在 Microsoft Sentinel 中將實體新增至威脅情報
在調查期間,您會檢查實體及其內容,作為瞭解事件範圍和本質的重要部分。 當您在事件中將實體探索為惡意功能變數名稱、URL、檔案或IP位址時,應該將其標記為威脅情報中的入侵指標並加以追蹤。
例如,您可以探索IP位址,以跨網路執行埠掃描,或做為命令和控制節點,從網路中大量節點傳送和/或接收傳輸。
Microsoft Sentinel 可讓您直接從事件調查中標記這些類型的實體,並將它新增至您的威脅情報。 您可以在記錄和威脅情報中檢視新增的指標,並在您的 Microsoft Sentinel 工作區中使用這些指標。
將實體新增至威脅情報
除了調查圖表之外,新的 事件詳細數據頁面 可讓您以另一種方式將實體新增至威脅情報。 以下顯示這兩種方式。
- [事件詳細資料] 頁面
- 調查圖表
無論您選擇哪兩個介面,您最終都會在這裡:
[ 新增指標 ] 側邊面板隨即開啟。 系統會自動填入下列欄位:
類型
- 您所新增之實體所代表的指標類型。
具有可能值的下拉式清單: ipv4-addr、 ipv6-addr、 URL、 檔案、 功能變數名稱 - 必填;根據 實體類型自動填入。
- 您所新增之實體所代表的指標類型。
值
- 此欄位的名稱會動態變更為選取的指標類型。
- 指標本身的值。
- 必填;實體值會自動填入。
Tags (標籤)
- 您可以新增至指標的任意文字標籤。
- 選;事件標識碼會自動填入。 您可以新增其他人。
名稱
- 指標的名稱-這是指標清單中會顯示的內容。
- 選;事件名稱會自動填入 。
建立者為
- 指標的建立者。
- 選;由登入 Microsoft Sentinel 的用戶自動填入。
據以填入其餘欄位。
威脅類型
- 指標所表示的威脅類型。
- 選;自由文字。
說明
- 指標的描述。
- 選;自由文字。
撤銷
- 已撤銷指標的狀態。 標記複選框以撤銷指標,清除複選框使其成為使用中狀態。
- 選;布爾。
信賴度
- 分數,以百分比反映數據正確性的信賴度。
- 選;integer, 1-100
終止鏈結
- 指針對應的洛克希德馬丁網路殺手鏈中的階段。
- 選;自由文字
有效自
- 此指標視為有效的時間。
- 必填;日期/時間
有效到
- 此指標不再被視為有效的時間。
- 選;日期/時間
當所有欄位都填入您的滿意度時,請選取 [ 套用]。 您會在右上角看到已建立指標的確認訊息。
實體將會新增為工作區中的威脅指標。 您可以在 [威脅情報] 頁面的指標清單中,以及記錄中的 ThreatIntelligenceIndicators 數據表中找到它。
相關內容
在本文中,您已瞭解如何將實體新增至威脅指標清單。 如需詳細資訊,請參閱