共用方式為

在 Microsoft Sentinel 中將實體新增至威脅情報

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal

在調查期間,您會檢查實體及其內容,作為瞭解事件範圍和本質的重要部分。 當您在事件中將實體探索為惡意功能變數名稱、URL、檔案或IP位址時,應該將其標記為威脅情報中的入侵指標並加以追蹤。

例如,您可以探索IP位址,以跨網路執行埠掃描,或做為命令和控制節點,從網路中大量節點傳送和/或接收傳輸。

Microsoft Sentinel 可讓您直接從事件調查中標記這些類型的實體,並將它新增至您的威脅情報。 您可以在記錄和威脅情報檢視新增的指標,並在您的 Microsoft Sentinel 工作區中使用這些指標。

將實體新增至威脅情報

除了調查圖表之外,新的 事件詳細數據頁面 可讓您以另一種方式將實體新增至威脅情報。 以下顯示這兩種方式。

  1. 從 [Microsoft Sentinel] 導覽功能表中,選取 [ 事件]。

  2. 選取要調查的事件。 在 [事件詳細數據] 面板中,選取 [檢視完整詳細數據 ] 以開啟 [事件詳細數據] 頁面。

    事件詳細數據頁面的螢幕快照。

  3. 從您要新增為威脅指標的 [實體 ] 小工具中尋找實體。 (您可以篩選清單或輸入搜尋字串,以協助您找出清單。

  4. 選取實體右側的三個點,然後從彈出視窗中選取 [新增至 TI ]。

    只有下列類型的實體可以新增為威脅指標:

    • 網域名稱
    • IP 位址 (IPv4 和 IPv6)
    • URL
    • 檔案 (哈希)

    將實體新增至威脅情報的螢幕快照。

無論您選擇哪兩個介面,您最終都會在這裡:

  1. [ 新增指標 ] 側邊面板隨即開啟。 系統會自動填入下列欄位:

    • 類型

      • 您所新增之實體所代表的指標類型。
        具有可能值的下拉式清單: ipv4-addripv6-addrURL檔案功能變數名稱
      • 必填;根據 實體類型自動填入。

      • 此欄位的名稱會動態變更為選取的指標類型。
      • 指標本身的值。
      • 必填;實體值會自動填入

    • Tags (標籤)

      • 您可以新增至指標的任意文字標籤。
      • 選;事件標識碼會自動填入。 您可以新增其他人。

    • 名稱

      • 指標的名稱-這是指標清單中會顯示的內容。
      • 選;事件名稱會自動填入

    • 建立者為

      • 指標的建立者。
      • 選;由登入 Microsoft Sentinel 的用戶自動填入。

    據以填入其餘欄位。

    • 威脅類型

      • 指標所表示的威脅類型。
      • 選;自由文字。

    • 說明

      • 指標的描述。
      • 選;自由文字。

    • 撤銷

      • 已撤銷指標的狀態。 標記複選框以撤銷指標,清除複選框使其成為使用中狀態。
      • 選;布爾。

    • 信賴度

      • 分數,以百分比反映數據正確性的信賴度。
      • 選;integer, 1-100

    • 終止鏈結

    • 有效自

      • 此指標視為有效的時間。
      • 必填;日期/時間

    • 有效到

      • 此指標不再被視為有效的時間。
      • 選;日期/時間

    在新的威脅指標面板中輸入信息的螢幕快照。

  2. 當所有欄位都填入您的滿意度時,請選取 [ 套用]。 您會在右上角看到已建立指標的確認訊息。

  3. 實體將會新增為工作區中的威脅指標。 您可以在 [威脅情報] 頁面的指標清單中,以及記錄中的 ThreatIntelligenceIndicators 數據表中找到它。

相關內容

在本文中,您已瞭解如何將實體新增至威脅指標清單。 如需詳細資訊,請參閱