Arbeta med hotindikatorer i Microsoft Sentinel

  • Artikel
  • 11 minuter för att läsa

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.

Du kan integrera hotinformation (TI) i Microsoft Sentinel genom följande aktiviteter:

  • Importera hotinformation till Microsoft Sentinel genom att aktivera dataanslutningar till olika TI-plattformar och flöden.

  • Visa och hantera importerad hotinformation i Loggar och på sidan Microsoft Sentinel Threat Intelligence.

  • Identifiera hot och generera säkerhetsaviseringar och incidenter med hjälp av de inbyggda analysregelmallarna baserat på din importerade hotinformation.

  • Visualisera viktig information om din importerade hotinformation i Microsoft Sentinel med arbetsboken Threat Intelligence.

Visa dina hotindikatorer i Microsoft Sentinel

Hitta och visa dina indikatorer i Loggar

Den här proceduren beskriver hur du visar dina importerade hotindikatorer i området Microsoft Sentinel-loggar, tillsammans med andra Microsoft Sentinel-händelsedata, oavsett vilket källflöde eller anslutning som används.

Importerade hotindikatorer visas i tabellen Microsoft Sentinel > ThreatIntelligenceIndicator, som utgör grunden för hotinformationsfrågor som körs någon annanstans i Microsoft Sentinel, till exempel i analyser eller arbetsböcker.

Så här visar du indikatorer för hotinformation i Loggar:

  1. Öppna Azure Portal och gå till Microsoft Sentinel-tjänsten.

  2. Välj den arbetsyta som du har importerat hotindikatorer till med hjälp av antingen hotinformationsdataanslutningen.

  3. Välj Loggar i avsnittet Allmänt på Menyn Microsoft Sentinel.

  4. Tabellen ThreatIntelligenceIndicator finns under Microsoft Sentinel-gruppen.

  5. Välj ikonen Förhandsgranska data (ögat) bredvid tabellnamnet och välj knappen Se i frågeredigeraren för att köra en fråga som visar poster från den här tabellen.

Resultatet bör se ut ungefär som exempel på hotindikator som visas nedan:

Exempel på frågedata

Hitta och visa dina indikatorer på sidan Hotinformation

Den här proceduren beskriver hur du visar och hanterar dina indikatorer på sidan Hotinformation som är tillgänglig från Huvudmenyn i Microsoft Sentinel. Använd sidan Hotinformation för att sortera, filtrera och söka efter importerade hotindikatorer utan att skriva en Log Analytics-fråga.

Så här visar du indikatorer för hotinformation på sidan Hotinformation:

  1. Öppna Azure Portal och gå till Microsoft Sentinel-tjänsten.

  2. Välj den arbetsyta som du importerade hotindikatorer till med hjälp av anslutningsappar/spelböcker eller som har skapat hotinformationsdata.

  3. I avsnittet Hothantering till vänster väljer du sidan Hotinformation.

  4. Från rutnätet väljer du den indikator som du vill visa mer information för. Indikatorns information visas till höger och visar information som konfidensnivåer, taggar, hottyper med mera.

    Microsoft utökar varje indikator med extra GeoLocation- och WhoIs-data, vilket ger mer kontext för undersökningar där den valda indikatorn hittas.

    Exempel:

    Skärmbild av sidan Hotinformation med en indikator som visar GeoLocation- och WhoIs-data.

sidan Hotinformation kan du också skapa hotindikatorer direkt i Microsoft Sentinel-gränssnittet och utföra två av de vanligaste administrativa uppgifterna för hotinformation: indikatortaggning och skapa nya indikatorer relaterade till säkerhetsundersökningar.

Viktigt

GeoLocation och WhoIs-berikning finns för närvarande i FÖRHANDSVERSION. Tilläggsvillkor för Azure-förhandsversionen innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.

Skapa en ny indikator

  1. Från Azure Portaldu till Microsoft Sentinel-tjänsten.

  2. Välj den arbetsyta som du har importerat hotindikatorer till med hjälp av antingen hotinformationsdataanslutningen.

  3. Välj Hotinformation i avsnittet Hothantering på Microsoft Sentinel-menyn.

  4. Välj knappen Lägg till ny på menyraden högst upp på sidan.

    Lägga till en ny hotindikator

  5. Välj indikatortyp och fyll sedan i formuläret på panelen Ny indikator. De obligatoriska fälten markeras med en röd asterisk (*).

  6. Välj Använd. Indikatorn läggs till i listan över indikatorer och skickas även till tabellen ThreatIntelligenceIndicator i Loggar.

Tagga hotindikatorer

Att tagga hotindikatorer är ett enkelt sätt att gruppera dem så att de blir lättare att hitta. Normalt kan du använda en tagg för indikatorer relaterade till en viss incident, eller de som representerar hot från en viss känd aktör eller en välkänd attackkampanj. Du kan tagga hotindikatorer individuellt eller välja flera indikatorer och tagga dem samtidigt. Nedan visas ett exempel på taggning av flera indikatorer med ett incident-ID. Eftersom taggning är i fritt format är en rekommenderad metod att skapa standardkonventioner för namngivning av hotindikatortaggar. Du kan använda flera taggar för varje indikator.

Tillämpa taggar på hotindikatorer

Identifiera hot med hotindikatorbaserad analys

Det viktigaste användningsfallet för hotindikatorer i SIEM-lösningar som Microsoft Sentinel är att skapa analysregler för hotidentifiering. Dessa indikatorbaserade regler jämför råhändelser från dina datakällor mot dina hotindikatorer för att fastställa förekomsten av säkerhetshot i din organisation. I Microsoft Sentinel Analytics skapar du analysregler som körs enligt ett schema och genererar säkerhetsaviseringar. Reglerna styrs av frågor, tillsammans med konfigurationer som bestämmer hur ofta regeln ska köras, vilken typ av frågeresultat som ska generera säkerhetsaviseringar och incidenter och vilka automatiseringar som ska utlösas som svar.

Du kan alltid skapa nya analysregler från grunden, men Microsoft Sentinel tillhandahåller en uppsättning inbyggda regelmallar, som skapats av Microsofts säkerhetstekniker, som du kan använda i realtid eller ändra efter dina behov. Du kan enkelt identifiera de regelmallar som använder hotindikatorer, eftersom de alla har rubriken "TI map...". Alla dessa regelmallar fungerar på samma sätt, och den enda skillnaden är vilken typ av hotindikatorer som används (domän, e-post, filhash, IP-adress eller URL) och vilken händelsetyp som ska matchas mot. Varje mall visar de datakällor som krävs för att regeln ska fungera, så att du snabbt kan se om du har de nödvändiga händelserna som redan har importerats i Microsoft Sentinel. När du redigerar och sparar en befintlig regelmall eller skapar en ny regel aktiveras den som standard.

Konfigurera en regel för att generera säkerhetsaviseringar

Nedan visas ett exempel på hur du aktiverar och konfigurerar en regel för att generera säkerhetsaviseringar med hjälp av de hotindikatorer som du har importerat till Microsoft Sentinel. I det här exemplet använder du regelmallen som heter TI-mappnings-IP-entitet till AzureActivity. Den här regeln matchar alla hotindikator av IP-adresstyp med alla dina Azure-aktivitetshändelser. När en matchning hittas genereras en avisering och en motsvarande incident för undersökning av ditt säkerhetsdriftsteam. Den här analysregeln fungerar bara om du har aktiverat en eller båda hotinformationsdataanslutningsapparna (för att importera hotindikatorer) och Azure Activity-dataanslutningsappen (för att importera händelser på Azure-prenumerationsnivå).

  1. Från Azure Portaldu till Microsoft Sentinel-tjänsten.

  2. Välj den arbetsyta som du importerade hotindikatorer till med hjälp av hotinformationsdataanslutningsapparna och Azure-aktivitetsdata med hjälp av anslutningsappen för Azure-aktivitetsdata.

  3. Välj Analys i avsnittet Konfiguration på Menyn Microsoft Sentinel.

  4. Välj fliken Regelmallar för att se listan över tillgängliga analysregelmallar.

  5. Leta reda på regeln med namnet TI-mappnings-IP-entitet till AzureActivity och kontrollera att du har anslutit alla nödvändiga datakällor enligt nedan.

    Datakällor som krävs

  6. Välj IP-entiteten för TI-mappning till AzureAktivitetsregel och välj sedan Skapa regel för att öppna en regelkonfigurationsguide. Konfigurera inställningarna i guiden och välj sedan Nästa: Ange regellogik >.

    Skapa analysregel

  7. Regellogiken i guiden har fyllts i i förväg med följande objekt:

    • Frågan som ska användas i regeln.

    • Entitetsmappningar, som talar om för Microsoft Sentinel hur entiteter som Konton, IP-adresser och URL:er ska känna igen, så att incidenter och undersökningar förstår hur man arbetar med data i alla säkerhetsaviseringar som genereras av den här regeln.

    • Schemat för att köra den här regeln.

    • Antalet frågeresultat som behövs innan en säkerhetsavisering genereras.

    Standardinställningarna i mallen är:

    • Kör en gång i timmen.

    • Matcha eventuella hotindikatorer för IP-adresser från tabellen ThreatIntelligenceIndicator med alla IP-adresser som påträffats under den senaste timmen av händelser från tabellen AzureActivity.

    • Generera en säkerhetsavisering om frågeresultatet är större än noll, vilket innebär att om några matchningar hittas.

    Du kan lämna standardinställningarna eller ändra dem så att de uppfyller dina krav, och du kan definiera inställningar för incidentgenerering på fliken Incidentinställningar. Mer information finns i Skapa anpassade analysregler för att identifiera hot. När du är klar väljer du fliken Automatiserat svar.

  8. Konfigurera all automatisering som du vill utlösa när en säkerhetsavisering genereras från den här analysregeln. Automatisering i Microsoft Sentinel görs med hjälp av kombinationer av automatiseringsregler och spelböcker som drivs av Azure Logic Apps. Mer information finns i den här självstudien: Använda spelböcker med automatiseringsregler i Microsoft Sentinel. När du är klar väljer du knappen Nästa: Granska > för att fortsätta.

  9. När du ser meddelandet om att regelverifieringen har slutförts väljer du knappen Skapa så är du klar.

Du hittar dina aktiverade regler på fliken Aktiva regler i avsnittet Analytics i Microsoft Sentinel. Du kan redigera, aktivera, inaktivera, duplicera eller ta bort den aktiva regeln därifrån. Den nya regeln körs omedelbart vid aktivering och från och med då körs den enligt det definierade schemat.

Enligt standardinställningarna genererar alla resultat en säkerhetsavisering varje gång regeln körs enligt sitt schema. Säkerhetsaviseringar i Microsoft Sentinel kan visas i avsnittet Loggar i Microsoft Sentinel i tabellen SecurityAlert under gruppen Microsoft Sentinel.

I Microsoft Sentinel genererar aviseringarna som genereras från analysregler även säkerhetsincidenter, som du hittar i Incidenter under Hothantering på Menyn Microsoft Sentinel. Incidenter är det som dina säkerhetsteam kommer att undersöka för att fastställa lämpliga åtgärdsåtgärder. Du hittar detaljerad information i den här självstudien: Undersöka incidenter med Microsoft Sentinel.

Identifiera hot med matchande analys (offentlig förhandsversion)

Viktigt

Matchande analys är för närvarande i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Microsoft Azure-förhandsversioner för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.

Skapa en regel med hjälp av den inbyggda analysregelmallen För matchning av hotinformation i Microsoft för att microsoft Sentinel ska matcha Microsoft-genererade hotinformationsdata med loggarna som du har matat in i Microsoft Sentinel.

Genom att matcha hotinformationsdata med dina loggar kan du generera aviseringar och incidenter med hög återgivning med rätt allvarlighetsgrad. När en matchning hittas grupperas alla aviseringar som genereras i incidenter.

Aviseringar grupperas per observerbar basis under en 24-timmars tidsram. Till exempel grupperas alla aviseringar som genereras under en 24-timmarsperiod som matchar domänen abc.com i en enda incident.

Gå igenom en incident som genereras av matchande analys

Om du har en matchning grupperas alla aviseringar som genereras i incidenter.

Använd följande steg för att gå igenom incidenter som genereras av regeln Microsoft Threat Intelligence Matching Analytics:

  1. På arbetsytan Microsoft Sentinel där du har aktiverat regeln Microsoft Threat Intelligence Matching Analytics väljer du Incidenter och söker efter Microsoft Threat Intelligence Analytics.

    Alla incidenter som hittas visas i rutnätet.

  2. Välj Visa fullständig information om du vill visa entiteter och annan information om incidenten, till exempel specifika aviseringar.

    Exempel:

    Exempel på matchande analysinformation.

När en matchning hittas publiceras indikatorn även till Log Analytics ThreatIntelligenceIndicators och visas på sidan Hotinformation. För alla indikatorer som publiceras från den här regeln definieras källan som Microsoft Threat Intelligence Analytics.

Till exempel i loggen ThreatIntelligenceIndicators:

Matchande analyser som visas i loggen ThreatIntelligenceIndicators.

På sidan Hotinformation:

Matchande analyser som visas på sidan Hotinformation.

Loggkällor som stöds för matchande analys

Microsoft Threat Intelligence Matching Analytics-regeln stöds för närvarande för följande loggkällor:

Loggkälla Description
CEF Matchningen görs för alla CEF-loggar som matas in i Log Analytics CommonSecurityLog-tabellen, förutom alla där DeviceVendor visas som Cisco .

För att matcha Microsoft-genererad hotinformation med CEF-loggar måste du mappa domänen RequestURL i fältet i CEF-loggen.
DNS Matchningen görs för alla DNS-loggar som är DNS-sökningsfrågor från klienter till DNS-tjänster ( SubType == "LookupQuery" ). DNS-frågor bearbetas endast för IPv4 ( QueryType=”A” ) och IPv6-frågor ( QueryType=” AAAA” ).

För att matcha Microsoft-genererad hotinformation med DNS-loggar behövs ingen manuell mappning av kolumner eftersom alla kolumner är standard från Windows DNS Server och domänerna kommer att finnas i kolumnen Name som standard.
Syslog Matchning görs för närvarande endast för Syslog-händelser där Facility är cron .

För att matcha Microsoft-genererad hotinformation med Syslog behövs ingen manuell mappning av kolumner. Informationen kommer som standard i syslog-fältet och regeln SyslogMessage parsar domänen direkt från SyslogMessage.

Arbetsböcker ger insikter om din hotinformation

Du kan använda en specialbyggd Microsoft Sentinel-arbetsbok för att visualisera viktig information om din hotinformation i Microsoft Sentinel, och du kan enkelt anpassa arbetsboken efter dina affärsbehov.

Så här hittar du arbetsboken för hotinformation i Microsoft Sentinel och ett exempel på hur du gör ändringar i arbetsboken för att anpassa den.

  1. Från Azure Portaldu till Microsoft Sentinel-tjänsten.

  2. Välj den arbetsyta som du har importerat hotindikatorer till med hjälp av antingen hotinformationsdataanslutningen.

  3. Välj Arbetsböcker i avsnittet Hothantering på Microsoft Sentinel-menyn.

  4. Leta upp arbetsboken med namnet Hotinformation och kontrollera att du har data i tabellen ThreatIntelligenceIndicator enligt nedan.

    Verifiera data

  5. Välj knappen Spara och välj en Azure-plats där du vill lagra arbetsboken. Det här steget krävs om du ska ändra arbetsboken på något sätt och spara ändringarna.

  6. Välj nu knappen Visa sparad arbetsbok för att öppna arbetsboken för visning och redigering.

  7. Nu bör du se standarddiagrammen som tillhandahålls av mallen. Om du vill ändra ett diagram väljer du knappen Redigera längst upp på sidan för att gå in i redigeringsläge för arbetsboken.

  8. Lägg till ett nytt diagram över hotindikatorer efter hottyp. Rulla längst ned på sidan och välj Lägg till fråga.

  9. Lägg till följande text i log query-textrutan för Log Analytics-arbetsytan:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

  10. I listrutan Visualisering väljer du Stapeldiagram.

  11. Välj knappen Klar med redigeringen. Du har skapat ett nytt diagram för din arbetsbok.

    Stapeldiagram

Arbetsböcker tillhandahåller kraftfulla interaktiva instrumentpaneler som ger dig insikter om alla aspekter av Microsoft Sentinel. Det finns mycket du kan göra med arbetsböcker, och även om de tillhandahållna mallarna är en bra utgångspunkt vill du förmodligen fördjupa dig i och anpassa dessa mallar eller skapa nya instrumentpaneler som kombinerar många olika datakällor så att du kan visualisera dina data på unika sätt. Eftersom Microsoft Sentinel-arbetsböcker baseras Azure Monitor arbetsböcker finns det redan omfattande dokumentation och många fler mallar. Ett bra ställe att börja är den här artikeln om hur du skapar interaktiva rapporter med Azure Monitor arbetsböcker.

Det finns också en omfattande community med Azure Monitor arbetsböcker på GitHub där du kan ladda ned fler mallar och bidra med egna mallar.

Nästa steg

I den här artikeln har du lärt dig hur du kan arbeta med indikatorer för hotinformation i Microsoft Sentinel. Mer information om hotinformation i Microsoft Sentinel finns i följande artiklar: