Förstå hotinformation i Microsoft Sentinel

Introduktion till hotinformation

CTI (Cyber Threat Intelligence) är information som beskriver kända befintliga eller potentiella hot mot system och användare. Den här typen av information har många former, från skrivna rapporter som beskriver en viss hot aktörs motivation, infrastruktur och tekniker till specifika observationer av IP-adresser, domäner, filhash-värden och andra artefakter som är associerade med kända cyberhot. CTI används av organisationer för att ge viktig kontext till ovanlig aktivitet, så att säkerhetspersonal snabbt kan vidta åtgärder för att skydda sin personal, information och andra tillgångar. CTI kan hämtas från många platser, till exempel dataflöden med öppen källkod, delnings communities för hotinformation, kommersiella informationsflöden och lokal intelligens som samlats in under säkerhetsundersökningar inom en organisation.

I en SIEM-lösning (Security Information and Event Management) som Microsoft Sentinel är den vanligaste formen av CTI hotindikatorer, även kallat indikatorer på komprometterade eller IoC: er. Hotindikatorer är data som associerar observerade artefakter som URL:er, filhash-värden eller IP-adresser med känd hotaktivitet, till exempel nätfiske, botnät eller skadlig kod. Den här formen av hotinformation kallas ofta taktisk hotinformation eftersom den kan tillämpas på säkerhetsprodukter och automatisering i stor skala för att identifiera potentiella hot mot en organisation och skydda mot dem. I Microsoft Sentinel kan du använda hotindikatorer för att identifiera skadlig aktivitet som observerats i din miljö och ge kontext till säkerhetsutredarna för att hjälpa till att fatta beslut om svar.

Integrera hotinformation (TI) i Microsoft Sentinel genom följande aktiviteter:

• Importera hotinformation till Microsoft Sentinel genom att aktivera dataanslutningar till olika TI-plattformar och flöden.

• Visa och hantera den importerade hotinformation i loggarna och på bladet Hotinformation i Microsoft Sentinel.

• Identifiera hot och generera säkerhetsaviseringar och incidenter med hjälp av de inbyggda analysregelmallarna baserat på din importerade hotinformation.

• Visualisera viktig information om din importerade hotinformation i Microsoft Sentinel med arbetsboken Threat Intelligence.

Microsoft utökar alla importerade hotinformationsindikatorer med GeoLocation- och WhoIs-data, som visas tillsammans med annan indikatorinformation.

Importera hotinformation med dataanslutningsappar

Precis som alla andra händelsedata i Microsoft Sentinel importeras hotindikatorer med hjälp av datakopplingar. Det finns två dataanslutningar i Microsoft Sentinel som tillhandahålls specifikt för hotindikatorer, Threat Intelligence – TAXII för branschstandard-STIX/TAXII-feeds och Threat Intelligence Platforms för integrerade och curated TI-flöden. Du kan använda antingen dataanslutningen fristående eller båda anslutningarna tillsammans, beroende på var din organisation källor hotindikatorer.

Se den här katalogen med integreringar av hotinformation som är tillgängliga med Microsoft Sentinel.

Lägga till hotindikatorer i Microsoft Sentinel med dataanslutningsappen För hotinformationsplattformar

Många organisationer använder sig av TIPS-lösningar (Threat Intelligence Platform) för att aggregera hotindikator från olika källor, för att sammanställa data inom plattformen och sedan välja vilka hotindikatorer som ska tillämpas på olika säkerhetslösningar som nätverksenheter, Identifiering och åtgärd på slutpunkt/XDR-lösningar eller SIEM:er som Microsoft Sentinel. Om din organisation använder en integrerad TIPS-lösningkan du använda dataanslutningsappen För hotinformationsplattformar med ditt TIPS för att importera hotindikatorer till Microsoft Sentinel.

Eftersom TIP-dataanslutningsappen fungerar med MICROSOFT Graph Security-API:et för tiIndikatorer kan den också användas av valfri anpassad plattform för hotinformation som kommunicerar med tiIndikator-API:et för att skicka indikatorer till Microsoft Sentinel (och till andra Microsoft-säkerhetslösningar som Microsoft 365 Defender).

Mer information om TIPS-lösningar som är integrerade med Microsoft Sentinel finns i Integrated Threat Intelligence Platform products (Integrerade hotinformationsplattformsprodukter).

Importera hotindikatorer till Microsoft Sentinel från din integrerade TIPS- eller anpassade hotinformationsplattform:

1. Hämta ett program-ID och en klienthemlighet från Azure Active Directory

2. Ange den här informationen i din TIPS-lösning eller anpassade program

3. Aktivera dataanslutningen För hotinformationsplattformar i Microsoft Sentinel

Mer information finns i Anslut din plattform för hotinformation till Microsoft Sentinel.

Lägga till hotindikatorer i Microsoft Sentinel med threat intelligence – TAXII-dataanslutning

Den mest använda branschstandarden för överföring av hotinformation är en kombination av STIX-dataformatet och TAXII-protokollet. Om din organisation får hotindikatorer från lösningar som stöder den aktuella STIX/TAXII-versionen (2.0 eller 2.1) kan du använda dataanslutningsappen Threat Intelligence – TAXII för att föra in dina hotindikatorer i Microsoft Sentinel. Hotinformation – TAXII-dataanslutning gör att en inbyggd TAXII-klient i Microsoft Sentinel kan importera hotinformation från TAXII 2.x-servrar.

Importera STIX-formaterade hotindikatorer till Microsoft Sentinel från en TAXII-server:

1. Hämta ROT- och samlings-ID för TAXII-server-API:et

2. Aktivera hotinformation – TAXII-dataanslutning i Microsoft Sentinel

Mer information finns i Anslut Microsoft Sentinel till STIX/TAXII threat intelligence feeds.

Visa och hantera hotindikatorer

Du kan visa dina importerade hotindikatorer, oavsett källflöde eller anslutning, i tabellen ThreatIntelligenceIndicator (under Microsoft Sentinel-gruppen) i Loggar där alla dina Microsoft Sentinel-händelsedata lagras. Den här tabellen utgör grunden för hotinformationsfrågor som utförs av andra Microsoft Sentinel-funktioner som Analys och Arbetsböcker.

Resultatet bör se ut ungefär som exempel på hotindikator som visas nedan:

Du kan också visa och hantera dina indikatorer på det nya bladet Hotinformation, som är tillgängligt från Microsoft Sentinel-huvudmenyn. Du kan sortera, filtrera och söka efter importerade hotindikatorer utan att ens skriva en Log Analytics-fråga. Med den här funktionen kan du också skapa hotindikatorer direkt i Microsoft Sentinel-gränssnittet, samt utföra två av de vanligaste administrativa uppgifterna för hotinformation: indikatortaggning och att skapa nya indikatorer relaterade till säkerhetsundersökningar.

Att tagga hotindikatorer är ett enkelt sätt att gruppera dem så att de blir lättare att hitta. Normalt kan du använda en tagg för indikatorer relaterade till en viss incident, eller de som representerar hot från en viss känd aktör eller en välkänd attackkampanj. Du kan tagga hotindikatorer individuellt eller välja flera indikatorer och tagga dem samtidigt. Nedan visas ett exempel på taggning av flera indikatorer med ett incident-ID. Eftersom taggning är i fritt format är en rekommenderad metod att skapa standardkonventioner för namngivning av hotindikatortaggar. Du kan använda flera taggar för varje indikator.

Mer information om hur du visar och hanterar hotindikatorer finns i Arbeta med hotindikatorer i Microsoft Sentinel.

Visa dina geoplats- och whois-databerikningar (offentlig förhandsversion)

Microsoft utökar varje indikator med extra GeoLocation- och WhoIs-data, vilket ger mer kontext för undersökningar där den valda indikatorn för kompromettering (IOC) hittas.

Du kan visa geoplats- och whois-data i fönstret Hotinformation för varje indikator på kompromettering som du har importerat till Microsoft Sentinel.

Du kan till exempel använda GeoLocation-data för att hitta information som Organisation eller Land för indikatorn och WhoIs-data för att hitta data som Registrator och Registrera skapandedata.

Identifiera hot med hotindikatorbaserad analys

Det viktigaste användningsfallet för hotindikatorer i SIEM-lösningar som Microsoft Sentinel är att skapa analysregler för hotidentifiering. Dessa indikatorbaserade regler jämför råhändelser från dina datakällor mot dina hotindikatorer för att identifiera säkerhetshot i din organisation. I Microsoft Sentinel Analytics skapar du analysregler som körs enligt ett schema och genererar säkerhetsaviseringar. Reglerna styrs av frågor, tillsammans med konfigurationer som avgör hur ofta regeln ska köras, vilken typ av frågeresultat som ska generera säkerhetsaviseringar och incidenter och vilka om några automatiseringar ska utlösas som svar.

Du kan alltid skapa nya analysregler från grunden, men Microsoft Sentinel tillhandahåller en uppsättning inbyggda regelmallar, som skapats av Microsofts säkerhetstekniker, som du kan använda i realtid eller ändra efter dina behov. Du kan enkelt identifiera de regelmallar som använder hotindikatorer, eftersom de alla har rubriken "TI map...". Alla dessa regelmallar fungerar på samma sätt, och den enda skillnaden är vilken typ av hotindikatorer som används (domän, e-post, filhash, IP-adress eller URL) och vilken händelsetyp som ska matchas mot. Varje mall visar de datakällor som krävs för att regeln ska fungera, så att du snabbt kan se om du har de nödvändiga händelserna som redan har importerats i Microsoft Sentinel. När du redigerar och sparar en befintlig regelmall eller skapar en ny regel aktiveras den som standard.

Du hittar din aktiverade regel på fliken Aktiva regler i avsnittet Analytics i Microsoft Sentinel. Du kan redigera, aktivera, inaktivera, duplicera eller ta bort den aktiva regeln därifrån. Den nya regeln körs omedelbart vid aktivering och från och med då körs den enligt det definierade schemat.

Enligt standardinställningarna genererar alla resultat en säkerhetsavisering varje gång regeln körs enligt sitt schema. Säkerhetsaviseringar i Microsoft Sentinel kan visas i avsnittet Loggar i Microsoft Sentinel i tabellen SecurityAlert under gruppen Microsoft Sentinel.

I Microsoft Sentinel genererar aviseringarna som genereras från analysregler även säkerhetsincidenter som finns i Incidenter under Hothantering på Microsoft Sentinel-menyn. Incidenter är det som dina säkerhetsteam kommer att undersöka för att fastställa lämpliga åtgärdsåtgärder. Du hittar detaljerad information i den här självstudien: Undersöka incidenter med Microsoft Sentinel.

Mer information om hur du använder hotindikatorer i dina analysregler finns i Arbeta med hotindikatorer i Microsoft Sentinel.

Arbetsböcker ger insikter om din hotinformation

Arbetsböcker tillhandahåller kraftfulla interaktiva instrumentpaneler som ger dig insikter om alla aspekter av Microsoft Sentinel, och hotinformation är inget undantag. Du kan använda den inbyggda arbetsboken hotinformation för att visualisera viktig information om din hotinformation, och du kan enkelt anpassa arbetsboken efter dina affärsbehov. Du kan även skapa nya instrumentpaneler som kombinerar många olika datakällor så att du kan visualisera dina data på unika sätt. Eftersom Microsoft Sentinel-arbetsböcker baseras Azure Monitor arbetsböcker finns det redan omfattande dokumentation och många fler mallar. Ett bra ställe att börja är den här artikeln om hur du skapar interaktiva rapporter med Azure Monitor arbetsböcker.

Det finns också en omfattande community med Azure Monitor arbetsböcker på GitHub där du kan ladda ned ytterligare mallar och bidra med egna mallar.

Mer information om hur du använder och anpassar arbetsboken för hotinformation finns i Arbeta med hotindikatorer i Microsoft Sentinel.

Nästa steg

I det här dokumentet har du lärt dig om funktionerna för hotinformation i Microsoft Sentinel, inklusive bladet Hotinformation. Praktisk vägledning om hur du använder microsoft Sentinel-funktionerna för hotinformation finns i följande artiklar:

• Anslut Microsoft Sentinel till STIX-/TAXII-hotinformationsflöden.
• Anslut hotinformationsplattformar till Microsoft Sentinel.
• Se vilka TIPS-plattformar, TAXII-flöden och berikningar som enkelt kan integreras med Microsoft Sentinel.
• Arbeta med hotindikatorer i hela Microsoft Sentinel-upplevelsen.
• Identifiera hot med inbyggda eller anpassade analysregler i Microsoft Sentinel
• Undersöka incidenter i Microsoft Sentinel.