Verwenden von Abgleichanalysen zum Erkennen von Bedrohungen
Nutzen Sie die Threat Intelligence von Microsoft, um mit der Microsoft Defender Threat Intelligence Analytics-Regel Warnungen und Vorfälle mit hoher Genauigkeit zu generieren. Diese integrierte Regel in Microsoft Sentinel gleicht Indikatoren mit CEF-Protokollen (Common Event Format), Windows DNS-Ereignissen mit Domänen- und IPv4-Bedrohungsindikatoren, Syslog-Daten und mehr ab.
Wichtig
Die Abgleichsanalyse befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Voraussetzungen
Um Warnungen und Vorfälle mit hoher Genauigkeit zu erzeugen, muss mindestens ein unterstützter Datenconnector installiert werden, aber es ist keine Premium-MDTI-Lizenz erforderlich. Installieren Sie die entsprechenden Lösungen vom Inhaltshub, um diese Datenquellen zu verbinden.
- Common Event Format (CEF)
- DNS (Vorschau)
- syslog
- Office-Aktivitätsprotokolle
- Azure-Aktivitätsprotokolle
Je nach Datenquelle können Sie beispielsweise die folgenden Lösungen und Datenconnectors verwenden.
Konfigurieren der Abgleichanalysenregel
Abgleichanalysen werden konfiguriert, wenn Sie die Microsoft Defender Threat Intelligence Analytics-Regel aktivieren.
Klicken Sie im Abschnitt Konfiguration auf das Menü Analyse.
Wählen Sie die Menüregisterkarte Regelvorlagen aus.
Geben Sie im Suchfenster Threat Intelligence ein.
Wählen Sie die Regelvorlage Microsoft Defender Threat Intelligence Analytics aus.
Klicken Sie auf Regel erstellen. Die Regeldetails sind schreibgeschützt, und der Standardstatus der Regel ist aktiviert.
Klicken Sie auf Überprüfen>Erstellen.
Datenquellen und Indikatoren
Microsoft Defender Threat Intelligence (MDTI) Analytics gleicht Ihre Protokolle auf folgende Weise mit Domänen-, IP- und URL-Indikatoren ab:
CEF-Protokolle, die in der Log Analytics-Tabelle CommonSecurityLog erfasst werden, gleichen URL- und Domänenindikatoren ab, wenn sie im Feld
RequestURL
enthalten sind, und IPv4-Indikatoren, wen sie im FeldDestinationIP
enthalten sind.Windows-DNS-Protokolle, in denen das Ereignis
SubType == "LookupQuery"
in der DnsEvents-Tabelle erfasst ist, gleichen Domänenindikatoren ab, die im FeldName
enthalten sind, und IPv4-Indikatoren, die im FeldIPAddresses
enthalten sind.Syslog-Ereignisse, bei denen
Facility == "cron"
in der Syslog-Tabelle erfasst wird, gleichen Domänen- und IPv4-Indikatoren direkt aus dem FeldSyslogMessage
ab.Die Office-Aktivitätsprotokolle, die in der OfficeActivity-Tabelle erfasst werden, gleichen direkt due IPv4-Indikatoren aus dem Feld
ClientIP
ab.Die Azure-Aktivitätsprotokolle, die in der AzureActivity-Tabelle erfasst werden, gleichen direkt die IPv4-Indikatoren aus dem Feld
CallerIpAddress
ab.
Selektierung eines per Abgleichanalyse generierten Vorfalls
Wenn die Microsoft-Analyse eine Übereinstimmung findet, werden alle generierten Warnungen zu Vorfällen gruppiert.
Führen Sie die folgenden Schritte aus, um die von der Microsoft Defender Threat Intelligence Analytics-Regel generierten Incidents zu selektieren:
Wählen Sie im Microsoft Sentinel-Arbeitsbereich, in dem Sie die Microsoft Defender Threat Intelligence Analytics-Regel aktiviert haben, Incidents aus und suchen Sie nach Microsoft Defender Threat Intelligence Analytics.
Alle gefundenen Incidents werden im Raster angezeigt.
Wählen Sie Vollständige Details anzeigen aus, um Entitäten und andere Details zum Incident anzuzeigen, z. B. bestimmte Warnungen.
Zum Beispiel:
Beachten Sie den Schweregrad, der den Warnungen und dem Incident zugewiesen ist. Je nachdem, wie der Indikator abgeglichen wird, wird einer Warnung ein angemessener Schweregrad von
Informational
bisHigh
zugewiesen. Wenn der Indikator beispielsweise mit Firewallprotokollen abgeglichen wird, die den Datenverkehr zugelassen haben, wird eine Warnung mit hohem Schweregrad generiert. Wenn derselbe Indikator mit Firewallprotokollen abgeglichen wurde, die den Datenverkehr blockierten, wäre die generierte Warnung niedrig oder mittel.Warnungen werden dann auf der Grundlage des Indikators pro Beobachtung gruppiert. Beispielsweise werden alle in einem Zeitraum von 24 Stunden generierten Warnungen, die der Domäne
contoso.com
entsprechen, zu einem einzigen Vorfall gruppiert, dessen Schweregrad basierend auf dem höchsten Warnungsschweregrad zugewiesen wird.Beachten Sie die Details des Indikators. Wenn eine Übereinstimmung gefunden wird, wird der Indikator in der Log Analytics-Tabelle ThreatIntelligenceIndicators veröffentlicht und auf der Seite Threat Intelligence angezeigt. Für alle Indikatoren, die anhand dieser Regel veröffentlicht werden, wird die Quelle als Microsoft Defender Threat Intelligence Analytics festgelegt.
Beispielsweise in der Protokoll ThreatIntelligenceIndicators-Tabelle:
Auf der Seite Threat Intelligence:
Abrufen von weiterem Kontext aus Microsoft Defender Threat Intelligence
Zusätzlich zu Warnungen und Vorfällen mit hoher Genauigkeit enthalten MDTI-Indikatoren den Link zu einem Referenzartikel im MDTI-Communityportal.
Weitere Informationen finden Sie unter MDTI-Portal und Was ist Microsoft Defender Threat Intelligence?
Zugehöriger Inhalt
In diesem Artikel haben Sie erfahren, wie Sie eine Verbindung mit von Microsoft erzeugter Threat Intelligence herstellen, um Warnungen und Vorfälle zu generieren. Weitere Informationen zu Threat Intelligence in Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Arbeiten mit Bedrohungsindikatoren in Microsoft Sentinel
- Herstellen einer Verbindung zwischen Microsoft Sentinel und STIX-/TAXII-Threat-Intelligence-Feeds
- Verbinden von Threat Intelligence-Plattformen mit Microsoft Sentinel
- Integrieren von TIP-Plattformen, TAXII-Feeds und Anreicherungen in Microsoft Sentinel