Den här artikeln beskriver hur en molnbaserad lösning för säkerhetsinformation och händelsehantering (SIEM) som Microsoft Sentinel kan använda hotindikatorer för att identifiera, tillhandahålla kontext och informera svar på befintliga eller potentiella cyberhot.
Cyber threat intelligence (CTI) kan komma från många källor, till exempel dataflöden med öppen källkod, delningsgrupper för hotinformation, betalda informationsflöden och säkerhetsundersökningar inom organisationer. CTI kan vara allt från skriftliga rapporter om en hot aktörs motivation, infrastruktur och tekniker till specifika observationer av IP-adresser, domäner och filhash-värden. CTI ger en viktig kontext för ovanlig aktivitet, så säkerhetspersonal kan agera snabbt för att skydda människor och tillgångar.
Den mest använda CTI:n i SIEM-lösningar som Microsoft Sentinel är hotindikatordata, som ibland kallas indikatorer för kompromettering (IoC). Hotindikatorer associerar URL:er, filhash-värden, IP-adresser och andra data med känd hotaktivitet som nätfiske, botnät eller skadlig kod. Den här formen av hotinformation kallas ofta taktiskhotinformation, eftersom säkerhetsprodukter och automatisering kan använda den i stor skala för att skydda och identifiera potentiella hot. Microsoft Sentinel kan hjälpa till att identifiera, svara på och tillhandahålla CTI-kontext för skadlig cyberaktivitet.
Potentiella användningsfall
- Anslut till hotindikator för öppen källkod från offentliga servrar för att identifiera, analysera och svara på hotaktivitet.
- Använd befintliga hotinformationsplattformar eller anpassade lösningar med Microsoft Graph-API:et för att ansluta och kontrollera åtkomsten till hotindikatordata.
- Tillhandahålla CTI-kontext och rapportering för säkerhetsutredare och intressenter.
Arkitektur
Du kan använda Microsoft Sentinel för att:
- Importera hotindikatorer från STIX-servrar (Structured Threat Information Expression) och TAXII-servrar (Trusted Automated Exchange of Intelligence Information) eller från någon TIP-lösning (Threat Intelligence Platform)
- Visa och fråga efter hotindikator
- Skapa analysregler för att generera säkerhetsaviseringar, incidenter och automatiserade svar från CTI-data
- Visualisera viktig CTI-information i arbetsböcker
Datakopplingar för hotindikator
Microsoft Sentinel importerar hotindikatorer, precis som alla andra händelsedata, med hjälp av datakopplingar. De två Microsoft Sentinel-dataanslutningarna för hotindikatorer är Threat Intelligence – TAXII och Threat Intelligence Platforms. Du kan använda antingen eller båda datakopplingarna, beroende på var din organisation får sina hotindikatordata. Aktivera dataanslutningsapparna på varje arbetsyta som du vill ta emot data från.
Hotinformation – TAXII-dataanslutning
Den mest använda branschstandarden för CTI-överföring är STIX-dataformatet och TAXII-protokollet. Organisationer som får hotindikatorer från aktuell STIX/TAXII version 2.x-lösningar kan använda Threat Intelligence – TAXII-dataanslutningsappen för att importera sina hotindikatorer till Microsoft Sentinel. Den inbyggda Microsoft Sentinel TAXII-klienten importerar hotinformation från TAXII 2.x-servrar.
Detaljerade anvisningar för att importera STIX-/TAXII-hotindikatordata till Microsoft Sentinel finns i Importera hotindikatorer med TAXII-dataanslutningsappen.
Dataanslutning för hotinformationsplattformar
Många organisationer använder TIPS-lösningar som MISP, Anomali ThreatStream, ThreatConnect eller Palo Alto Networks MineMeld för att aggregera hotindikator från olika källor. Organisationer använder tipset för att ta fram data och väljer sedan vilka hotindikatorer som ska tillämpas på olika säkerhetslösningar som nätverksenheter, avancerade hotskyddslösningar eller SIEM:er som Microsoft Sentinel. Med dataanslutningen Threat Intelligence Platforms kan organisationer använda sin integrerade TIPS-lösning med Microsoft Sentinel.
Dataanslutningsappen Threat Intelligence Platforms använder Microsoft Graph Security tiIndicators API. Alla organisationer som har ett anpassat TIPS kan använda den här dataanslutningen för att utnyttja tiIndikator-API:et och skicka indikatorer till Microsoft Sentinel och till andra Microsoft-säkerhetslösningar som Defender ATP.
Detaljerade anvisningar för att importera TIPS-data till Microsoft Sentinel finns i Importera hotindikatorer med dataanslutningsappen Platforms.
Hotindikatorloggar
När du har importerat hotindikatorer till Microsoft Sentinel med hjälp av dataanslutningsapparna Threat Intelligence – TAXII eller Threat Intelligence Platforms kan du visa importerade data i tabellen ThreatIntelligenceIndicator i Loggar, där alla Microsoft Sentinel-händelsedata lagras. Microsoft Sentinel-funktioner som Analytics ochArbetsböcker använder också den här tabellen.
Så här visar du hotindikatorerna:
I Azure Portaldu efter och väljer Microsoft Sentinel.
Välj den arbetsyta där du har importerat hotindikatorer.
I det vänstra navigeringsfönstret väljer du Loggar.
På fliken Tabeller söker du efter och väljer tabellen ThreatIntelligenceIndicator.
Välj dataikonen för
för förhandsgranskning bredvid tabellnamnet för att se tabelldata.Välj Se i frågeredigerarenoch välj sedan listrutpilen till vänster om något av resultaten för att se information som i följande exempel:
Microsoft Sentinel Analytics
Den viktigaste användningen för hotindikatorer i SIEM-lösningar är att driva analyser som matchar händelser med hotindikatorer för att skapa säkerhetsaviseringar, incidenter och automatiserade svar. Microsoft Sentinel Analytics skapar analysregler som utlöses enligt schemat för att generera aviseringar. Du uttrycker regelparametrar som frågor och konfigurerar hur ofta regeln körs, vilka frågeresultat som genererar säkerhetsaviseringar och incidenter samt eventuella automatiserade svar på aviseringarna.
Du kan skapa nya analysregler från grunden eller från en uppsättning inbyggda Microsoft Sentinel-regelmallar som du kan använda som de är eller ändra efter dina behov. Analysregelmallarna som matchar hotindikatorer med händelsedata har rubriken börjar med TI-mappning och fungerar på samma sätt. Skillnaderna är vilken typ av hotindikatorer som ska användas: domän, e-post, filhash, IP-adress eller URL och vilka händelsetyper som ska matchas mot. Varje mall visar de datakällor som krävs för att regeln ska fungera, så att du snabbt kan se om du redan har importerat nödvändiga händelser i Microsoft Sentinel.
Detaljerade anvisningar för hur du skapar en analysregel från en mall finns i Skapa en Analytics-regel från en mall.
I Microsoft Sentinel finns aktiverade analysregler på fliken Aktiva regler i avsnittet Analytics. Du kan redigera, aktivera, inaktivera, duplicera eller ta bort aktiva regler.
Genererade säkerhetsaviseringar finns i tabellen SecurityAlert i avsnittet Loggar i Microsoft Sentinel. Säkerhetsaviseringarna genererar också säkerhetsincidenter, som finns i avsnittet Incidenter. Säkerhetsdriftsteam kan undersöka incidenterna för att fastställa lämpliga åtgärder. Mer information finns i Självstudie: Undersöka incidenter med Microsoft Sentinel.
Du kan också ange automatisering som ska utlösas när reglerna genererar säkerhetsaviseringar. Automation i Microsoft Sentinel använder spelböcker, som drivs av Azure Logic Apps. Mer information finns i Självstudie: Konfigurera automatiserade hotsvar i Microsoft Sentinel.
Arbetsbok för Microsoft Sentinel Threat Intelligence
Arbetsböcker tillhandahåller kraftfulla interaktiva instrumentpaneler som ger dig insikter om alla aspekter av Microsoft Sentinel. Du kan använda en Microsoft Sentinel-arbetsbok för att visualisera viktig CTI-information. De tillhandahållna mallarna utgör en startpunkt och du kan enkelt anpassa mallarna efter dina affärsbehov, skapa nya instrumentpaneler som kombinerar många olika datakällor och visualisera dina data på unika sätt. Microsoft Sentinel-arbetsböcker baseras Azure Monitor arbetsböcker,så omfattande dokumentation och mallar finns tillgängliga.
Detaljerade anvisningar om hur du visar och redigerar arbetsboken för Microsoft Sentinel Threat Intelligence finns i Visa och redigera arbetsboken för hotinformation.
Överväganden
Dataanslutningsapparna för Microsoft Sentinel Threat Intelligence finns för närvarande i offentlig förhandsversion. Vissa funktioner kanske inte stöds eller har begränsade funktioner.
Microsoft Sentinel använder rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att tilldela inbyggda roller deltagare,läsare ochsvarare till användare, grupper och Azure-tjänster. Dessa kan interagera med Azure-roller (ägare, deltagare, läsare) och Log Analytics-roller (Log Analytics-läsare, Log Analytics-deltagare). Du kan skapa anpassade roller och använda avancerad Azure RBAC på de data som du lagrar i Microsoft Sentinel. Mer information finns i Behörigheter i Microsoft Sentinel.
Microsoft Sentinel är kostnadsfritt under de första 31 dagarna på valfri Azure Monitor Log Analytics-arbetsyta. Därefter kan du använda modeller för betala enligt användning eller kapacitetsreservationer för de data som du matar in och lagrar. Mer information finns i Prissättning för Microsoft Sentinel.
Alternativ
Hotindikatorer ger användbar kontext i andra Microsoft Sentinel-upplevelser som Jakt och Notebooks. Mer information om hur du använder CTI i Notebooksfinns i Jupyter Notebooks i Sentinel.
Alla organisationer som har ett anpassat TIPS kan använda API:et Microsoft Graph Security tiIndicators för att skicka hotindikatorer till andra Microsoft-säkerhetslösningar som Defender ATP.
Microsoft Sentinel tillhandahåller många andra inbyggda dataanslutningar till Microsoft-lösningar som Microsoft Threat Protection, Microsoft 365-källor och Microsoft Defender för molnappar. Det finns även inbyggda anslutningsappar till det bredare säkerhetsekosystemet för lösningar som inte kommer från Microsoft. Du kan också använda vanligt händelseformat, Syslog eller REST API för att ansluta dina datakällor till Microsoft Sentinel. Mer information finns i Anslut datakällor.
Distribution
Följande avsnitt innehåller detaljerade anvisningar om hur du:
- Aktivera dataanslutningarna Threat Intelligence – TAXIIoch Threat Intelligence Platforms.
- Skapa ett exempel på en Microsoft Sentinel Analytics-regel för att generera säkerhetsaviseringar och incidenter från CTI-data.
- Visa och redigera arbetsboken för Microsoft Sentinel Threat Intelligence.
Importera hotindikatorer med TAXII-dataanslutningsappen
TAXII 2.x-servrar annonserar API-rötter, som är URL:er som är värdar för hotinformationssamlingar. Om du redan känner till rot- och samlings-ID:t för TAXII-server-API:et som du vill arbeta med kan du gå vidare och bara aktivera TAXII-anslutningen i Microsoft Sentinel.
Om du inte har API-roten kan du vanligtvis hämta den från hotinformationsproviderns dokumentationssida, men ibland är den enda tillgängliga informationen webbadressen för identifieringsslutpunkten. Du hittar API-roten med hjälp av identifieringsslutpunkten. I följande exempel används identifieringsslutpunkten för anomali ThreatStream TAXII 2.0-servern.
Gå till en webbläsare och logga in på ThreatStream TAXII 2.0-serveridentifieringsslutpunkten, , med användarnamnet gäst https://limo.anomali.com/taxii och lösenordsgäst . https://limo.anomali.com/taxii När du har loggat in visas följande information:
{ "api_roots": [ "https://limo.anomali.com/api/v1/taxii2/feeds/", "https://limo.anomali.com/api/v1/taxii2/trusted_circles/", "https://limo.anomali.com/api/v1/taxii2/search_filters/" ], "contact": "info@anomali.com", "default": "https://limo.anomali.com/api/v1/taxii2/feeds/", "description": "TAXII 2.0 Server (guest)", "title": "ThreatStream Taxii 2.0 Server" }Om du vill bläddra bland samlingar anger du den API-rot som du fick från föregående steg i webbläsaren: https://limo.anomali.com/api/v1/taxii2/feeds/collections/ . Du ser information som:
{ "collections": [ { "can_read": true, "can_write": false, "description": "", "id": "107", "title": "Phish Tank" }, ... { "can_read": true, "can_write": false, "description": "", "id": "41", "title": "CyberCrime" } ] }
Nu har du den information som du behöver för att ansluta Microsoft Sentinel till en eller flera TAXII-serversamlingar som tillhandahålls av Anomali Anime. Till exempel:
| API-rot | Samlings-ID |
|---|---|
| Phish Tank | 107 |
| Cybercrime | 41 |
Så här aktiverar du threat intelligence – TAXII-dataanslutning i Microsoft Sentinel:
I Azure Portaldu efter och väljer Microsoft Sentinel.
Välj den arbetsyta där du vill importera hotindikatorer från TAXII-tjänsten.
Välj Dataanslutningar i det vänstra navigeringsfönstret, sök efter och välj Hotinformation – TAXII (förhandsversion)och välj Öppna anslutningssidan.
På sidan Konfiguration anger du ett Eget namn (för server), till exempel samlingsrubriken, API-rot-URL:en och samlings-ID:t som du vill importera, samt Användarnamn och Lösenord om det behövs och väljer sedan Lägg till.
Anslutningen visas under Lista över konfigurerade TAXII 2.0-servrar. Upprepa konfigurationen för varje samling som du vill ansluta från samma eller olika TAXII-servrar.
Importera hotindikatorer med anslutningsappen för plattformsdata
Api:et tiIndicators behöver program-ID (klient) ID,katalog-ID (klient)och klienthemlighet från ditt TIPS eller din anpassade lösning för att ansluta och skicka hotindikatorer till Microsoft Sentinel. Du får den här informationen genom att registrera tips- eller lösningsappen i Azure Active Directory (Azure AD) och bevilja den nödvändiga behörigheter.
Registrera först appen i Azure AD:
I Azure Portaldu efter och väljer Appregistreringaroch väljer sedan Ny registrering.
På sidan Registrera ett program anger du ett namn för ditt TIPS eller din anpassade lösningsappregistrering, väljer Endast konton i den här organisationskatalogen och väljer sedan Registrera.
När registreringen har lyckats kopierar och sparar du värdena för program-ID (klient) och katalog-ID (klient) från översiktssidan för din registrerade app.
Bevilja sedan behörigheter för tipset eller den anpassade lösningen för att ansluta till Microsoft Graph tiIndicators-API:et och skicka hotindikatorer. En global Azure AD-administratör måste också bevilja medgivande till appen för din organisation.
Välj API-behörigheter i det vänstra navigeringsfönstret i din registrerade TIPS- eller anpassade lösningsapp och välj sedan Lägg till en behörighet.
På sidan Begär API-behörigheter väljer du Microsoft Graphoch sedan Programbehörigheter.
Sök efter och välj ThreatIndicators.ReadWrite.OwnedByoch välj sedan Lägg till behörigheter.
Välj Bevilja administratörsmedgivande för din > klientorganisation på sidan för > för att ge ditt medgivande till din organisation. Om du inte har rollen Global administratör för ditt konto inaktiveras den här knappen. Be en global administratör från din organisation att utföra det här steget. När ditt medgivande har beviljats till din app bör du se en grön bock under Status.
När behörigheter och medgivande har beviljats väljer du Certifikathemligheter i appens vänstra navigeringsfält och väljer Ny klienthemlighet.
Välj Lägg till för att hämta en hemlig API-nyckel för din app.
Se till att kopiera och spara klienthemligheten nu, eftersom du inte kan hämta hemligheten när du har navigerat bort från den här sidan.
I din integrerade TIPS eller anpassade lösning, ange program-ID (klient), katalog-ID (klient) ochde klienthemlighetsvärden som du sparade. Ange Microsoft Sentinel som mål och ange en åtgärd för varje indikator. Avisering är den mest relevanta åtgärden för de flesta microsoft Sentinel-användningsområden. Microsoft Graph-API:et skickar nu hotindikatorer till Microsoft Sentinel, som är tillgängliga för alla Microsoft Sentinel-arbetsytor i din organisation.
Slutligen aktiverar du dataanslutningen För Microsoft Sentinel Threat Intelligence Platforms för att importera hotindikatorerna som ditt TIPS eller din anpassade lösning skickar via Microsoft Graph tiIndicators API:
- I Azure Portaldu efter och väljer Microsoft Sentinel.
- Välj den arbetsyta där du vill importera hotindikatorerna från tipset eller den anpassade lösningen.
- Välj Dataanslutningsappar i det vänstra navigeringsfönstret, sök efter och välj Hotinformationsplattformar (förhandsversion)och välj sidan Öppna anslutning.
- Eftersom du redan har slutfört stegen för registrering och konfiguration väljer du Anslut.
Inom några minuter bör dina tips eller anpassade indikatorer för lösningshot börja flöda till Microsoft Sentinel-arbetsytan.
Skapa en Analytics-regel från en mall
I det här exemplet används regelmallen som heter TI-mappnings-IP-entitet till AzureActivity,som jämför eventuella hotindikatorer av IP-adresstyp med alla dina IP-adresshändelser för Azure-aktivitet. Alla matchningar genererar en säkerhetsavisering och en motsvarande incident för undersökning av ditt säkerhetsdriftsteam.
Exemplet förutsätter att du har använt en eller båda av hotinformationsdataanslutningsapparna för att importera hotindikatorer och Azure Activity-dataanslutningen för att importera händelser på Azure-prenumerationsnivå. Du behöver båda datatyperna för att kunna använda den här analysregeln.
I Azure Portaldu efter och väljer Microsoft Sentinel.
Välj den arbetsyta där du har importerat hotindikatorer med någon av hotinformationsdatakopplingarna.
Välj Analytics i det vänstra navigeringsfönstret.
På fliken Regelmallar söker du efter och väljer regeln (förhandsversion) TI-mappnings-IP-entitetentill AzureActivity och väljer sedan Skapa regel.
I den första analysregelguiden – Skapa ny regel från mallsidan kontrollerar du att regelns status är aktiverad ochändrar regelnamnet eller beskrivningen om du vill. Välj Nästa: Ange regellogik.
Regellogiksidan innehåller frågan för regeln, entiteter att mappa, regelschemaläggning och antalet frågeresultat som genererar en säkerhetsavisering. Mallinställningarna körs en gång i timmen, identifierar ip-adress-IPC:er som matchar IP-adresser från Azure-händelser och genererar säkerhetsaviseringar för alla matchningar. Du kan behålla de här inställningarna eller ändra någon av dem så att de uppfyller dina behov. När du är klar väljer du Nästa: Incidentinställningar (förhandsversion).
Under Incidentinställningar (förhandsversion)kontrollerar du att Skapa incidenter från aviseringar som utlöses av den här analysregeln är aktiverat ochväljer Nästa: Automatiserat svar.
Med det här steget kan du konfigurera automatisering så att den utlöses när regeln genererar en säkerhetsavisering. Automation i Microsoft Sentinel använder spelböcker, som drivs av Azure Logic Apps. Mer information finns i Självstudie: Konfigurera automatiserade hotsvar i Microsoft Sentinel. I det här exemplet väljer du bara Nästa: Granskaoch när du har granskat inställningarna väljer du Skapa.
Regeln aktiveras omedelbart när den skapas och utlöses sedan enligt det vanliga schemat framöver.
Visa och redigera arbetsboken för hotinformation
I Azure Portaldu efter och väljer Microsoft Sentinel.
Välj den arbetsyta där du har importerat hotindikatorer med någon av hotinformationsdatakopplingarna.
I det vänstra navigeringsfönstret väljer du Arbetsböcker.
Sök efter och välj arbetsboken hotinformation.
Kontrollera att du har nödvändiga data och anslutningar som visas och välj sedan Spara.
I popup-fönstret väljer du en plats och sedan OK. Det här steget sparar arbetsboken så att du kan ändra den och spara ändringarna.
Välj Visa sparad arbetsbok för att öppna arbetsboken och se standarddiagrammen som mallen tillhandahåller.
Om du vill redigera arbetsboken väljer du Redigera i verktygsfältet högst upp på sidan. Du kan välja Redigera bredvid ett diagram om du vill redigera frågan och inställningarna för diagrammet.
Så här lägger du till ett nytt diagram som visar hotindikatorer efter hottyp:
Välj Redigera överst på sidan, bläddra längst ned på sidan och välj Lägg tilloch välj sedan Lägg till fråga.
Under Loggfråga för Log Analytics-arbetsytaanger du följande fråga:
ThreatIntelligenceIndicator | summarize count() by ThreatTypeVälj Stapeldiagram i listrutan Visualisering och välj sedan Klar med redigeringen.
Längst upp på sidan väljer du Klar med redigeringen och sedan ikonen Spara för att spara det nya diagrammet och arbetsboken.
Nästa steg
Besök Microsoft Sentinel på GitHub för att se bidrag från både communityn i stort och av Microsoft. Här hittar du nya idéer, mallar och konversationer om alla funktionsområden i Microsoft Sentinel.
Microsoft Sentinel-arbetsböcker baseras Azure Monitor arbetsböcker, så omfattande dokumentation och mallar är tillgängliga. Ett bra ställe att börja är Att skapa interaktiva rapporter med Azure Monitor arbetsböcker. Det finns en omfattande community med Azure Monitor-arbetsboksanvändare på GitHub, där du kan ladda ned ytterligare mallar och bidra med egna mallar.