Entitások hozzáadása fenyegetésfelderítéshez a Microsoft Sentinelben
A vizsgálat során az entitásokat és azok kontextusát az incidens hatókörének és jellegének fontos részeként vizsgálja meg. Ha rosszindulatú tartománynévként, URL-címként, fájlként vagy IP-címként észlel egy entitást az incidensben, a fenyegetésfelderítésben fel kell címkézni és nyomon kell követni a biztonsági kockázat jelzéseként.
Felfedezhet például egy IP-címet, amely portvizsgálatokat végez a hálózaton, vagy parancs- és vezérlőcsomópontként működik, és a hálózat nagy számú csomópontjáról küld és/vagy fogad átviteleket.
A Microsoft Sentinel lehetővé teszi az ilyen típusú entitások megjelölését közvetlenül az incidensvizsgálat során, és hozzáadhatja azt a fenyegetésfelderítéshez. Megtekintheti a hozzáadott mutatókat a Naplókban és a Fenyegetésfelderítésben is, és használhatja őket a Microsoft Sentinel-munkaterületen.
Entitás hozzáadása a fenyegetésfelderítéshez
Az új incidens részleteinek oldala a vizsgálati grafikonon kívül egy másik módszert is kínál az entitások fenyegetésfelderítéshez való hozzáadására. Mindkét módszer alább látható.
- Az incidens részleteinek oldala
- Vizsgálati grafikon
A Microsoft Sentinel navigációs menüjében válassza az Incidensek lehetőséget.
Válasszon ki egy kivizsgálandó incidenst. Az incidens részletei panelen válassza a Teljes adatok megtekintése lehetőséget az incidens részletei lap megnyitásához.
Keresse meg az entitást a fenyegetésjelzőként hozzáadni kívánt Entitások widgetből. (A kereséshez szűrheti a listát, vagy megadhat egy keresési sztringet.)
Válassza ki az entitástól jobbra található három elemet, majd az előugró menüben válassza a Hozzáadás a TI-hez lehetőséget.
Fenyegetésjelzőként csak a következő típusú entitások vehetők fel:
- Tartománynév
- IP-cím (IPv4 és IPv6)
- URL-cím
- Fájl (kivonat)
A választott két felület közül bármelyiket választja, a következőt fogja végezni:
Ekkor megnyílik az Új jelzőoldali panel. A következő mezők automatikusan fel lesznek töltve:
Típus
- A hozzáadni kívánt entitás által képviselt mutató típusa.
Legördülő lista lehetséges értékekkel: ipv4-addr, ipv6-addr, URL, file, domain-name - Szükséges; automatikusan kitöltve az entitás típusa alapján.
- A hozzáadni kívánt entitás által képviselt mutató típusa.
Érték
- A mező neve dinamikusan változik a kijelölt mutatótípusra.
- A mutató értéke.
- Szükséges; automatikusan kitölti az entitás értéke.
Címkék
- A mutatóhoz felvehető szabadszöveges címkék.
- Választható; automatikusan kitölti az incidensazonosító. Felvehet másokat is.
Név
- A mutató neve – ez jelenik meg a mutatók listájában.
- Választható; automatikusan kitölti az incidens neve.
Készítette:
- A mutató létrehozója.
- Választható; automatikusan kitölti a Microsoft Sentinelbe bejelentkezett felhasználó.
Ennek megfelelően töltse ki a fennmaradó mezőket.
Fenyegetés típusa
- A jelző által képviselt fenyegetéstípus.
- Választható; szabad szöveg.
Leírás
- A mutató leírása.
- Választható; szabad szöveg.
Visszavont
- A mutató visszavont állapota. Jelölje be a jelölőnégyzetet a jelző visszavonásához, és törölje a jelölőnégyzet jelölését az aktívvá tétele érdekében.
- Választható; Logikai.
Bizalom
- Százalékban kifejezve az adatok helyességének megbízhatóságát tükröző pontszám.
- Választható; egész szám, 1-100
Öld meg a láncot
- A Lockheed Martin Cyber Kill Lánc fázisai, amelyekhez a mutató megfelel.
- Választható; szabad szöveg
Érvényesség:
- Az az idő, amelytől a mutató érvényesnek minősül.
- Szükséges; dátum/idő
Érvényesség:
- Az az időpont, amikor ez a mutató már nem tekinthető érvényesnek.
- Választható; dátum/idő
Ha az összes mezőt elégedetten tölti ki, válassza az Alkalmaz lehetőséget. Megjelenik egy megerősítést kérő üzenet a jobb felső sarokban, amely a mutató létrehozását jelzi.
Az entitás fenyegetésjelzőként lesz hozzáadva a munkaterületen. A jelölők listájában megtalálja a Fenyegetésintelligencia lapon, valamint a Naplók ThreatIntelligenceIndicators táblájában.
Kapcsolódó tartalom
Ebben a cikkben megtanulta, hogyan adhat hozzá entitásokat a fenyegetésjelzők listájához. További információkért lásd: