Разведка киберугроз с Azure SentinelCyber threat intelligence with Azure Sentinel

В этой статье описывается, как облачное решение по Azure Sentinel информации безопасности и управлению событиями (SIEM) может использовать индикаторы угроз для обнаружения, предоставления контекста и информирования ответов на существующие или потенциальные киберугрозы.This article describes how a cloud-based Security Information and Event Management (SIEM) solution like Azure Sentinel can use threat indicators to detect, provide context, and inform responses to existing or potential cyber threats.

Информация о киберугрозах (CTI) может поступать из многих источников, таких как каналы данных с открытым исходным кодом, сообщества по обмену разведданными об угрозах, платные каналы разведки и расследования в области безопасности в организациях.Cyber threat intelligence (CTI) can come from many sources, such as open-source data feeds, threat intelligence sharing communities, paid intelligence feeds, and security investigations within organizations. CTI может варьироваться от письменных отчетов о мотивации, инфраструктуре и методах субъекта угрозы до конкретных наблюдений IP-адресов, доменов и хэшов файлов.CTI can range from written reports on a threat actor's motivations, infrastructure, and techniques, to specific observations of IP addresses, domains, and file hashes. CTI обеспечивает необходимый контекст для необычной деятельности, поэтому сотрудники службы безопасности могут действовать быстро, чтобы защитить людей и активы.CTI provides essential context for unusual activity, so security personnel can act quickly to protect people and assets.

Наиболее часто используемыми решениями CTI, такими как Azure Sentinel, являются данные индикатора угроз, которые иногда называютиндикаторами компромисса (IoCs).The most utilized CTI in SIEM solutions like Azure Sentinel is threat indicator data, sometimes called Indicators of Compromise (IoCs). Индикаторы угроз связывают URL-адреса, хэши файлов, IP-адреса и другие данные с известной активностью угроз, такие как фишинг, бот-сети или вредоносные программы.Threat indicators associate URLs, file hashes, IP addresses, and other data with known threat activity like phishing, botnets, or malware. Эту форму разведки угроз часто называют тактической разведкой угроз, потому что продукты безопасности и автоматизация могут использовать ее в больших масштабах для защиты и обнаружения потенциальных угроз.This form of threat intelligence is often called tactical threat intelligence, because security products and automation can use it in large scale to protect and detect potential threats. Azure Sentinel может помочь обнаружить, реагировать и предоставлять контекст CTI для вредоносной киберактивности.Azure Sentinel can help detect, respond to, and provide CTI context for malicious cyber activity.

Потенциальные варианты использованияPotential use cases

  • Подключение к данным индикатора угроз с открытым исходным кодом с общедоступных серверов для идентификации, анализа и реагирования на действия угроз.Connect to open-source threat indicator data from public servers to identify, analyze, and respond to threat activity.
  • Для подключения и контроля доступа к данным индикаторов угроз и контроля с помощью пользовательских решений с помощью API Microsoft Graph tiIndicators и управления ими.Use existing threat intelligence platforms or custom solutions with the Microsoft Graph tiIndicators API to connect and control access to threat indicator data.
  • Предоставьте контекст CTI и отчетность для следователей по вопросам безопасности и заинтересованных сторон.Provide CTI context and reporting for security investigators and stakeholders.

ArchitectureArchitecture

Поток данных Azure Sentinel

Вы можете использовать Azure Sentinel для:You can use Azure Sentinel to:

Разъемы данных индикатора угрозыThreat indicator data connectors

Azure Sentinel импортирует индикаторы угроз, как и все другие данные событий, используя разъемы данных.Azure Sentinel imports threat indicators, just like all other event data, by using data connectors. Два разъема данных Azure Sentinel для индикаторов угроз — платформы Threat Intelligence — TAXII и Threat Intelligence Platforms.The two Azure Sentinel data connectors for threat indicators are Threat Intelligence – TAXII and Threat Intelligence Platforms. Вы можете использовать либо или оба разъема данных, в зависимости от того, где ваша организация получает данные индикатора угроз.You can use either or both data connectors, depending on where your organization gets its threat indicator data. Включите разъемы данных в каждом рабочем пространстве, которое требуется для получения данных.Enable the data connectors in each workspace that you want to receive the data.

Угроза разведки - TAXII разъем данныхThreat Intelligence – TAXII data connector

Наиболее широко распространенным отраслевым стандартом для передачи CTI является формат данных STIX и протокол TAXII.The most widely adopted industry standard for CTI transmission is the STIX data format and TAXII protocol. Организации, которые получают индикаторы угроз из текущей версии 2.x STIX/TAXII, могут использовать разъем данных Threat Intelligence - TAXII для импорта индикаторов угроз в Azure Sentinel.Organizations that get threat indicators from current STIX/TAXII version 2.x solutions can use the Threat Intelligence – TAXII data connector to import their threat indicators into Azure Sentinel. Встроенный клиент Azure Sentinel TAXII импортирует информацию об угрозах с серверов TAXII 2.x.The built-in Azure Sentinel TAXII client imports threat intelligence from TAXII 2.x servers.

Подробные инструкции по импорту данных индикатора угроз STIX/TAXII в Azure Sentinel можно узнать с помощью разъема данных TAXII.For detailed instructions for importing STIX/TAXII threat indicator data into Azure Sentinel, see Import threat indicators with the TAXII data connector.

Разъем данных платформ «Угроза разведки»Threat Intelligence Platforms data connector

Многие организации используют решения TIP, такие как MISP, Anomali ThreatStream, ThreatConnect или Palo Alto Networks MineMeld для агрегирования индикаторов угроз из различных источников.Many organizations use TIP solutions like MISP, Anomali ThreatStream, ThreatConnect, or Palo Alto Networks MineMeld to aggregate threat indicator feeds from a variety of sources. Организации используют TIP для курировать данные, а затем выбирают, какие индикаторы угроз применять к различным решениям безопасности, таким как сетевые устройства, передовые решения защиты от угроз или SIEMs, такие как Azure Sentinel.Organizations use the TIP to curate the data, then choose which threat indicators to apply to various security solutions like network devices, advanced threat protection solutions, or SIEMs like Azure Sentinel. Разъем данных Threat Intelligence Platforms позволяет организациям использовать интегрированное решение TIP с Azure Sentinel.The Threat Intelligence Platforms data connector lets organizations use their integrated TIP solution with Azure Sentinel.

Разъем данных Платформы угроз разведки использует API IPI Microsoft Graph Security tiIndicators.The Threat Intelligence Platforms data connector uses the Microsoft Graph Security tiIndicators API. Любая организация, которая имеет пользовательский TIP, может использовать этот разъем данных для использования API tiIndicators и отправки индикаторов в Azure Sentinel, а также в другие решения безопасности Майкрософт, такие как Defender ATP.Any organization that has a custom TIP can use this data connector to leverage the tiIndicators API and send indicators to Azure Sentinel, and to other Microsoft security solutions like Defender ATP.

Подробные инструкции по импорту данных TIP в Azure Sentinel можно узнать с помощью разъема данных Платформы.For detailed instructions for importing TIP data into Azure Sentinel, see Import threat indicators with the Platforms data connector.

Журналы индикаторов угрозThreat indicator logs

После того, как индикаторы угроз будут вветраны в Azure Sentinel с помощью разъемов данных Threat Intelligence - TAXII или Threat Intelligence Platforms, вы можете просматривать импортируемые данные в таблице ThreatIntelligenceIndicator в журналах, где хранятся все данные событий Azure Sentinel.After you import threat indicators into Azure Sentinel by using the Threat Intelligence – TAXII or Threat Intelligence Platforms data connectors, you can view the imported data in the ThreatIntelligenceIndicator table in Logs, where all Azure Sentinel event data is stored. Функции Azure Sentinel, такие как Analytics и Workbooks, также используют эту таблицу.Azure Sentinel features like Analytics and Workbooks also use this table.

Для просмотра индикаторов угроз:To view the threat indicators:

  1. На портале Azureищите Azure Sentinel.In the Azure portal, search for and select Azure Sentinel.

    Выберите Azure Sentinel

  2. Выберите рабочее пространство, где вы импортировали индикаторы угроз.Select the workspace where you've imported threat indicators.

  3. В левой навигации выберите журналы.In the left navigation, select Logs.

  4. На вкладке Таблицы ищите таблицу ThreatIntelligenceIndicator и выберите его.On the Tables tab, search for and select the ThreatIntelligenceIndicator table.

  5. Выберите preview data значок данных предварительного просмотра рядом с именем таблицы, чтобы просмотреть данные таблицы.Select the preview data preview data icon next to the table name to see table data.

  6. Выберите В редакторе запроса, а затем выберите стрелку выпадения слева от любого из результатов, чтобы увидеть информацию, как следующий пример:Select See in query editor, and then select the dropdown arrow to the left of any of the results to see information like the following example:

    Результат примерного индикатора угрозы

Аналитика Azure SentinelAzure Sentinel Analytics

Наиболее важным использованием индикаторов угроз в решениях SIEM является анализ питания, который соответствует событиям с индикаторами угроз для получения предупреждений безопасности, инцидентов и автоматизированных ответов.The most important use for threat indicators in SIEM solutions is to power analytics that match events with threat indicators to produce security alerts, incidents, and automated responses. Аналитика Azure Sentinel создает правила аналитики, которые срабатывают по расписанию для создания оповещений.Azure Sentinel Analytics creates analytics rules that trigger on schedule to generate alerts. Вы выражаете параметры правил в качестве запросов и настраиваете частоту работы правила, какие результаты запроса генерируют оповещения и инциденты безопасности, а также любые автоматизированные ответы на оповещения.You express rule parameters as queries, and configure how often the rule runs, what query results generate security alerts and incidents, and any automated responses to the alerts.

Вы можете создавать новые правила аналитики с нуля или из набора встроенных шаблонов правил Azure Sentinel, которые можно использовать как-такили или изменять для удовлетворения ваших потребностей.You can create new analytics rules from scratch, or from a set of built-in Azure Sentinel rule templates that you can use as-is or modify to meet your needs. Шаблоны правил аналитики, которые сопосамы угроз с данными событий, озаглавлены, начиная с карты TI, и все работают одинаково.The analytics rule templates that match threat indicators with event data are all titled starting with TI map, and all work similarly. Различия заключаются в том, какой тип индикаторов угроз следует использовать: домен, электронная почта, хэш файлов, IP-адрес или URL, и какие типы событий следует сопоставить с ними.The differences are which type of threat indicators to use: domain, email, file hash, IP address, or URL, and which event types to match against. Каждый шаблон перечисляет необходимые источники данных для функционирования правила, поэтому вы можете сразу увидеть, есть ли необходимые события, уже импортированные в Azure Sentinel.Each template lists the required data sources for the rule to function, so you can see at a glance if you have the necessary events already imported in Azure Sentinel.

Подробные инструкции по созданию правила аналитики из шаблона можно узнать из шаблона.For detailed instructions for creating an analytics rule from a template, see Create an Analytics rule from a template.

В разделе Azure Sentinel правила включения в аналитику включены в вкладку «Активные правила» раздела «Аналитика».In Azure Sentinel, enabled analytics rules are on the Active rules tab of the Analytics section. Вы можете отсечь, включить, отключить, дублировать или удалять активные правила.You can edit, enable, disable, duplicate, or delete active rules.

Генерируемые оповещения о безопасности находятся в таблице SecurityAlert в разделе Журналы Azure Sentinel.Generated security alerts are in the SecurityAlert table in the Logs section of Azure Sentinel. Предупреждения безопасности также генерируют инциденты безопасности, которые находятся в разделе Инциденты.The security alerts also generate security incidents, which are in the Incidents section. Группы операций по обеспечению безопасности могут сортировать и расследовать инциденты, чтобы определить надлежащие ответы.Security operations teams can triage and investigate the incidents to determine appropriate responses. Для получения дополнительной информации см.For more information, see Tutorial: Investigate incidents with Azure Sentinel.

Можно также назначить автоматизацию для запуска, когда правила генерируют оповещения о безопасности.You can also designate automation to trigger when the rules generate security alerts. Автоматизация в Azure Sentinel использует Playbooks, работающие на приложениях Azure Logic Apps.Automation in Azure Sentinel uses Playbooks, powered by Azure Logic Apps. Для получения дополнительной информации см.For more information, see Tutorial: Set up automated threat responses in Azure Sentinel.

Лазурный Страйкин Угроза разведки Рабочая книгаAzure Sentinel Threat Intelligence Workbook

В работах предоставляются мощные интерактивные панели мониторинга, которые дают представление обо всех аспектах Azure Sentinel.Workbooks provide powerful interactive dashboards that give you insights into all aspects of Azure Sentinel. Для визуализации ключевой информации ctI можно использовать трудовую книгу Azure Sentinel.You can use an Azure Sentinel workbook to visualize key CTI information. Предоставленные шаблоны являются отправной точкой, и вы можете легко настроить шаблоны для ваших бизнес-потребностей, создать новые панели мониторинга, которые объединяют множество различных источников данных, и визуализировать ваши данные уникальными способами.The provided templates provide a starting point, and you can easily customize the templates for your business needs, create new dashboards that combine many different data sources, and visualize your data in unique ways. Трудовые книжки Azure Sentinel основаны на трудовых книжках Azure Monitor,поэтому доступна обширная документация и шаблоны.Azure Sentinel workbooks are based on Azure Monitor workbooks, so extensive documentation and templates are available.

Для получения подробных инструкций по просмотру и редактированию в справочнике по разведке угроз Azure Sentinel смотрите просмотр и отредактировайте рабочую книгу по разведке угроз.For detailed instructions on viewing and editing the Azure Sentinel Threat Intelligence Workbook, see View and edit the Threat Intelligence Workbook.

ОсобенностиConsiderations

  • Разъемы данных Azure Sentinel Threat Intelligence в настоящее время находятся в открытом доступе.The Azure Sentinel Threat Intelligence data connectors are currently in public preview. Некоторые функции могут не поддерживаться или иметь ограниченные возможности.Certain features might not be supported, or might have constrained capabilities.

  • Azure Sentinel использует элементы управления доступом на основе ролей (RBAC) для присвоения встроенных ролей Contributor, Readerи Responder пользователям, группам и службам Azure.Azure Sentinel uses role-based access control (RBAC) to assign built-in roles Contributor, Reader, and Responder to users, groups, and Azure services. Они могут взаимодействовать с ролями Azure (владелец, автор, читатель) и журнал аналитики ролей (журнал Analytics reader, журнал Analytics вкладчика).These can interact with Azure roles (Owner, Contributor, Reader) and Log Analytics roles (Log Analytics reader, Log Analytics contributor). Можно создавать пользовательские роли RBAC и использовать расширенный RBAC в данных, хранящемся в Azure Sentinel.You can create custom RBAC roles, and use advanced RBAC on the data you store in Azure Sentinel. Для получения дополнительной информации см.For more information, see Permissions in Azure Sentinel.

  • Azure Sentinel бесплатно в течение первых 31 дня на любом рабочем пространстве Analytics Azure Monitor.Azure Sentinel is free for the first 31 days on any Azure Monitor Log Analytics workspace. После этого можно использовать модели бронирования pay-As-You-Go или Capacity Reservations для данных, которые вы глотаете и храните.After that, you can use Pay-As-You-Go or Capacity Reservations models for the data you ingest and store. Для получения подробной информации см.For details, see Azure Sentinel pricing.

Альтернативные вариантыAlternatives

  • Индикаторы угроз обеспечивают полезный контекст в других опыте Azure Sentinel, таких как Охота и Ноутбуки.Threat indicators provide useful context in other Azure Sentinel experiences like Hunting and Notebooks. Для получения дополнительной информации об использовании CTI в ноутбуках, см.For more information about using CTI in Notebooks, see Jupyter Notebooks in Sentinel.

  • Любая организация, которая имеет пользовательский TIP, может использовать API Microsoft Graph Security tiIndicators для отправки индикаторов угроз другим решениям безопасности Майкрософт, таким как Defender ATP.Any organization that has a custom TIP can use the Microsoft Graph Security tiIndicators API to send threat indicators to other Microsoft security solutions like Defender ATP.

  • Azure Sentinel предоставляет множество других встроенных разъемов данных для решений Майкрософт, таких как Microsoft Threat Protection, Microsoft 365 источников и Microsoft Cloud App Security.Azure Sentinel provides many other built-in data connectors to Microsoft solutions like Microsoft Threat Protection, Microsoft 365 sources, and Microsoft Cloud App Security. Существуют также встроенные разъемы для более широкой экосистемы безопасности для решений, не относящихся к Microsoft.There are also built-in connectors to the broader security ecosystem for non-Microsoft solutions. Для подключения источников данных с Azure Sentinel можно также использовать общий формат событий, Syslog или REST API.You can also use common event format, Syslog, or REST API to connect your data sources with Azure Sentinel. Для получения дополнительной информации см.For more information, see Connect data sources.

РазвертываниеDeployment

В следующих разделах приведены подробные шаги по следующему:The following sections provide detailed steps on how to:

Индикаторы угроз импорта с разъемом данных TAXIIImport threat indicators with the TAXII data connector

Серверы TAXII 2.x рекламируют API Roots, которые являются URL-адресами, в которых размещаются коллекции разведданных об угрозах.TAXII 2.x servers advertise API Roots, which are URLs that host threat intelligence collections. Если вы уже знаете идентификатор сервера TAXII API Root и Collection, с ним вы хотите работать, вы можете пропустить его и включить разъем TAXII в Azure Sentinel.If you already know the TAXII server API Root and Collection ID you want to work with, you can skip ahead and just enable the TAXII connector in Azure Sentinel.

Если у вас нет API Root, вы обычно можете получить его со страницы документации поставщика информации об угрозе, но иногда единственной доступной информацией является URL-адрес конечных точек обнаружения.If you don't have the API Root, you can usually get it from the threat intelligence provider's documentation page, but sometimes the only information available is the discovery endpoint URL. Вы можете найти Корень API, используя конечную точку открытия.You can find the API Root using the discovery endpoint. В следующем примере используется конечная точка обнаружения сервера Anomali Limo ThreatStream TAXII 2.0.The following example uses the discovery endpoint of the Anomali Limo ThreatStream TAXII 2.0 server.

  1. От браузера, перемещаться и войти в ThreatStream TAXII 2.0 сервера обнаружения конечных, https://limo.anomali.com/taxii, используя имя пользователя гостя и пароль гостя.From a browser, navigate and sign in to the ThreatStream TAXII 2.0 server discovery endpoint, https://limo.anomali.com/taxii, using the username guest and password guest. После вступления в систему вы увидите следующую информацию:After you sign in, you see the following information:

    {
       "api_roots":
       [
           "https://limo.anomali.com/api/v1/taxii2/feeds/",
           "https://limo.anomali.com/api/v1/taxii2/trusted_circles/",
           "https://limo.anomali.com/api/v1/taxii2/search_filters/"
       ],
       "contact": "info@anomali.com",
       "default": "https://limo.anomali.com/api/v1/taxii2/feeds/",
       "description": "TAXII 2.0 Server (guest)",
       "title": "ThreatStream Taxii 2.0 Server"
    }
    
  2. Чтобы просмотреть коллекции, введите API Root, https://limo.anomali.com/api/v1/taxii2/feeds/collections/который вы получили от предыдущего шага, в браузер: .To browse collections, enter the API Root you got from the previous step into your browser: https://limo.anomali.com/api/v1/taxii2/feeds/collections/. Вы видите информацию, как:You see information like:

    {
     "collections":
     [
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "107",
             "title": "Phish Tank"
         },
             ...
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "41",
             "title": "CyberCrime"
         }
     ]
    }
    

Теперь у вас есть информация, необходимая для подключения Azure Sentinel к одной или нескольких коллекциям серверов TAXII, предоставленным Anomali Limo.You now have the information you need to connect Azure Sentinel to one or more TAXII server collections provided by Anomali Limo. Пример:For example:

Корень APIAPI Root Идентификатор коллекцииCollection ID
Фиш ТанкPhish Tank 107107
КиберпреступностиCyberCrime 4141

Для обеспечения возможности подключения данных об угрозах - РАЗъем данных TAXII в Azure Sentinel:To enable the Threat Intelligence – TAXII data connector in Azure Sentinel:

  1. На портале Azureищите Azure Sentinel.In the Azure portal, search for and select Azure Sentinel.

  2. Выберите рабочее пространство, где требуется импортировать индикаторы угроз из службы TAXII.Select the workspace where you want to import threat indicators from the TAXII service.

  3. Выберите разъемы данных из левой навигации, ищите и выберите Threat Intelligence - TAXII (Preview) и выберите страницу Open connector.Select Data connectors from the left navigation, search for and select Threat Intelligence – TAXII (Preview), and select Open connector page.

  4. На странице Configuration введите имя Friendly (для сервера), такое как название коллекции, URL-адрес API и идентификатор коллекции, который вы хотите импортировать, а также имя пользователя и пароль, если это необходимо, а затем выберите Добавить.On the Configuration page, enter a Friendly name (for server) such as the collection title, the API root URL and Collection ID you want to import, and Username and Password if required, and then select Add.

    Страница конфигурации TAXII

Вы видите ваше соединение в списке настроенных серверов TAXII 2.0.You see your connection under List of configured TAXII 2.0 servers. Повторите конфигурацию для каждой коллекции, подключаемых с одних и тех же или различных серверов TAXII.Repeat the configuration for each collection you want to connect from the same or different TAXII servers.

Индикаторы угроз импорта с разъемом данных ПлатформImport threat indicators with the Platforms data connector

API tiIndicators нуждается в идентификаторе приложения (клиента), идентификаторе каталога (арендаторе) и секрете клиента от вашего TIP или пользовательского решения для подключения и отправки индикаторов угроз в Azure Sentinel.The tiIndicators API needs the Application (client) ID, Directory (tenant) ID, and client secret from your TIP or custom solution to connect and send threat indicators to Azure Sentinel. Эту информацию вы получаете, зарегистрировавшись в приложении TIP или solution в Azure Active Directory (Azure AD) и предоставив ему необходимые разрешения.You get this information by registering the TIP or solution app in Azure Active Directory (Azure AD), and granting it needed permissions.

Во-первых, зарегистрируйте приложение в Azure AD:First, register the app in Azure AD:

  1. На портале Azureищите и выберите регистрацию приложений, а затем выберите новую регистрацию.In the Azure portal, search for and select App registrations, and then select New registration.

  2. На странице регистрации приложения введите имя для регистрации приложения TIP или пользовательского решения, выберите только учетные записи в этом каталоге организации, а затем выберите Register.On the Register an application page, enter a name for your TIP or custom solution app registration, select Accounts in this organizational directory only, and then select Register.

    Регистрация приложения

  3. После успешной регистрации скопируйте и сохранив идентификаторы иидентификаторы и идентификационные данные приложения (клиента) со страницы «Обзор» зарегистрированного приложения. Directory (tenant) IDAfter registration succeeds, copy and save the Application (client) ID and Directory (tenant) ID values from the Overview page of your registered app.

Далее выдавайте разрешения на подключение TIP или пользовательского решения к API Microsoft Graph tiIndicators и отправку индикаторов угроз.Next, grant permissions for the TIP or custom solution to connect to the Microsoft Graph tiIndicators API and send threat indicators. Глобальный администратор Azure AD должен также дать согласие на приложение для вашей организации.An Azure AD Global Administrator must also grant consent to the app for your organization.

  1. Выберите разрешения API из левой навигации зарегистрированного приложения TIP или пользовательского решения, а затем выберите Добавление разрешения.Select API permissions from the left navigation of your registered TIP or custom solution app, and then select Add a permission.

  2. На странице разрешений API запроса выберите Microsoft Graph, а затем выберите разрешения приложения.On the Request API permissions page, select Microsoft Graph, and then select Application permissions.

  3. Поиск и выберите ThreatIndicators.ReadWrite.OwnedBy, а затем выберите Разрешения Добавления.Search for and select ThreatIndicators.ReadWrite.OwnedBy, and then select Add permissions.

    Разрешения приложений

  4. Выберите согласие админоват-консультанта для <клиента> на странице разрешений API приложения, чтобы дать согласие вашей организации.Select Grant admin consent for <your tenant> on the app's API permissions page to grant consent for your organization. Если в аккаунте нет роли Глобального администратора, эта кнопка отключена.If you don't have the Global Administrator role on your account, this button is disabled. Попросите Глобального Администратора из вашей организации выполнить этот шаг.Ask a Global Administrator from your organization to perform this step. После того, как ваше приложение будет получено согласие, вы должны увидеть зеленую галочку в соответствиис статусом.Once consent is granted to your app, you should see a green check mark under Status.

    Согласие приложения гранта

  5. После получения разрешений и согласия выберите Сертификаты & секреты из левой навигации вашего приложения и выберите новый секрет клиента.After permissions and consent are granted, select Certificates & secrets from the left navigation of your app, and select New client secret.

  6. Выберите Добавить, чтобы получить секретный ключ API для вашего приложения.Select Add to get a secret API key for your app.

    Получить секрет клиента

    Не забудьте скопировать и сохранить секрет клиента сейчас, потому что вы не можете получить секрет, как только вы переходите от этой страницы.Be sure to copy and save the client secret now, because you can't retrieve the secret once you navigate away from this page.

В интегрированном TIP или пользовательском решении ввводите идентификатор приложения (клиента), идентификатор каталога (арендатора) и сохраненные значения клиента.In your integrated TIP or custom solution, input the Application (client) ID, Directory (tenant) ID, and client secret values you saved. Установите Azure Sentinel в качестве цели и установите действие для каждого индикатора.Set Azure Sentinel as the target, and set an action for each indicator. Alert — это наиболее релевантное действие для большинства применений Azure Sentinel.Alert is the most relevant action for most Azure Sentinel uses. Теперь API Microsoft Graph tiIndicators отправляет индикаторы угроз в Azure Sentinel, которые доступны для всех рабочих областей Azure Sentinel в вашей организации.The Microsoft Graph tiIndicators API now sends threat indicators to Azure Sentinel, which are available to all Azure Sentinel workspaces in your organization.

Наконец, включите разъем данных Платформ ы управления угрозами угроз Azure Sentinel, импортируйте индикаторы угроз, которые ваш TIP или пользовательское решение отправляет через API Microsoft Graph tiIndicators:Finally, enable the Azure Sentinel Threat Intelligence Platforms data connector, to import the threat indicators your TIP or custom solution sends via the Microsoft Graph tiIndicators API:

  1. На портале Azureищите Azure Sentinel.In the Azure portal, search for and select Azure Sentinel.
  2. Выберите рабочее пространство, где вы хотите импортировать индикаторы угроз из tip или пользовательского решения.Select the workspace where you want to import the threat indicators from your TIP or custom solution.
  3. Выберите разъемы данных из левой навигации, ищите и выберите платформы threat Intelligence (Preview) и выберите страницу Open connector.Select Data connectors from the left navigation, search for and select Threat Intelligence Platforms (Preview), and select Open connector page.
  4. Поскольку вы уже завершили этапы регистрации и конфигурации, выберите Connect.Since you already completed the registration and configuration steps, select Connect.

В течение нескольких минут индикаторы угроз TIP или пользовательского решения должны начать поступать в рабочее пространство Azure Sentinel.Within a few minutes, your TIP or custom solution threat indicators should begin flowing into the Azure Sentinel workspace.

Создание правила аналитики из шаблонаCreate an Analytics rule from a template

В этом примере используется шаблон правил, называемый сущностью IP-карты TI, для AzureActivity, который сравнивает любые индикаторы угроз типа IP-адреса со всеми событиями IP-адреса Azure Activity.This example uses the rule template called TI map IP entity to AzureActivity, which compares any IP address-type threat indicators with all your Azure Activity IP address events. Любой матч генерирует оповещение о безопасности и соответствующий инцидент для расследования вашей командой операций безопасности.Any match generates a security alert and a corresponding incident for investigation by your security operations team.

Пример предполагает, что для импорта событий уровня подписки На уровне Информации об угрозе использовался один или оба разъема данных разведки угроз, а разъем данных Azure Activity data для импорта событий уровня подписки Azure.The example assumes you have used one or both of the threat intelligence data connectors to import threat indicators, and the Azure Activity data connector to import your Azure subscription-level events. Для успешного использования этого правила аналитики необходимо использовать оба типа данных.You need both data types to use this analytics rule successfully.

  1. На портале Azureищите Azure Sentinel.In the Azure portal, search for and select Azure Sentinel.

  2. Выберите рабочее пространство, где вы импортировали индикаторы угроз с разъемом данных разведки угроз.Select the workspace where you've imported threat indicators with either threat intelligence data connector.

  3. В левой навигации выберите Analytics.In the left navigation, select Analytics.

  4. На вкладке шаблонов правил ищите и выберите сущность IP-адреса TI на карте TI для AzureActivity, а затем выберите правило «Создать».On the Rule templates tab, search for and select the rule (Preview) TI map IP entity to AzureActivity, and then select Create rule.

  5. На первом analytic-правило мастер - Создайте новое правило со страницы шаблона, убедитесь, что статус правила установлен на Enabled, и измените имя или описание правила, если хотите.On the first Analytic rule wizard - Create new rule from template page, make sure the rule Status is set to Enabled, and change the rule name or description if you like. Выберите далее: Установите логику правила.Select Next: Set rule logic.

    Создание правила аналитики

    Страница логики правил содержит запрос для правила, сущности для картирования, планирования правил и количество результатов запроса, генерировавих оповещение о безопасности.The rule logic page contains the query for the rule, entities to map, rule scheduling, and the number of query results that generate a security alert. Настройки шаблона работают один раз в час, идентифицируют любые IP-адреса IoCs, которые соответствуют любым IP-адресам из событий Azure, и генерируют оповещения безопасности для всех совпадений.The template settings run once an hour, identifies any IP address IoCs that match any IP addresses from Azure events, and generates security alerts for all matches. Вы можете сохранить эти настройки, или изменить любой из них для удовлетворения ваших потребностей.You can keep these settings, or change any of them to meet your needs. Когда вы закончите, выберите параметры следующего: Параметры инцидента (Предварительный просмотр).When you're finished, select Next: Incident settings (Preview).

  6. В настройках инцидента (Preview) убедитесь, что создание инцидентов из предупреждений, вызванных этим правилом аналитики, настроено на включено, и выберите Следующий: Автоматизированный ответ.Under Incident settings (Preview), make sure that Create incidents from alerts triggered by this analytics rule is set to Enabled, and select Next: Automated response.

    Этот шаг позволяет настроить автоматизацию для запуска, когда правило генерирует оповещение безопасности.This step lets you configure automation to trigger when the rule generates a security alert. Автоматизация в Azure Sentinel использует Playbooks, работающие на приложениях Azure Logic Apps.Automation in Azure Sentinel uses Playbooks, powered by Azure Logic Apps. Для получения дополнительной информации см.For more information, see Tutorial: Set up automated threat responses in Azure Sentinel. В этом примере достаточно выбрать следующий: Просмотрениеи после просмотра настроек — создать.For this example, just select Next: Review, and after reviewing the settings, select Create.

Ваше правило активируется сразу же при создании, а затем срабатывает в обычном графике в будущем.Your rule activates immediately when created, and then triggers on the regular schedule going forward.

Просмотр и отодевательная работа по разведке угрозView and edit the Threat Intelligence Workbook

  1. На портале Azureищите Azure Sentinel.In the Azure portal, search for and select Azure Sentinel.

  2. Выберите рабочее пространство, где вы импортировали индикаторы угроз с разъемом данных разведки угроз.Select the workspace where you've imported threat indicators with either threat intelligence data connector.

  3. В левой навигации выберите Трудовые книги.In the left navigation, select Workbooks.

  4. Поиск и выберите трудовую книжку под названием Угроза разведки.Search for and select the workbook titled Threat Intelligence.

  5. Убедитесь, что у вас есть необходимые данные и соединения, как показано на рисунке, а затем выберите Сохранить.Make sure you have the necessary data and connections as shown, and then select Save.

    Справочник по разведке угроз

    В всплывающем окне выберите место, а затем выберите OK.In the popup window, select a location, and then select OK. Этот шаг сохраняет трудовую книжку, чтобы вы могли изменить ее и сохранить ваши изменения.This step saves the workbook so you can modify it and save your changes.

  6. Выберите сохраненную трудовую книгу View, чтобы открыть трудовую книжку и просмотреть диаграммы по умолчанию, которые предоставляет шаблон.Select View saved workbook to open the workbook and see the default charts the template provides.

Чтобы отсеять трудовую книжку, выберите «Отображдок» в панели инструментов в верхней части страницы.To edit the workbook, select Edit in the toolbar at the top of the page. Вы можете выбрать edit рядом с любой диаграммой, чтобы отсеять запрос и настройки для этой диаграммы.You can select Edit next to any chart to edit the query and settings for that chart.

Чтобы добавить новую диаграмму, отобрадающая индикаторы угроз по типу угрозы:To add a new chart that shows threat indicators by threat type:

  1. Выберите edit в верхней части страницы, прокрутите в нижней части страницы и выберите Добавить, а затем выберите Добавить запрос.Select Edit at the top of the page, scroll to the bottom of the page and select Add, and then select Add query.

  2. В журнале журналов рабочего пространства Log Analyticsвведите следующий запрос:Under Log Analytics workspace Logs Query, enter the following query:

    ThreatIntelligenceIndicator
    | summarize count() by ThreatType
    
  3. Выберите диаграмму панели в отбрасывании визуализации, а затем выберите редактирование Done.Select Bar chart in the Visualization dropdown, and then select Done editing.

  4. В верхней части страницы выберите редактирование Done, а затем выберите значок Сохранить, чтобы сохранить новую диаграмму и трудовую книгу.At the top of the page, select Done editing and then select the Save icon to save your new chart and workbook.

    Новая таблица трудовых книжек

Следующие шагиNext steps

Посетите Сайт Azure Sentinel на GitHub, чтобы увидеть вкладкаки как сообщества в целом, так и корпорации Майкрософт.Visit Azure Sentinel on GitHub to see contributions by both the community at large and by Microsoft. Здесь вы найдете новые идеи, шаблоны и разговоры обо всех функциональных областях Azure Sentinel.Here you'll find new ideas, templates, and conversations about all the feature areas of Azure Sentinel.

Трудовые книжки Azure Sentinel основаны на трудовых книжках Azure Monitor, поэтому доступна обширная документация и шаблоны.Azure Sentinel workbooks are based on Azure Monitor workbooks, so extensive documentation and templates are available. Отличное место для начала — создание интерактивных отчетов с помощью трудовых книжек Azure Monitor.A great place to start is Create interactive reports with Azure Monitor workbooks. Существует богатое сообщество пользователей рабочих книг Azure Monitor на GitHub,где вы можете скачать дополнительные шаблоны и внести свой собственный шаблон.There is a rich community of Azure Monitor workbook users on GitHub, where you can download additional templates and contribute your own templates.