Lägga till entiteter i hotinformation i Microsoft Sentinel
Under en undersökning undersöker du entiteter och deras kontext som en viktig del av att förstå omfattningen och arten av en incident. När du upptäcker en entitet som ett skadligt domännamn, URL, fil eller IP-adress i incidenten bör den märkas och spåras som en indikator på kompromettering (IOK) i din hotinformation.
Du kan till exempel identifiera en IP-adress som utför portgenomsökningar i nätverket eller fungerar som en kommando- och kontrollnod, skickar och/eller tar emot överföringar från ett stort antal noder i nätverket.
Med Microsoft Sentinel kan du flagga dessa typer av entiteter direkt från din incidentundersökning och lägga till den i din hotinformation. Du kan visa de tillagda indikatorerna både i Loggar och Hotinformation och använda dem på din Microsoft Sentinel-arbetsyta.
Lägga till en entitet i hotinformationen
Den nya sidan med incidentinformation ger dig ett annat sätt att lägga till entiteter i hotinformation, utöver undersökningsdiagrammet. Båda sätten visas nedan.
På Microsoft Sentinel-navigeringsmenyn väljer du Incidenter.
Välj en incident att undersöka. I panelen incidentinformation väljer du Visa fullständig information för att öppna sidan med incidentinformation.
Hitta entiteten från widgeten Entiteter som du vill lägga till som en hotindikator. (Du kan filtrera listan eller ange en söksträng som hjälper dig att hitta den.)
Välj de tre punkterna till höger om entiteten och välj Lägg till i TI på popup-menyn.
Endast följande typer av entiteter kan läggas till som hotindikatorer:
- Domännamn
- IP-adress (IPv4 och IPv6)
- webbadress
- Fil (hash)
Oavsett vilket av de två gränssnitten du väljer hamnar du här:
Panelen Ny indikatorsida öppnas. Följande fält fylls i automatiskt:
Typ
- Den typ av indikator som representeras av den entitet som du lägger till.
Listruta med möjliga värden: ipv4-addr, ipv6-addr, URL, fil, domännamn - Krävs; fylls i automatiskt baserat på entitetstypen.
- Den typ av indikator som representeras av den entitet som du lägger till.
Värde
- Namnet på det här fältet ändras dynamiskt till den valda indikatortypen.
- Värdet för själva indikatorn.
- Krävs; fylls i automatiskt av entitetsvärdet.
Taggar
- Fritexttaggar som du kan lägga till i indikatorn.
- Valfri; fylls i automatiskt av incident-ID :t. Du kan lägga till andra.
Namn
- Indikatorns namn – det här visas i listan med indikatorer.
- Valfri; fylls i automatiskt med incidentnamnet.
Skapades av
- Skapare av indikatorn.
- Valfri; fylls i automatiskt av användaren som är inloggad i Microsoft Sentinel.
Fyll i de återstående fälten i enlighet med detta.
Hottyp
- Den hottyp som visas av indikatorn.
- Valfri; fritext.
Beskrivning
- Beskrivning av indikatorn.
- Valfri; fritext.
Återkallas
- Indikatorns status har återkallats. Markera kryssrutan för att återkalla indikatorn, avmarkera kryssrutan för att göra den aktiv.
- Valfri; Boolean.
Konfidensbedömning
- Poäng som återspeglar förtroendet för korrektheten i data, med procent.
- Valfri; heltal, 1-100
Döda kedja
- Faser i Lockheed Martin Cyber Kill Chain som indikatorn motsvarar.
- Valfri; fritext
Giltig från
- Den tid från vilken indikatorn anses giltig.
- Krävs; datum/tid
Giltigt tills
- Den tidpunkt då den här indikatorn inte längre ska betraktas som giltig.
- Valfri; datum/tid
När alla fält är ifyllda till din belåtenhet väljer du Använd. I det övre högra hörnet visas ett bekräftelsemeddelande om att indikatorn har skapats.
Entiteten läggs till som en hotindikator på din arbetsyta. Du hittar den i listan över indikatorer på sidan Hotinformation och även i tabellen ThreatIntelligenceIndicators i Loggar.
Relaterat innehåll
I den här artikeln har du lärt dig hur du lägger till entiteter i dina hotindikatorlistor. Mer information finns i: