Fenyegetésjelzők használata a Microsoft Sentinelben

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A fenyegetésfelderítés (TI) integrálása a Microsoft Sentinelbe a következő tevékenységeken keresztül:

• A fenyegetésintelligencia importálása a Microsoft Sentinelbe az adatösszekötők különböző TI-platformokon és -csatornákon való engedélyezésével.

• Az importált fenyegetésintelligencia megtekintése és kezelése a Naplókbanés a Microsoft Sentinel Fenyegetésfelderítés lapján.

• Észlelheti a fenyegetéseket, és biztonsági riasztásokat és incidenseket hozhat létre az importált fenyegetésintelligencia-alapú beépített Analytics-szabálysablonokkal .

• Az importált fenyegetésintelligencia legfontosabb információinak megjelenítése a Microsoft Sentinelben a Fenyegetésfelderítés munkafüzettel.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Fenyegetésjelzők megtekintése a Microsoft Sentinelben

A jelzők megkeresése és megtekintése a Fenyegetésintelligencia lapon

Ez az eljárás azt ismerteti, hogyan tekintheti meg és kezelheti a jelzőket a Fenyegetésfelderítés lapon, amely a Microsoft Sentinel főmenüjéből érhető el. A Fenyegetésintelligencia lapon Log Analytics-lekérdezés írása nélkül rendezheti, szűrheti és keresheti az importált fenyegetésjelzőket.

A fenyegetésintelligencia-jelzők megtekintése a Fenyegetésintelligencia lapon:

1. Az Azure Portalon a Microsoft Sentinel esetében válassza a Fenyegetéskezelés területen a Fenyegetésintelligencia lehetőséget.
   A Microsoft Sentinel számára a Defender portálon válassza a Microsoft Sentinel>fenyegetéskezelési>fenyegetésfelderítést.

2. A rácson válassza ki azt a mutatót, amelynek további részleteket szeretne megtekinteni. A mutató részletei a jobb oldalon jelennek meg, és olyan információkat jelenít meg, mint a megbízhatósági szintek, címkék, fenyegetéstípusok stb.

3. A Microsoft Sentinel csak a kijelzők legújabb verzióját jeleníti meg ebben a nézetben. A jelzők frissítéséről további információt a fenyegetésintelligencia ismertetése című témakörben talál.

4. Az IP- és tartománynévmutatók további GeoLocation- és WhoIs-adatokkal bővülnek, így több kontextust biztosítanak a kiválasztott mutatót tartalmazó vizsgálatokhoz.

Példa:

Azure Portalra

Defender portál

Fontos

A GeoLocation és a WhoIs bővítés jelenleg előzetes verzióban érhető el. Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A jelzők megkeresése és megtekintése a Naplókban

Ez az eljárás azt ismerteti, hogyan tekintheti meg az importált fenyegetésjelzőket a Microsoft Sentinel-naplók területén, a Microsoft Sentinel egyéb eseményadataival együtt, függetlenül a forráscsatornától vagy a használt összekötőtől.

Az importált fenyegetésjelzők a Microsoft Sentinel > ThreatIntelligenceIndicator táblában jelennek meg, amely a Microsoft Sentinel más részein, például az Elemzésekbenvagy munkafüzetekben futtatott fenyegetésfelderítési lekérdezések alapja.

A fenyegetésintelligencia-mutatók megtekintése a naplókban:

1. Az Azure PortalOn a Microsoft Sentinel esetében az Általános területen válassza a Naplók lehetőséget.
   A Microsoft Sentinel esetében a Defender portálon válassza a Vizsgálat > válaszkeresés>>speciális vadászat lehetőséget.

2. A ThreatIntelligenceIndicator tábla a Microsoft Sentinel csoport alatt található.

3. Válassza az Adatok előnézete ikont (a szem) a tábla neve mellett, majd a See in query editor (Lásd a lekérdezésszerkesztőben ) gombra kattintva futtathat egy lekérdezést, amely a tábla rekordjait jeleníti meg.

   Az eredményeknek a képernyőképen látható veszélyforrás-mintamutatóhoz hasonlóan kell kinéznie:

   

Jelzők létrehozása és címkézése

A Fenyegetésintelligencia lapon közvetlenül a Microsoft Sentinel felületén hozhat létre fenyegetésjelzőket, és két leggyakoribb fenyegetésfelderítési felügyeleti feladatot hajthat végre: jelzők címkézését és a biztonsági vizsgálatokkal kapcsolatos új mutatók létrehozását.

Új mutató létrehozása

1. Az Azure Portalon a Microsoft Sentinel esetében válassza a Fenyegetéskezelés területen a Fenyegetésintelligencia lehetőséget.
   A Microsoft Sentinel számára a Defender portálon válassza a Microsoft Sentinel>fenyegetéskezelési>fenyegetésfelderítést.

2. Válassza az Új hozzáadása gombot a lap tetején található menüsávon.

   

3. Válassza ki a mutató típusát, majd töltse ki az űrlapot az Új mutató panelen. A szükséges mezők piros csillaggal (*) vannak megjelölve.

4. Válassza az Alkalmazás lehetőséget. A mutató hozzáadódik a mutatók listájához, és a Naplók ThreatIntelligenceIndicator táblájába is elküldi.

Fenyegetésjelzők címkézése és szerkesztése

A fenyegetésjelzők címkézésével egyszerűen csoportosíthatja őket, hogy könnyebben megtalálják őket. Jellemzően egy címkét alkalmazhat egy adott incidenshez kapcsolódó jelzőkre, vagy azokra, amelyek egy adott ismert szereplő vagy jól ismert támadási kampány fenyegetéseit képviselik. Címkézze fel egyenként a fenyegetésjelzőket, vagy jelöljön ki több választójelet, és egyszerre címkézze meg őket. Az alábbiakban látható egy példa arra, hogy több mutatót címkéznek meg incidensazonosítóval. Mivel a címkézés ingyenes, ajánlott általános elnevezési konvenciók létrehozása a fenyegetésjelző címkékhez. A jelzők több címke alkalmazását teszik lehetővé.

A Microsoft Sentinel lehetővé teszi a mutatók szerkesztését is, akár közvetlenül a Microsoft Sentinelben lettek létrehozva, akár partnerforrásokból, például TIP- és TAXII-kiszolgálókról származnak. A Microsoft Sentinelben létrehozott mutatók esetében minden mező szerkeszthető. A partnerforrásokból származó mutatók esetében csak bizonyos mezők szerkeszthetők, beleértve a címkéket, a lejárati dátumot, a megbízhatóságot és a visszavont mezőket. Akárhogy is, ne feledje, hogy csak a jelző legújabb verziója jelenik meg a Fenyegetésintelligencia lap nézetben. A jelzők frissítéséről további információt a fenyegetésintelligencia ismertetése című témakörben talál.

A munkafüzetek betekintést nyújtanak a fenyegetésfelderítésbe

A célként létrehozott Microsoft Sentinel-munkafüzettel megjelenítheti a fenyegetésintelligencia legfontosabb információit a Microsoft Sentinelben, és üzleti igényeinek megfelelően testre szabhatja a munkafüzetet.

Az alábbiakban megtalálhatja a Microsoft Sentinel fenyegetésfelderítési munkafüzetét, valamint egy példát arra, hogyan módosíthatja a munkafüzetet a testreszabásához.

1. Az Azure Portalon lépjen a Microsoft Sentinel szolgáltatáshoz.

2. Válassza ki azt a munkaterületet , ahová a fenyegetésjelzőket importálta a fenyegetésintelligencia-adatösszekötő használatával.

3. A Microsoft Sentinel menü Fenyegetéskezelés szakaszában válassza a Munkafüzeteklehetőséget.

4. Keresse meg a Fenyegetésfelderítés című munkafüzetet, és ellenőrizze, hogy rendelkezik-e adatokkal a ThreatIntelligenceIndicator táblában az alább látható módon.

   

5. Válassza a Mentés gombot, és válasszon egy Azure-helyet a munkafüzet tárolásához. Erre a lépésre akkor van szükség, ha bármilyen módon módosítani szeretné a munkafüzetet, és menti a módosításokat.

6. Most válassza a Mentett munkafüzet megtekintése gombot a munkafüzet megtekintéséhez és szerkesztéséhez.

7. Most már látnia kell a sablon által biztosított alapértelmezett diagramokat. Diagram módosításához kattintson a lap tetején található Szerkesztés gombra a munkafüzet szerkesztési módjának megadásához.

8. Adjon hozzá egy új fenyegetésmutató-diagramot fenyegetéstípus szerint. Görgessen a lap aljára, és válassza a Lekérdezés hozzáadása lehetőséget.

9. Adja hozzá a következő szöveget a Log Analytics-munkaterület Napló lekérdezése szövegmezőhöz:

   ThreatIntelligenceIndicator
   | summarize count() by ThreatType
   

10. A Vizualizáció legördülő listában válassza a Sávdiagram lehetőséget.

11. Válassza a Kész szerkesztés gombot. Létrehozott egy új diagramot a munkafüzethez.

    

A munkafüzetek hatékony interaktív irányítópultokat biztosítanak, amelyek betekintést nyújtanak a Microsoft Sentinel minden aspektusába. A munkafüzetekkel sok mindent elvégezhet, és bár a megadott sablonok nagyszerű kiindulópontot jelentenek, érdemes lehet ezeket a sablonokat bevetni és testre szabni, vagy új irányítópultokat létrehozni, amelyek számos különböző adatforrást kombinálnak, hogy egyedi módon jelenítsék meg az adatokat. Mivel a Microsoft Sentinel-munkafüzetek Azure Monitor-munkafüzeteken alapulnak, már széles körű dokumentáció és sok más sablon áll rendelkezésre. Nagyszerű kiindulópont ez a cikk, amely azt ismerteti, hogyan hozhat létre interaktív jelentéseket Azure Monitor-munkafüzetekkel.

Az Azure Monitor-munkafüzetek gazdag közössége is megtalálható a GitHubon , hogy további sablonokat töltsön le, és saját sablonokat adjon hozzá.

Kapcsolódó tartalom

Ebben a cikkben megismerhette a fenyegetésintelligencia-mutatókkal való munka minden módját a Microsoft Sentinelben. A Microsoft Sentinel fenyegetésfelderítésével kapcsolatos további információkért tekintse meg a következő cikkeket:

• A Fenyegetésfelderítés ismertetése a Microsoft Sentinelben.
• Csatlakozás Microsoft Sentinel STIX/TAXII fenyegetésintelligencia-hírcsatornák.
• Nézze meg, hogy mely TIP-k, TAXII-csatornák és -gazdagítások integrálhatók könnyen a Microsoft Sentinellel.