a mnoho dalších šablon. Skvělým místem, kde začít, je tento článek o vytváření interaktivních sestav pomocí Azure Monitor sešitů.

K dispozici je také bohatá komunita Azure Monitor sešitů na GitHub, kde si můžete stáhnout další šablony a přispívat vlastními šablonami.

Další kroky

V tomto článku jste se dozvěděli o všech způsobech práce s indikátory detekce hrozeb v microsoft Sentinelu. Další informace o inteligenci hrozeb ve službě Microsoft Sentinel najdete v následujících článcích: