In dit artikel wordt beschreven hoe een cloudoplossing voor Security Information and Event Management (SIEM) zoals Azure Sentinel bedreigingsindicatoren kan gebruiken om context te detecteren, te bieden en antwoorden te geven op bestaande of potentiële cyberbedreigingen.
Cyber threat intelligence (CTI) kan afkomstig zijn uit veel bronnen, zoals opensource-gegevensfeeds, community's voor het delen van bedreigingsinformatie, betaalde informatiefeeds en beveiligingsonderzoeken binnen organisaties. CTI kan variëren van geschreven rapporten over de motivaties, infrastructuur en technieken van een bedreigingsactoren tot specifieke waarnemingen van IP-adressen, domeinen en bestandshashes. CTI biedt essentiële context voor ongebruikelijke activiteiten, zodat beveiligingspersoneel snel kan reageren om mensen en assets te beschermen.
De meest gebruikte CTI in SIEM-oplossingen, zoals Azure Sentinel, zijn bedreigingsindicatorgegevens, ook wel indicatoren van een compromis (IoCs) genoemd. Bedreigingsindicatoren koppelen URL's, bestandshashes, IP-adressen en andere gegevens aan bekende bedreigingsactiviteiten zoals phishing, botnets of malware. Deze vorm van bedreigingsinformatie wordt vaak tactische bedreigingsinformatie genoemd, omdat beveiligingsproducten en automatisering deze op grote schaal kunnen gebruiken om potentiële bedreigingen te beveiligen en te detecteren. Azure Sentinel kan helpen bij het detecteren, reageren op en bieden van CTI-context voor schadelijke cyberactiviteit.
Potentiële gebruikscases
- Verbinding maken op opensource-bedreigingsindicatorgegevens van openbare servers om bedreigingsactiviteiten te identificeren, te analyseren en hierop te reageren.
- Gebruik bestaande platformen voor bedreigingsinformatie of aangepaste oplossingen met de Microsoft Graph tiIndicators-API om verbinding te maken met en de toegang tot gegevens van bedreigingsindicatoren te controleren.
- Bied CTI-context en rapportage aan beveiligingsonderzoekers en belanghebbenden.
Architectuur
U kunt de volgende Azure Sentinel:
- Import threat indicators from Structured Threat Information Expression (STIX) and Trusted Automated Exchange of Intelligence Information (TAXII) servers, or from any threat intelligence platform (TIP)-oplossing
- Bedreigingsindicatorgegevens weergeven en er query's op uitvoeren
- Analyseregels maken om beveiligingswaarschuwingen, incidenten en geautomatiseerde reacties op CTI-gegevens te genereren
- Belangrijke CTI-informatie visualiseren in werkmappen
Connectors voor bedreigingsindicatorgegevens
Azure Sentinel importeert bedreigingsindicatoren, net als alle andere gebeurtenisgegevens, met behulp van gegevensconnectoren. De twee Azure Sentinel gegevensconnectoren voor bedreigingsindicatoren zijn Bedreigingsinformatie: TAXII en Threat Intelligence Platforms. U kunt ofwel of beide gegevensconnectoren gebruiken, afhankelijk van waar uw organisatie de bedreigingsindicatorgegevens op haalt. Schakel de gegevensconnectoren in elke werkruimte in die u wilt ontvangen.
Bedreigingsinformatie - TAXII-gegevensconnector
De meest gebruikte industriestandaard voor CTI-verzending is de STIX-gegevensindeling en het TAXII-protocol. Organisaties die bedreigingsindicatoren van de huidige STIX/TAXII-versie 2.x-oplossingen krijgen, kunnen de connector Bedreigingsinformatie – TAXII-gegevens gebruiken om hun bedreigingsindicatoren te importeren in Azure Sentinel. De ingebouwde Azure Sentinel TAXII-client importeert bedreigingsinformatie van TAXII 2.x-servers.
Zie Bedreigingsindicatoren importeren met de TAXII-gegevensconnector voor gedetailleerde instructies voor het importeren van STIX-/TAXII-bedreigingsindicatorgegevensin Azure Sentinel.
Gegevensconnector Threat Intelligence Platforms
Veel organisaties gebruiken TIP-oplossingen zoals MISP, Anomali ThreatStream, ThreatConnect of Palo Alto Networks MineMeld om feeds voor bedreigingsindicatoren van verschillende bronnen te aggregeren. Organisaties gebruiken de TIP om de gegevens te cureren en vervolgens te kiezen welke bedreigingsindicatoren moeten worden toegepast op verschillende beveiligingsoplossingen, zoals netwerkapparaten, geavanceerde oplossingen voor beveiliging tegen bedreigingen of SIEM's zoals Azure Sentinel. Met de gegevensconnector Threat Intelligence Platforms kunnen organisaties hun geïntegreerde TIP-oplossing gebruiken met Azure Sentinel.
De gegevensconnector Threat Intelligence Platforms maakt gebruik van de Microsoft Graph Security tiIndicators API. Elke organisatie die een aangepaste TIP heeft, kan deze gegevensconnector gebruiken om de tiIndicators-API te gebruiken en indicatoren te verzenden naar Azure Sentinel en andere Microsoft-beveiligingsoplossingen, zoals Defender ATP.
Zie Import threat indicators with the Platforms data connector (Bedreigingsindicatoren importeren met de platformgegevensconnector)voor gedetailleerde instructies voor het importeren van TIP-gegevens in Azure Sentinel.
Bedreigingsindicatorlogboeken
Nadat u bedreigingsindicatoren hebt geïmporteerd in Azure Sentinel met behulp van de gegevensconnectoren Threat Intelligence – TAXII of Threat Intelligence Platforms, kunt u de geïmporteerde gegevens bekijken in de tabel ThreatIntelligenceIndicator in Logboeken, waar alle Azure Sentinel-gebeurtenisgegevens worden opgeslagen. Azure Sentinel functies zoals Analytics en Workbooks maken ook gebruik van deze tabel.
De bedreigingsindicatoren weergeven:
Zoek en Azure Portalin de Azure Sentinel .
Selecteer de werkruimte waarin u bedreigingsindicatoren hebt geïmporteerd.
Selecteer logboeken in het linkernavigatievenster.
Zoek en selecteer op het tabblad Tabellen de tabel ThreatIntelligenceIndicator.
Selecteer het pictogram Voorbeeld van gegevensvoorbeeldgegevens naast de tabelnaam om
tabelgegevens te bekijken.Selecteer See in query editor en selecteer vervolgens de vervolgkeuzepijl links van een van de resultaten om informatie weer te geven, zoals in het volgende voorbeeld:
Azure Sentinel Analytics
Het belangrijkste gebruik voor bedreigingsindicatoren in SIEM-oplossingen is power analytics die overeenkomen met gebeurtenissen met bedreigingsindicatoren om beveiligingswaarschuwingen, incidenten en geautomatiseerde reacties te produceren. Azure Sentinel Analytics maakt analyseregels die volgens planning worden getriggerd om waarschuwingen te genereren. U drukt regelparameters uit als query's en configureert hoe vaak de regel wordt uitgevoerd, welke queryresultaten beveiligingswaarschuwingen en incidenten genereren en geautomatiseerde reacties op de waarschuwingen.
U kunt nieuwe analyseregels maken of een set ingebouwde Azure Sentinel-regelsjablonen maken die u kunt gebruiken zoals ze zijn of die u kunt aanpassen aan uw behoeften. De analyseregelsjablonen die overeenkomen met bedreigingsindicatoren met gebeurtenisgegevens, hebben allemaal de titel te beginnen met TI-kaart en werken allemaal op dezelfde manier. De verschillen zijn welk type bedreigingsindicator moet worden gebruikt: domein, e-mail, bestandshash, IP-adres of URL, en op welke gebeurtenistypen moet worden afgestemd. Elke sjabloon bevat de vereiste gegevensbronnen om de regel te laten functioneren, zodat u in één oogopslag kunt zien of u de benodigde gebeurtenissen al hebt geïmporteerd in Azure Sentinel.
Zie Een analyseregel maken op basis van een sjabloon voor gedetailleerde instructies voor het maken van een analyseregel op basis van een sjabloon.
In Azure Sentinel zijn ingeschakelde analyseregels op het tabblad Actieve regels van de sectie Analyse. U kunt actieve regels bewerken, inschakelen, uitschakelen, dupliceren of verwijderen.
Gegenereerde beveiligingswaarschuwingen staan in de tabel SecurityAlert in de sectie Logboeken van Azure Sentinel. De beveiligingswaarschuwingen genereren ook beveiligingsincidenten, die zich in de sectie Incidenten voordoen. Beveiligingsteams kunnen de incidenten opswijzen en onderzoeken om de juiste reacties te bepalen. Zie Zelfstudie: Incidenten onderzoeken met Azure Sentinel.
U kunt ook automatisering aanwijzen om te activeren wanneer de regels beveiligingswaarschuwingen genereren. Automatisering in Azure Sentinel maakt gebruik van Playbooks, powered by Azure Logic Apps. Zie Zelfstudie: Automatische bedreigingsreactiesinstellen in Azure Sentinel.
Azure Sentinel Threat Intelligence-werkmap
Werkmappen bieden krachtige interactieve dashboards die u inzicht geven in alle aspecten van Azure Sentinel. U kunt een werkmap Azure Sentinel om belangrijke CTI-informatie te visualiseren. De meegeleverde sjablonen bieden een uitgangspunt en u kunt de sjablonen eenvoudig aanpassen aan uw bedrijfsbehoeften, nieuwe dashboards maken waarin veel verschillende gegevensbronnen worden gecombineerd en uw gegevens op unieke manieren visualiseren. Azure Sentinel werkmappen zijn gebaseerd op Azure Monitor werkmappen,zodat uitgebreide documentatie en sjablonen beschikbaar zijn.
Zie De werkmap bedreigingsinformatie weergeven en bewerken Azure Sentinel gedetailleerde instructies voor het weergeven en bewerken van de werkmap voor bedreigingsinformatie.
Overwegingen
De Azure Sentinel threat intelligence-gegevensconnectoren zijn momenteel beschikbaar als openbare preview. Bepaalde functies worden mogelijk niet ondersteund of hebben beperkte mogelijkheden.
Azure Sentinel maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om ingebouwde rollen Inzender, Lezer en Responder toe te wijzen aan gebruikers, groepen en Azure-services. Deze kunnen communiceren met Azure-rollen (Eigenaar, Inzender, Lezer) en Log Analytics-rollen (Log Analytics-lezer, Log Analytics-inzender). U kunt aangepaste rollen maken en geavanceerde Azure RBAC gebruiken voor de gegevens die u in uw Azure Sentinel. Zie Machtigingen inAzure Sentinel.
Azure Sentinel is de eerste 31 dagen gratis op elke Azure Monitor Log Analytics-werkruimte. Daarna kunt u de modellen Betalen per gebruik of Capaciteitsreserveringen gebruiken voor de gegevens die u opeengenomen en opgeslagen. Zie prijzen Azure Sentinel voor meer informatie.
Alternatieven
Bedreigingsindicatoren bieden nuttige context in Azure Sentinel's zoals Hunting en Notebooks. Zie Jupyter Notebooks in Sentinel voor meer informatie over het gebruik van CTI in Notebooks.
Elke organisatie die een aangepaste TIP heeft, kan de Microsoft Graph Security tiIndicators API gebruiken om bedreigingsindicatoren te verzenden naar andere Microsoft-beveiligingsoplossingen, zoals Defender ATP.
Azure Sentinel biedt veel andere ingebouwde gegevensconnectoren voor Microsoft-oplossingen zoals Microsoft Threat Protection, Microsoft 365 bronnen en Microsoft Cloud App Security. Er zijn ook ingebouwde connectors voor het bredere beveiligingsecosysteem voor niet-Microsoft-oplossingen. U kunt ook common event format, Syslog of REST API om uw gegevensbronnen te verbinden met Azure Sentinel. Zie gegevensbronnen Verbinding maken meer informatie.
Implementatie
De volgende secties bieden gedetailleerde stappen voor het volgende:
- Schakel de gegevensconnectoren Threat Intelligence – TAXII en Threat Intelligence Platforms in.
- Maak een voorbeeld van Azure Sentinel Analytics-regel voor het genereren van beveiligingswaarschuwingen en incidenten op basis van CTI-gegevens.
- Bekijk en bewerk de werkmap Azure Sentinel Bedreigingsinformatie.
Bedreigingsindicatoren importeren met de TAXII-gegevensconnector
TAXII 2.x-servers adverteren API-roots. Dit zijn URL's die bedreigingsinformatieverzamelingen hosten. Als u al bekend bent met de API-hoofd- en verzamelings-id van de TAXII-server waarmee u wilt werken, kunt u direct doorgaan en de TAXII-connector inschakelen in Azure Sentinel.
Als u niet over de API-hoofdmap hebt, kunt u deze meestal verkrijgen via de documentatiepagina van de threat intelligence-provider, maar soms is de enige beschikbare informatie de URL van het detectie-eindpunt. U vindt de API-hoofdmap met behulp van het detectie-eindpunt. In het volgende voorbeeld wordt het detectie-eindpunt van de Anomali ThreatStream TAXII 2.0-server gebruikt.
Navigeer in een browser en meld u aan bij het ThreatStream TAXII 2.0-serverdetectie-eindpunt, , met behulp van de gast met gebruikersnaam https://limo.anomali.com/taxii en wachtwoord . Nadat u zich hebt aanmelden, ziet u de volgende informatie:
{ "api_roots": [ "https://limo.anomali.com/api/v1/taxii2/feeds/", "https://limo.anomali.com/api/v1/taxii2/trusted_circles/", "https://limo.anomali.com/api/v1/taxii2/search_filters/" ], "contact": "info@anomali.com", "default": "https://limo.anomali.com/api/v1/taxii2/feeds/", "description": "TAXII 2.0 Server (guest)", "title": "ThreatStream Taxii 2.0 Server" }Als u door verzamelingen wilt bladeren, voert u in uw browser de API-hoofdmap in die u in de vorige stap hebt aangeroepen: https://limo.anomali.com/api/v1/taxii2/feeds/collections/ . U ziet informatie zoals:
{ "collections": [ { "can_read": true, "can_write": false, "description": "", "id": "107", "title": "Phish Tank" }, ... { "can_read": true, "can_write": false, "description": "", "id": "41", "title": "CyberCrime" } ] }
U hebt nu de informatie die u nodig hebt om verbinding te Azure Sentinel met een of meer TAXII-serververzamelingen die worden geleverd door Anomali Hebt. Bijvoorbeeld:
| API-hoofdmap | Verzamelings-id |
|---|---|
| PhishTank | 107 |
| Cybercriminaliteit | 41 |
De connector Bedreigingsinformatie – TAXII-gegevens inschakelen in Azure Sentinel:
Zoek en Azure Portalin de Azure Sentinel .
Selecteer de werkruimte waarin u bedreigingsindicatoren uit de TAXII-service wilt importeren.
Selecteer Gegevensconnectoren in het linkernavigatievenster, zoek bedreigingsinformatie – TAXII (preview) en selecteer Connectorpagina openen.
Voer op de pagina Configuratie een gebruiksvriendelijke naam (voor server) in, zoals de titel van de verzameling, de API-basis-URL en verzamelings-id die u wilt importeren, en gebruikersnaam en wachtwoord, indien nodig, en selecteer vervolgens Toevoegen.
U ziet uw verbinding onder Lijst met geconfigureerde TAXII 2.0-servers. Herhaal de configuratie voor elke verzameling die u wilt verbinden vanaf dezelfde of verschillende TAXII-servers.
Bedreigingsindicatoren importeren met de platformgegevensconnector
De tiIndicators-API heeft de toepassings-id (client)-id, map-id (tenant-id) en het clientgeheim van uw TIP of aangepaste oplossing nodig om verbinding te maken en bedreigingsindicatoren te verzenden naar Azure Sentinel. U krijgt deze informatie door de TIP- of oplossings-app te registreren in Azure Active Directory (Azure AD) en de benodigde machtigingen te verlenen.
Registreer eerst de app in Azure AD:
Zoek en Azure Portalin de App-registraties en selecteer vervolgens Nieuwe registratie.
Voer op de pagina Een toepassing registreren een naam in voor de app-registratie van uw TIP of aangepaste oplossing, selecteer Alleen accounts in deze organisatiemap en selecteer vervolgens Registreren.
Nadat de registratie is geslaagd, kopieert u de waarden voor Toepassings-id (client)-id en Map-id (tenant)op de pagina Overzicht van uw geregistreerde app en sla deze op.
Verleen vervolgens machtigingen voor de TIP of aangepaste oplossing om verbinding te maken met de Microsoft Graph tiIndicators-API en bedreigingsindicatoren te verzenden. Een globale beheerder van Azure AD moet ook toestemming verlenen aan de app voor uw organisatie.
Selecteer API-machtigingen in het linkernavigatievenster van uw geregistreerde TIP- of aangepaste oplossings-app en selecteer vervolgens Een machtiging toevoegen.
Selecteer op de pagina API-machtigingen aanvragen de optie Microsoft Graph en selecteer vervolgens Toepassingsmachtigingen.
Zoek en selecteer ThreatIndicators.ReadWrite.OwnedBy en selecteer vervolgens Machtigingen toevoegen.
Selecteer Beheerders toestemming <your tenant> verlenen voor op de pagina API-machtigingen van de app om toestemming te verlenen voor uw organisatie. Als u niet de rol Globale beheerder voor uw account hebt, is deze knop uitgeschakeld. Vraag een globale beheerder van uw organisatie om deze stap uit te voeren. Zodra toestemming is verleend aan uw app, ziet u een groen vinkje onder Status.
Nadat de machtigingen en toestemming zijn verleend, selecteert u Certificaten & geheimen in de linkernavigatiebalk van uw app en selecteert u Nieuw clientgeheim.
Selecteer Toevoegen om een geheime API-sleutel voor uw app op te halen.
Zorg ervoor dat u het clientgeheim nu kopieert en op slaan, omdat u het geheim niet meer kunt ophalen wanneer u weg navigeert van deze pagina.
Voer in uw geïntegreerde TIP of aangepaste oplossing de waarden Toepassings-id (client), Map-id (tenant) en clientgeheim in die u hebt opgeslagen. Stel Azure Sentinel in als het doel en stel een actie in voor elke indicator. Waarschuwing is de meest relevante actie voor de meeste Azure Sentinel gebruikt. De Microsoft Graph tiIndicators-API verzendt nu bedreigingsindicatoren naar Azure Sentinel, die beschikbaar zijn voor alle Azure Sentinel werkruimten in uw organisatie.
Schakel ten slotte de Azure Sentinel Threat Intelligence Platforms-gegevensconnector in om de bedreigingsindicatoren te importeren die uw TIP of aangepaste oplossing verzendt via de Microsoft Graph tiIndicators-API:
- Zoek en Azure Portalin de Azure Sentinel .
- Selecteer de werkruimte waarin u de bedreigingsindicatoren uit uw TIP of aangepaste oplossing wilt importeren.
- Selecteer Gegevensconnectoren in de linkernavigatiebalk, zoek bedreigingsinformatieplatforms (preview) en selecteer Connectorpagina openen.
- Omdat u de registratie- en configuratiestappen al hebt voltooid, selecteert u Verbinding maken.
Binnen een paar minuten wordt uw TIP- of aangepaste oplossingsbedreigingsindicator naar de Azure Sentinel gaan.
Een analytics-regel maken op basis van een sjabloon
In dit voorbeeld wordt de regelsjabloon MET de naam TI-map-IP-entiteit gebruikt voor AzureActivity, waarmee bedreigingsindicatoren van het type IP-adres worden vergeleken met al uw IP-adresgebeurtenissen voor Azure-activiteiten. Elke overeenkomst genereert een beveiligingswaarschuwing en een bijbehorend incident voor onderzoek door uw beveiligingsteam.
In het voorbeeld wordt ervan uitgenomen dat u een of beide connectors voor bedreigingsinformatie hebt gebruikt om bedreigingsindicatoren te importeren, en de Azure Activity Data Connector om gebeurtenissen op Azure-abonnementsniveau te importeren. U hebt beide gegevenstypen nodig om deze analyseregel te kunnen gebruiken.
Zoek en Azure Portalin de Azure Sentinel .
Selecteer de werkruimte waarin u bedreigingsindicatoren hebt geïmporteerd met een van beide connectors voor bedreigingsinformatie.
Selecteer Analytics in het linkernavigatievenster.
Zoek en selecteer op het tabblad Regelsjablonen de regel (preview) TI-entiteit voor het wijs-IP-adres aan AzureActivity en selecteer vervolgens Regel maken.
Zorg er op de eerste pagina Analyseregelwizard - Nieuwe regel maken op basis van sjabloon voor dat de status van de regel is ingesteld op Ingeschakeld en wijzig de naam of beschrijving van de regel als u dat wilt. Selecteer Volgende: Regellogica instellen.
De regellogicapagina bevat de query voor de regel, entiteiten die moeten worden toe te geven, regels plannen en het aantal queryresultaten dat een beveiligingswaarschuwing genereert. De sjablooninstellingen worden eenmaal per uur uitgevoerd, identificeren IP-adres-IoC's die overeenkomen met IP-adressen van Azure-gebeurtenissen en genereren beveiligingswaarschuwingen voor alle overeenkomsten. U kunt deze instellingen behouden of een van deze wijzigen om aan uw behoeften te voldoen. Wanneer u klaar bent, selecteert u Volgende: Incidentinstellingen (preview).
Zorg ervoor dat onder Incidentinstellingen (preview) incidenten maken op basis van waarschuwingen die worden geactiveerd door deze analyseregel is ingesteld op Ingeschakeld en selecteer Volgende: Geautomatiseerd antwoord.
Met deze stap kunt u automatisering configureren om te activeren wanneer de regel een beveiligingswaarschuwing genereert. Automatisering in Azure Sentinel maakt gebruik van Playbooks, powered by Azure Logic Apps. Zie Zelfstudie: Automatische bedreigingsreacties instellen inAzure Sentinel. Voor dit voorbeeld selecteert u Volgende: Controleren en nadat u de instellingen hebt beoordeeld, selecteert u Maken.
De regel wordt onmiddellijk geactiveerd wanneer deze wordt gemaakt en wordt vervolgens volgens de normale planning geactiveerd.
De werkmap bedreigingsinformatie weergeven en bewerken
Zoek en Azure Portalin de Azure Sentinel .
Selecteer de werkruimte waarin u bedreigingsindicatoren hebt geïmporteerd met een van beide connectors voor bedreigingsinformatie.
Selecteer Workbooks in het linkernavigatievenster.
Zoek en selecteer de werkmap bedreigingsinformatie.
Zorg ervoor dat u de benodigde gegevens en verbindingen hebt zoals wordt weergegeven en selecteer vervolgens Opslaan.
Selecteer een locatie in het pop-upvenster en selecteer vervolgens OK. Met deze stap slaat u de werkmap op, zodat u deze kunt wijzigen en uw wijzigingen kunt opslaan.
Selecteer Opgeslagen werkmap weergeven om de werkmap te openen en de standaardgrafieken te bekijken die de sjabloon biedt.
Als u de werkmap wilt bewerken, selecteert u Bewerken op de werkbalk boven aan de pagina. U kunt Bewerken naast een grafiek selecteren om de query en instellingen voor die grafiek te bewerken.
Een nieuwe grafiek toevoegen met bedreigingsindicatoren per bedreigingstype:
Selecteer Bewerken bovenaan de pagina, schuif naar de onderkant van de pagina en selecteer Toevoegen en selecteer vervolgens Query toevoegen.
Voer onder Logboekenquery van Log Analytics-werkruimte de volgende query in:
ThreatIntelligenceIndicator | summarize count() by ThreatTypeSelecteer Staafdiagram in de vervolgkeuzelijst Visualisatie en selecteer vervolgens Klaar met bewerken.
Selecteer bovenaan de pagina Klaar met bewerken en selecteer vervolgens het pictogram Opslaan om uw nieuwe grafiek en werkmap op te slaan.
Volgende stappen
Ga Azure Sentinel op GitHub om bijdragen van zowel de grote community als microsoft te bekijken. Hier vindt u nieuwe ideeën, sjablonen en gesprekken over alle functiegebieden van Azure Sentinel.
Azure Sentinel werkmappen zijn gebaseerd op Azure Monitor werkmappen, zodat uitgebreide documentatie en sjablonen beschikbaar zijn. Een goede plek om te beginnen is Interactieve rapporten maken met Azure Monitor werkmappen. Er is een uitgebreide community van Azure Monitor-werkmapgebruikers op GitHub,waar u aanvullende sjablonen kunt downloaden en uw eigen sjablonen kunt bijdragen.