Entitások hozzáadása fenyegetésfelderítéshez a Microsoft Sentinelben

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal

A vizsgálat során az entitásokat és azok kontextusát az incidens hatókörének és jellegének fontos részeként vizsgálja meg. Ha rosszindulatú tartománynévként, URL-címként, fájlként vagy IP-címként észlel egy entitást az incidensben, a fenyegetésfelderítésben fel kell címkézni és nyomon kell követni a biztonsági kockázat jelzéseként.

Felfedezhet például egy IP-címet, amely portvizsgálatokat végez a hálózaton, vagy parancs- és vezérlőcsomópontként működik, és a hálózat nagy számú csomópontjáról küld és/vagy fogad átviteleket.

A Microsoft Sentinel lehetővé teszi az ilyen típusú entitások megjelölését közvetlenül az incidensvizsgálat során, és hozzáadhatja azt a fenyegetésfelderítéshez. Megtekintheti a hozzáadott mutatókat a Naplókban és a Fenyegetésfelderítésben is, és használhatja őket a Microsoft Sentinel-munkaterületen.

Entitás hozzáadása a fenyegetésfelderítéshez

Az új incidens részleteinek oldala a vizsgálati grafikonon kívül egy másik módszert is kínál az entitások fenyegetésfelderítéshez való hozzáadására. Mindkét módszer alább látható.

incidens részleteinek

1. A Microsoft Sentinel navigációs menüjében válassza az Incidensek lehetőséget.

2. Válasszon ki egy kivizsgálandó incidenst. Az incidens részletei panelen válassza a Teljes adatok megtekintése lehetőséget az incidens részletei lap megnyitásához.

   

3. Keresse meg az entitást a fenyegetésjelzőként hozzáadni kívánt Entitások widgetből. (A kereséshez szűrheti a listát, vagy megadhat egy keresési sztringet.)

4. Válassza ki az entitástól jobbra található három elemet, majd az előugró menüben válassza a Hozzáadás a TI-hez lehetőséget.

   Fenyegetésjelzőként csak a következő típusú entitások vehetők fel:

   • Tartománynév
   • IP-cím (IPv4 és IPv6)
   • URL-cím
   • Fájl (kivonat)

   

Vizsgálati grafikon

A vizsgálati gráf egy vizuális, intuitív eszköz, amely kapcsolatokat és mintákat mutat be, és lehetővé teszi az elemzők számára a megfelelő kérdések feltevését és az érdeklődők követését. Segítségével entitásokat adhat hozzá a fenyegetésintelligencia-jelzőlistákhoz, így azok elérhetővé válnak a munkaterületen.

1. A Microsoft Sentinel navigációs menüjében válassza az Incidensek lehetőséget.

2. Válasszon ki egy kivizsgálandó incidenst. Az incidens részletei panelen válassza a Műveletek gombot, majd az előugró menüBen válassza a Kivizsgálás lehetőséget. Ez megnyitja a vizsgálati gráfot.

   

3. Válassza ki azt az entitást a gráfból, amelyet fenyegetésjelzőként szeretne hozzáadni. A jobb oldalon egy oldalpanel nyílik meg. Válassza a Hozzáadás a TI-hez lehetőséget.

   Fenyegetésjelzőként csak a következő típusú entitások vehetők fel:

   • Tartománynév
   • IP-cím (IPv4 és IPv6)
   • URL-cím
   • Fájl (kivonat)

   

A választott két felület közül bármelyiket választja, a következőt fogja végezni:

1. Ekkor megnyílik az Új jelzőoldali panel. A következő mezők automatikusan fel lesznek töltve:

   • Típus

     • A hozzáadni kívánt entitás által képviselt mutató típusa.
       Legördülő lista lehetséges értékekkel: ipv4-addr, ipv6-addr, URL, file, domain-name
     • Szükséges; automatikusan kitöltve az entitás típusa alapján.

   • Érték

     • A mező neve dinamikusan változik a kijelölt mutatótípusra.
     • A mutató értéke.
     • Szükséges; automatikusan kitölti az entitás értéke.

   • Címkék

     • A mutatóhoz felvehető szabadszöveges címkék.
     • Választható; automatikusan kitölti az incidensazonosító. Felvehet másokat is.

   • Név

     • A mutató neve – ez jelenik meg a mutatók listájában.
     • Választható; automatikusan kitölti az incidens neve.

   • Készítette:

     • A mutató létrehozója.
     • Választható; automatikusan kitölti a Microsoft Sentinelbe bejelentkezett felhasználó.

   Ennek megfelelően töltse ki a fennmaradó mezőket.

   • Fenyegetés típusa

     • A jelző által képviselt fenyegetéstípus.
     • Választható; szabad szöveg.

   • Leírás

     • A mutató leírása.
     • Választható; szabad szöveg.

   • Visszavont

     • A mutató visszavont állapota. Jelölje be a jelölőnégyzetet a jelző visszavonásához, és törölje a jelölőnégyzet jelölését az aktívvá tétele érdekében.
     • Választható; Logikai.

   • Bizalom

     • Százalékban kifejezve az adatok helyességének megbízhatóságát tükröző pontszám.
     • Választható; egész szám, 1-100

   • Öld meg a láncot

     • A Lockheed Martin Cyber Kill Lánc fázisai, amelyekhez a mutató megfelel.
     • Választható; szabad szöveg

   • Érvényesség:

     • Az az idő, amelytől a mutató érvényesnek minősül.
     • Szükséges; dátum/idő

   • Érvényesség:

     • Az az időpont, amikor ez a mutató már nem tekinthető érvényesnek.
     • Választható; dátum/idő

   

2. Ha az összes mezőt elégedetten tölti ki, válassza az Alkalmaz lehetőséget. Megjelenik egy megerősítést kérő üzenet a jobb felső sarokban, amely a mutató létrehozását jelzi.

3. Az entitás fenyegetésjelzőként lesz hozzáadva a munkaterületen. A jelölők listájában megtalálja a Fenyegetésintelligencia lapon, valamint a Naplók ThreatIntelligenceIndicators táblájában.

Kapcsolódó tartalom

Ebben a cikkben megtanulta, hogyan adhat hozzá entitásokat a fenyegetésjelzők listájához. További információkért lásd:

• Incidensek vizsgálata a Microsoft Sentinellel
• A Fenyegetésfelderítés ismertetése a Microsoft Sentinelben
• Fenyegetésjelzők használata a Microsoft Sentinelben