Förstå hotinformation i Microsoft Sentinel

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel är en molnbaserad SIEM-lösning (Security Information and Event Management) med möjlighet att snabbt hämta hotinformation från flera källor.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Introduktion till hotinformation

Cyberhotinformation (CTI) är information som beskriver befintliga eller potentiella hot mot system och användare. Den här intelligensen tar många former, från skriftliga rapporter som beskriver en viss hotskådespelares motiv, infrastruktur och tekniker, till specifika observationer av IP-adresser, domäner, filhashvärden och andra artefakter som är associerade med kända cyberhot. CTI används av organisationer för att ge viktig kontext till ovanlig aktivitet, så att säkerhetspersonal snabbt kan vidta åtgärder för att skydda sina personer, information och tillgångar. CTI kan hämtas från många platser, till exempel dataflöden med öppen källkod, delningsgrupper för hotinformation, kommersiella underrättelseflöden och lokal information som samlats in under säkerhetsutredningar inom en organisation.

För SIEM-lösningar som Microsoft Sentinel är de vanligaste formerna av CTI hotindikatorer, även kallade indikatorer för kompromettering (IoC) eller indikatorer för angrepp (IoA). Hotindikatorer är data som associerar observerade artefakter, till exempel URL:er, filhashvärden eller IP-adresser med kända hotaktiviteter som nätfiske, botnät eller skadlig kod. Den här typen av hotinformation kallas ofta taktisk hotinformation eftersom den tillämpas på säkerhetsprodukter och automatisering i stor skala för att identifiera potentiella hot mot en organisation och skydda mot dem. Använd hotindikatorer i Microsoft Sentinel för att identifiera skadlig aktivitet som observerats i din miljö och ge kontext till säkerhetsutredare för att informera svarsbeslut.

Integrera hotinformation (TI) i Microsoft Sentinel genom följande aktiviteter:

  • Importera hotinformation till Microsoft Sentinel genom att aktivera dataanslutningar till olika TI-plattformar och -feeds.

  • Visa och hantera den importerade hotinformationen i loggar och på bladet Hotinformation i Microsoft Sentinel.

  • Identifiera hot och generera säkerhetsaviseringar och incidenter med hjälp av de inbyggda analysregelmallarna baserat på din importerade hotinformation.

  • Visualisera viktig information om din importerade hotinformation i Microsoft Sentinel med arbetsboken Hotinformation.

Microsoft berikar alla importerade hotinformationsindikatorer med GeoLocation- och Vem Is-data, som visas tillsammans med annan indikatorinformation.

Hotinformation ger också användbar kontext i andra Microsoft Sentinel-upplevelser som jakt och notebook-filer. Mer information finns i Jupyter Notebooks i Microsoft Sentinel och Självstudie: Kom igång med Jupyter Notebooks och MSTICPy i Microsoft Sentinel.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Importera hotinformation med dataanslutningsprogram

Precis som alla andra händelsedata i Microsoft Sentinel importeras hotindikatorer med hjälp av dataanslutningsprogram. Här är de dataanslutningar i Microsoft Sentinel som tillhandahålls specifikt för hotindikatorer.

  • Microsoft Defender Hotinformation dataanslutning för att mata in Microsofts hotindikatorer
  • Threat Intelligence – TAXII för STIX/TAXII-flöden av branschstandard och
  • API för hotinformationsuppladdningsindikatorer för integrerade och kurerade TI-flöden med hjälp av ett REST-API för att ansluta
  • Threat Intelligence Platform-dataanslutningen ansluter även TI-feeds med hjälp av ett REST-API, men är på väg mot utfasning

Använd någon av dessa dataanslutningar i valfri kombination, beroende på var din organisation genererar hotindikatorer. Alla tre av dessa är tillgängliga i Innehållshubben som en del av hotinformationslösningen. Mer information om den här lösningen finns i Azure Marketplace-posten Hotinformation.

Se även den här katalogen med hotinformationsintegreringar som är tillgängliga med Microsoft Sentinel.

Lägga till hotindikatorer i Microsoft Sentinel med Microsoft Defender Hotinformation dataanslutning

Ta med indikatorer för hög återgivning av kompromettering (IOK) som genereras av Microsoft Defender Hotinformation (MDTI) till din Microsoft Sentinel-arbetsyta. MDTI-dataanslutningsappen matar in dessa IOCs med en enkel installation med ett klick. Övervaka, varna och jaga sedan baserat på hotinformationen på samma sätt som du använder andra feeds.

Mer information om MDTI-dataanslutning finns i Aktivera MDTI-dataanslutning.

Lägga till hotindikatorer i Microsoft Sentinel med API-dataanslutningen för uppladdningsindikatorer för hotinformation

Många organisationer använder TIP-lösningar (Threat Intelligence Platform) för att aggregera hotindikatorflöden från olika källor. Från det aggregerade flödet kureras data för att gälla för säkerhetslösningar som nätverksenheter, Identifiering och åtgärd på slutpunkt/XDR-lösningar eller SIEM:er som Microsoft Sentinel. Med API-dataanslutningen för hotinformationsuppladdningsindikatorer kan du använda dessa lösningar för att importera hotindikatorer till Microsoft Sentinel.

Diagram som visar api-importsökvägen för uppladdningsindikatorer.

Den här dataanslutningen använder ett nytt API och erbjuder följande förbättringar:

  • Fälten för hotindikatorn baseras på standardformatet STIX.
  • Microsoft Entra-programmet kräver endast rollen Microsoft Sentinel-deltagare.
  • API-begärandeslutpunkten är begränsad till arbetsytenivån och de Microsoft Entra-programbehörigheter som krävs tillåter detaljerad tilldelning på arbetsytenivå.

Mer information finns i Anslut din plattform för hotinformation med api för uppladdningsindikatorer

Lägga till hotindikatorer till Azure Sentinel med dataanslutningsprogrammet Hotinformationsplattformar

Precis som de befintliga api-dataanslutningsprogrammen för uppladdningsindikatorer använder dataanslutningsappen Threat Intelligence Platform ett API som gör att din TIP- eller anpassad lösning kan skicka indikatorer till Microsoft Sentinel. Men den här dataanslutningsappen är nu på en sökväg för utfasning. Vi rekommenderar nya lösningar för att dra nytta av de optimeringar som API:et för uppladdningsindikatorer har att erbjuda.

TIP-dataanslutningsappen fungerar med API:et Microsoft Graph Security tiIndicators. Den kan också användas av alla anpassade hotinformationsplattformar som kommunicerar med tiIndicators-API:et för att skicka indikatorer till Microsoft Sentinel (och till andra Microsoft-säkerhetslösningar som Microsoft Defender XDR).

Skärmbild som visar importsökvägen för hotinformation

Mer information om TIP-lösningarna som är integrerade med Microsoft Sentinel finns i Integrerade produkter för hotinformationsplattform. Mer information finns i Anslut din plattform för hotinformation till Microsoft Sentinel.

Lägga till hotindikatorer i Microsoft Sentinel med anslutningsprogrammet för hotinformation – TAXII-data

Den vanligaste branschstandarden för överföring av hotinformation är en kombination av STIX-dataformatet och TAXII-protokollet. Om din organisation får hotindikatorer från lösningar som stöder den aktuella STIX/TAXII-versionen (2.0 eller 2.1) använder du dataanslutningsappen Hotinformation – TAXII för att föra in dina hotindikatorer i Microsoft Sentinel. Med dataanslutningsappen Hotinformation – TAXII kan en inbyggd TAXII-klient i Microsoft Sentinel importera hotinformation från TAXII 2.x-servrar.

TAXII-importsökväg

Så här importerar du STIX-formaterade hotindikatorer till Microsoft Sentinel från en TAXII-server:

  1. Hämta ROT- och samlings-ID för TAXII-server-API:et

  2. Aktivera hotinformation – TAXII-dataanslutning i Microsoft Sentinel

Mer information finns i Anslut Microsoft Sentinel till STIX/TAXII-hotinformationsflöden.

Visa och hantera hotindikatorer

Visa och hantera dina indikatorer på sidan Hotinformation . Sortera, filtrera och sök efter dina importerade hotindikatorer utan att ens skriva en Log Analytics-fråga. Med den här funktionen kan du också skapa hotindikatorer direkt i Microsoft Sentinel-gränssnittet, samt utföra två av de vanligaste administrativa uppgifterna för hotinformation: indikatortaggning och skapa nya indikatorer relaterade till säkerhetsundersökningar.

Taggning av hotindikatorer är ett enkelt sätt att gruppera dem så att de blir lättare att hitta. Vanligtvis kan du använda en tagg för indikatorer som är relaterade till en viss incident, eller för dem som representerar hot från en viss känd aktör eller välkänd attackkampanj. Tagga hotindikatorer individuellt eller flervalsindikatorer och tagga dem samtidigt. Här är ett exempel på en skärmbild av taggning av flera indikatorer med ett incident-ID. Eftersom taggning är fritt är en rekommenderad metod att skapa standardnamngivningskonventioner för hotindikatortaggar. Indikatorer tillåter tillämpning av flera taggar.

Tillämpa taggar på hotindikatorer

Verifiera dina indikatorer och visa de hotindikatorer som har importerats från den Microsoft Sentinel-aktiverade log analytics-arbetsytan. Tabellen ThreatIntelligenceIndicator under Microsoft Sentinel-schemat är den plats där alla dina Hotindikatorer för Microsoft Sentinel lagras. Den här tabellen är grunden för hotinformationsfrågor som utförs av andra Microsoft Sentinel-funktioner, till exempel analys och arbetsböcker.

Här är en exempelvy av en grundläggande fråga för hotindikatorer.

Skärmbild som visar loggsidan med en exempelfråga i tabellen ThreatIntelligenceIndicator.

TI-indikatorer matas in i tabellen ThreatIntelligenceIndicator i din log analytics-arbetsyta som skrivskyddad. När en indikator uppdateras skapas en ny post i tabellen ThreatIntelligenceIndicator . Endast den senaste indikatorn visas dock på sidan Hotinformation . Microsoft Sentinel de-duplicerar indikatorer baserat på egenskaperna IndicatorId och SourceSystem och väljer indikatorn med den senaste TimeGenerated[UTC].

Egenskapen IndicatorId genereras med hjälp av STIX-indikator-ID:t. När indikatorer importeras eller skapas från icke-STIX-källor genereras IndicatorId av indikatorns källa och mönster .

Mer information om hur du visar och hanterar hotindikatorer finns i Arbeta med hotindikatorer i Microsoft Sentinel.

Visa dina GeoLocation- och Vem Is-databerikningar (offentlig förhandsversion)

Microsoft berikar IP- och domänindikatorer med extra GeoLocation- och Vem Is-data, vilket ger mer kontext för undersökningar där den valda indikatorn för kompromiss (IOC) hittas.

Visa GeoLocation- och Vem Is-data i fönstret Hotinformation för de typer av hotindikatorer som importeras till Microsoft Sentinel.

Du kan till exempel använda GeoLocation-data för att hitta information som Organisation eller Land för en IP-indikator och Vem Is-data för att hitta data som Registrator och Registrera skapandedata från en domänindikator.

Identifiera hot med analys av hotindikatorer

Det viktigaste användningsfallet för hotindikatorer i SIEM-lösningar som Microsoft Sentinel är att energianalysregler för hotidentifiering. Dessa indikatorbaserade regler jämför rådatahändelser från dina datakällor mot dina hotindikatorer för att identifiera säkerhetshot i din organisation. I Microsoft Sentinel Analytics skapar du analysregler som körs enligt ett schema och genererar säkerhetsaviseringar. Reglerna styrs av frågor, tillsammans med konfigurationer som avgör hur ofta regeln ska köras, vilken typ av frågeresultat som ska generera säkerhetsaviseringar och incidenter och eventuellt utlösa ett automatiserat svar.

Du kan alltid skapa nya analysregler från grunden, men Microsoft Sentinel tillhandahåller en uppsättning inbyggda regelmallar som skapats av Microsofts säkerhetstekniker för att utnyttja dina hotindikatorer. Dessa inbyggda regelmallar baseras på vilken typ av hotindikatorer (domän, e-post, filhash, IP-adress eller URL) och datakällans händelser som du vill matcha. Varje mall visar de källor som krävs för att regeln ska fungera. Detta gör det enkelt att avgöra om nödvändiga händelser redan har importerats i Microsoft Sentinel.

När dessa inbyggda regler utlöses skapas som standard en avisering. I Microsoft Sentinel genererar aviseringarna som genereras från analysregler även säkerhetsincidenter som finns i Incidenter under Hothantering på Microsoft Sentinel-menyn. Incidenter är vad dina säkerhetsåtgärdsteam kommer att sortera och undersöka för att fastställa lämpliga svarsåtgärder. Hitta detaljerad information i den här självstudien: Undersöka incidenter med Microsoft Sentinel.

Mer information om hur du använder hotindikatorer i dina analysregler finns i Använda hotinformation för att identifiera hot.

Microsoft ger åtkomst till sin hotinformation via Microsoft Defender Hotinformation Analytics-regeln. Mer information om hur du drar nytta av den här regeln som genererar aviseringar och incidenter med hög återgivning finns i Använda matchande analys för att identifiera hot

Skärmbild som visar en incident med hög återgivning som genereras av matchande analys med ytterligare kontextinformation från MDTI.

Arbetsböcker ger insikter om din hotinformation

Arbetsböcker ger kraftfulla interaktiva instrumentpaneler som ger dig insikter om alla aspekter av Microsoft Sentinel, och hotinformation är inget undantag. Använd den inbyggda threat intelligence-arbetsboken för att visualisera viktig information om din hotinformation och enkelt anpassa arbetsboken efter dina affärsbehov. Skapa nya instrumentpaneler som kombinerar många olika datakällor så att du kan visualisera dina data på unika sätt. Eftersom Microsoft Sentinel-arbetsböcker baseras på Azure Monitor-arbetsböcker finns det redan omfattande dokumentation och många fler mallar. Ett bra ställe att börja på är den här artikeln om hur du skapar interaktiva rapporter med Azure Monitor-arbetsböcker.

Det finns också en omfattande community med Azure Monitor-arbetsböcker på GitHub för att ladda ned ytterligare mallar och bidra med dina egna mallar.

Mer information om hur du använder och anpassar arbetsboken Hotinformation finns i Arbeta med hotindikatorer i Microsoft Sentinel.

Nästa steg

I det här dokumentet har du lärt dig om funktionerna för hotinformation i Microsoft Sentinel, inklusive bladet Hotinformation. Praktisk vägledning om hur du använder Microsoft Sentinels funktioner för hotinformation finns i följande artiklar: