Понимание концепций разведки угрозUnderstand threat intelligence concepts

Область применения:Applies to:

Хотите испытать Microsoft Defender для конечной точки?Want to experience Microsoft Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

Расширенные атаки кибербезопасности включают несколько сложных вредоносных событий, атрибутов и контекстной информации.Advanced cybersecurity attacks comprise of multiple complex malicious events, attributes, and contextual information. Определение и определение того, какие из этих действий квалифицируются как подозрительные, может быть сложной задачей.Identifying and deciding which of these activities qualify as suspicious can be a challenging task. Ваше знание известных атрибутов и ненормальных действий, характерных для вашей отрасли, имеет основополагающее значение, зная, когда вызывать наблюдаемое поведение как подозрительное.Your knowledge of known attributes and abnormal activities specific to your industry is fundamental in knowing when to call an observed behavior as suspicious.

С помощью Microsoft Defender для конечной точки можно создавать настраиваемые оповещения об угрозах, которые помогут отслеживать возможные действия атаки в организации.With Microsoft Defender for Endpoint, you can create custom threat alerts that can help you keep track of possible attack activities in your organization. Вы можете пометить подозрительные события, чтобы собрать ключи и, возможно, остановить цепочку атак.You can flag suspicious events to piece together clues and possibly stop an attack chain. Эти настраиваемые оповещений об угрозах будут отображаться только в вашей организации и будут отображать события, которые вы установите для отслеживания.These custom threat alerts will only appear in your organization and will flag events that you set it to track.

Перед созданием пользовательских оповещений об угрозах важно знать понятия, которые стоят за определениями оповещений и индикаторами компромисса (IOCs) и связь между ними.Before creating custom threat alerts, it's important to know the concepts behind alert definitions and indicators of compromise (IOCs) and the relationship between them.

Определения оповещенийAlert definitions

Определения оповещений — это контекстные атрибуты, которые можно совместно использовать для выявления ранних улик о возможной атаке на кибербезопасность.Alert definitions are contextual attributes that can be used collectively to identify early clues on a possible cybersecurity attack. Эти индикаторы обычно являются сочетанием действий, характеристик и действий, предпринятых злоумышленником для успешного достижения цели атаки.These indicators are typically a combination of activities, characteristics, and actions taken by an attacker to successfully achieve the objective of an attack. Мониторинг этих комбинаций атрибутов имеет решающее значение для получения точки защиты от атак и, возможно, для того, чтобы вмешиваться в цепочку событий до того, как будет достигнута цель злоумышленника.Monitoring these combinations of attributes is critical in gaining a vantage point against attacks and possibly interfering with the chain of events before an attacker's objective is reached.

Индикаторы компромисса (МОК)Indicators of compromise (IOC)

IOCs — это отдельно известные вредоносные события, которые указывают на то, что сеть или устройство уже были нарушены.IOCs are individually-known malicious events that indicate that a network or device has already been breached. В отличие от определений оповещений, эти индикаторы рассматриваются как свидетельство нарушения.Unlike alert definitions, these indicators are considered as evidence of a breach. Они часто видны после того, как атака уже выполнена и цель достигнута, например, эксфильтрация.They are often seen after an attack has already been carried out and the objective has been reached, such as exfiltration. Отслеживание IOCs также важно во время судебно-медицинских исследований.Keeping track of IOCs is also important during forensic investigations. Хотя она может и не обеспечить возможность вмешательства в цепочку атак, сбор этих показателей может быть полезен для создания лучшей защиты от возможных будущих атак.Although it might not provide the ability to intervene with an attack chain, gathering these indicators can be useful in creating better defenses for possible future attacks.

Связь между определениями оповещений и IOCsRelationship between alert definitions and IOCs

В контексте Microsoft Defender для конечной точки определения оповещений являются контейнерами для IOCs и определяют оповещение, в том числе метаданные, поднятые в случае определенного совпадения МОК.In the context of Microsoft Defender for Endpoint, alert definitions are containers for IOCs and defines the alert, including the metadata that is raised in case of a specific IOC match. Различные метаданные предоставляются в рамках определений оповещений.Various metadata is provided as part of the alert definitions. Метаданные, такие как имя определения оповещений об атаке, серьезность и описание, предоставляются вместе с другими вариантами.Metadata such as alert definition name of attack, severity, and description is provided along with other options.

Каждый МОК определяет конкретную логику обнаружения, основанную на его типе и значении, а также его действии, которое определяет, как она совпадает.Each IOC defines the concrete detection logic based on its type and value as well as its action, which determines how it is matched. Оно привязано к определенному определению оповещений, которое определяет отображение обнаружения в качестве оповещения на консоли Microsoft Defender для endpoint.It is bound to a specific alert definition that defines how a detection is displayed as an alert on the Microsoft Defender for Endpoint console.

Вот пример МОК:Here is an example of an IOC:

  • Тип: Sha1Type: Sha1
  • Значение: 92cfceb39d57d914ed8b14d0e37643de0797ae56Value: 92cfceb39d57d914ed8b14d0e37643de0797ae56
  • Действие: РавныеAction: Equals

IOCs имеют много-одно отношение с определениями оповещений, что определение оповещения может иметь много IOCs, которые соответствуют ему.IOCs have a many-to-one relationship with alert definitions such that an alert definition can have many IOCs that correspond to it.

В этом разделеIn this section

СтатьяTopic ОписаниеDescription
Притягивать обнаружения к средствам SIEMPull detections to your SIEM tools Узнайте о различных способах обнаружения.Learn about different ways to pull detections.
Включение интеграции SIEM в Microsoft Defender для конечной точкиEnable SIEM integration in Microsoft Defender for Endpoint Узнайте о том, как включить функцию интеграции SIEM на странице Параметры на портале, чтобы можно было использовать и создавать необходимые сведения для настройки поддерживаемых инструментов SIEM.Learn about enabling the SIEM integration feature in the Settings page in the portal so that you can use and generate the required information to configure supported SIEM tools.
Настройка Splunk, чтобы вытащить Microsoft Defender для обнаружения конечных точекConfigure Splunk to pull Microsoft Defender for Endpoint detections Узнайте об установке модульного входного приложения REST API и других параметров конфигурации, чтобы splunk вытянул Microsoft Defender для обнаружения конечных точек.Learn about installing the REST API Modular Input App and other configuration settings to enable Splunk to pull Microsoft Defender for Endpoint detections.
Настройте HP ArcSight, чтобы вытащить Microsoft Defender для обнаружения конечных точекConfigure HP ArcSight to pull Microsoft Defender for Endpoint detections Узнайте об установке пакета HP ArcSight REST FlexConnector и файлов, необходимых для настройки ArcSight для обнаружения конечных точек Microsoft Defender.Learn about installing the HP ArcSight REST FlexConnector package and the files you need to configure ArcSight to pull Microsoft Defender for Endpoint detections.
Microsoft Defender для полей обнаружения конечных точекMicrosoft Defender for Endpoint Detection fields Сведения о том, какие поля данных находятся в API оповещений и как они сопоставили их с Центром безопасности Защитника Майкрософт.Understand what data fields are exposed as part of the alerts API and how they map to Microsoft Defender Security Center.
Pull Microsoft Defender для обнаружения конечных точек с помощью API RESTPull Microsoft Defender for Endpoint detections using REST API Используйте поток клиентских учетных данных OAuth 2.0, чтобы вытащить обнаружения из Microsoft Defender для конечной точки с помощью API REST.Use the Client credentials OAuth 2.0 flow to pull detections from Microsoft Defender for Endpoint using REST API.
Устранение неполадок в интеграции инструментов SIEMTroubleshoot SIEM tool integration issues Устранение проблем, с которыми вы можете столкнуться при использовании функции интеграции SIEM.Address issues you might encounter when using the SIEM integration feature.