在 Microsoft Sentinel 中使用威脅指標
可透過下列活動,將威脅情報 (TI) 整合至 Microsoft Sentinel 中:
在 [記錄] 和 [Microsoft Sentinel 威脅情報] 頁面中檢視和管理匯入的威脅情報。
根據您匯入的威脅情報使用內建的 Analytics 規則範本,以偵測威脅並產生安全性警示和事件。
使用威脅情報活頁簿,以在 Microsoft Sentinel 中視覺化已匯入威脅情報的重要資訊。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
在 Microsoft Sentinel 中檢視您的威脅指標
在 [威脅情報] 頁面中尋找並檢視您的指標
此程式描述如何在 [威脅情報] 頁面中檢視和管理指標,可從主要 Microsoft Sentinel 功能表存取。 使用 [ 威脅情報 ] 頁面來排序、篩選和搜尋您匯入的威脅指標,而不需撰寫Log Analytics查詢。
若要在 [威脅情報] 頁面中檢視威脅情報指標:
針對 Azure 入口網站 中的 Microsoft Sentinel,在 [威脅管理] 底下,選取 [威脅情報]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>威脅管理>威脅情報]。從方格中,選取您想要檢視更多詳細數據的指標。 指標的詳細數據會出現在右側,顯示信賴等級、標記、威脅類型等資訊。
Microsoft Sentinel 只會在此檢視中顯示最新版的指標。 如需指標更新方式的詳細資訊,請參閱 瞭解威脅情報。
IP 和功能變數名稱指標會以額外的 GeoLocation 和 神秘 Is 數據擴充,為找到所選指標的調查提供更多內容。
例如:
![[威脅情報] 頁面的螢幕快照,其中顯示 GeoLocation 和 神秘 Is 數據的指標。](media/work-with-threat-indicators/geolocation-whois-sentinel.png#lightbox)
重要
GeoLocation 和 神秘 Is 擴充目前處於預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
在記錄中尋找和檢視指標
此程式描述如何在 Microsoft Sentinel Logs 區域中檢視匯入的威脅指標,以及其他 Microsoft Sentinel 事件數據,而不論使用的來源摘要或連接器為何。
匯入的威脅指標會列在 Microsoft Sentinel ThreatIntelligenceIndicator 數據表中,這是在 Microsoft Sentinel 中其他地方執行的威脅情報查詢的基礎,例如 Analytics 或 Workbooks。>
若要在記錄中檢視威脅情報指標:
針對 Azure 入口網站 中的 Microsoft Sentinel,請在 [一般] 底下選取 [記錄]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [調查與回應>搜捕進階搜捕]。>ThreatIntelligenceIndicator 數據表位於 Microsoft Sentinel 群組底下。
選取資料表名稱旁的 [預覽數據 ] 圖示 (眼睛),然後選取 [在查詢編輯器 中查看] 按鈕來執行查詢,以顯示此數據表中的記錄。
您的結果看起來應該類似此螢幕快照中顯示的範例威脅指標:
建立和標記指標
[ 威脅情報 ] 頁面也可讓您直接在 Microsoft Sentinel 介面內建立威脅指標,並執行兩個最常見的威脅情報系統管理工作:指標標記,以及建立與安全性調查相關的新指標。
建立新的指標
針對 Azure 入口網站 中的 Microsoft Sentinel,在 [威脅管理] 底下,選取 [威脅情報]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>威脅管理>威脅情報]。從頁面頂端的功能表欄選取 [新增] 按鈕。
選擇指標類型,然後在 [ 新增指標 ] 面板上完成窗體。 必要的欄位會以紅色星號 \.
選取套用。 指標會新增至指標清單,也會傳送至 Logs 中的 ThreatIntelligenceIndicator 數據表。
標記和編輯威脅指標
標記威脅指標是將威脅指標分組在一起以方便尋找的簡單方式。 一般而言,您可能會將標記套用至與特定事件相關的指標,或套用到代表特定已知動作專案或已知攻擊活動威脅的指標。 個別標記威脅指標,或多重選取指標,並一次標記它們。 如下所示,以事件標識碼標記多個指標的範例。 由於標記是自由格式,建議的作法是為威脅指標標記建立標準命名慣例。 指標允許套用多個標記。
Microsoft Sentinel 也可讓您編輯指標,無論是直接在 Microsoft Sentinel 中建立指標,還是來自合作夥伴來源,例如 TIP 和 TAXII 伺服器。 針對在 Microsoft Sentinel 中建立的指標,所有字段都可以編輯。 對於來自合作夥伴來源的指標,只有特定字段可以編輯,包括標籤、 到期日、 信賴度和 撤銷。 無論哪種方式,請記住,只有最新版的指標會顯示在 [威脅情報] 頁面檢視中。 如需指標更新方式的詳細資訊,請參閱 瞭解威脅情報。
活頁簿提供威脅情報的深入解析
使用專用的 Microsoft Sentinel 活頁簿,以可視化方式呈現 Microsoft Sentinel 中威脅情報的重要資訊,並根據業務需求自定義活頁簿。
以下說明如何尋找 Microsoft Sentinel 中提供的威脅情報活頁簿,以及如何對活頁簿進行編輯以自定義該活頁簿的範例。
從 Azure 入口網站,流覽至 Microsoft Sentinel 服務。
選擇您已使用任一威脅情報數據連接器匯入威脅指標的工作區。
從 Microsoft Sentinel 功能表的 [威脅管理] 區段中選取 [活頁簿]。
尋找標題為 Threat Intelligence 的 活頁簿,並確認您在 ThreatIntelligenceIndicator 數據表中有數據,如下所示。
選取 [儲存 ] 按鈕,然後選擇 Azure 位置來儲存活頁簿。 如果您要以任何方式修改活頁簿,並儲存變更,則需要此步驟。
現在選取 [檢視儲存的活頁簿] 按鈕,以開啟活頁簿以供檢視和編輯。
您現在應該會看到範本所提供的預設圖表。 若要修改圖表,請選取 頁面頂端的 [編輯 ] 按鈕,以輸入活頁簿的編輯模式。
依威脅類型新增威脅指標圖表。 捲動至頁面底部,然後選取 [ 新增查詢]。
將下列文字新增至 [Log Analytics 工作區記錄查詢] 文字盒:
ThreatIntelligenceIndicator | summarize count() by ThreatType在 [ 視覺效果] 下拉式清單中,選取 [條形圖]。
選取 [ 完成編輯] 按鈕。 您已為活頁簿建立新的圖表。
活頁簿提供功能強大的互動式儀錶板,讓您深入瞭解 Microsoft Sentinel 的所有層面。 您可以使用活頁簿執行許多動作,雖然提供的範本是絕佳的起點,但您可能會想要深入探討和自定義這些範本,或建立結合許多不同的數據源的新儀錶板,以便以獨特的方式將數據可視化。 由於 Microsoft Sentinel 活頁簿是以 Azure 監視器活頁簿為基礎,因此已有大量檔可供使用,而且還有更多範本。 本文是有關如何 使用 Azure 監視器活頁簿建立互動式報表的一個絕佳起點。
GitHub 上也有豐富的 Azure 監視器活頁簿社群,可下載更多範本並貢獻您自己的範本。
相關內容
在本文中,您已瞭解在 Microsoft Sentinel 中使用威脅情報指標的所有方式。 如需 Microsoft Sentinel 中威脅情報的詳細資訊,請參閱下列文章:
- 瞭解 Microsoft Sentinel 中的威脅情報。
- 連線 Microsoft Sentinel 至STIX/TAXII 威脅情報摘要。
- 查看哪些 TIP、TAXII 摘要和擴充 可輕易地與 Microsoft Sentinel 整合。