本文介绍基于云的安全信息和事件管理 (SIEM) 解决方案(例如 Microsoft Sentinel)如何使用威胁指标来检测、提供上下文并告知对现有或潜在网络威胁的响应。
体系结构
下载此体系结构的 Visio 文件。
工作流
Microsoft Sentinel 可以用来:
- 从结构化威胁信息表达式 (STIX) 和情报信息的可信自动化交换 (TAXII) 服务器或任何威胁情报平台 (TIP) 解决方案导入威胁指标。
- 查看和查询威胁指标数据。
- 创建分析规则,基于网络威胁情报 (CTI) 数据生成安全警报、事件和自动响应。
- 可视化工作簿中的关键 CTI 信息。
威胁指标数据连接器
与所有其他事件数据一样,Microsoft Sentinel 使用数据连接器导入威胁指标。 用于威胁指标的两个 Microsoft Sentinel 数据连接器是:
- 威胁情报 - TAXII
- 威胁情报平台
可以使用一个或同时使用两个数据连接器,具体取决于组织获取威胁指标数据的位置。 在要接收数据的每个工作区中启用数据连接器。
威胁情报 - TAXII 数据连接器
CTI 传输最广泛使用的行业标准是 STIX 数据格式和 TAXII 协议。 如果组织从当前的 STIX/TAXII 版本 2.x 解决方案中获取威胁指标,则可使用“威胁情报 - TAXII”数据连接器将威胁指标引入 Microsoft Sentinel。 内置 Microsoft Sentinel TAXII 客户端从 TAXII 2.x 服务器导入威胁情报。
若要详细了解如何将 STIX/TAXII 威胁指标数据导入 Microsoft Sentinel,请参阅使用 TAXII 数据连接器导入威胁指标。
威胁情报平台数据连接器
许多组织使用 MISP、Anomali ThreatStream、ThreatConnect 或 Palo Alto Networks MineMeld 等 TIP 解决方案来聚合来自各种源的威胁指标源。 组织使用 TIP 来策展数据。 然后,他们选择要应用于安全解决方案(例如网络设备、高级威胁防护解决方案,或者 Microsoft Sentinel 等 SIEM)的威胁指标。 威胁情报平台数据连接器使组织能够将集成 TIP 解决方案与 Microsoft Sentinel 配合使用。
威胁情报平台数据连接器使用 Microsoft Graph Security tiIndicators API。 具有自定义 TIP 的任何组织都可以使用此数据连接器来利用 tiIndicators API,并将指标发送到 Microsoft Sentinel 和其他 Microsoft 安全解决方案(例如 Defender ATP)。
若要详细了解如何将 TIP 数据导入 Microsoft Sentinel,请参阅使用平台数据连接器导入威胁指标。
威胁指标日志
使用“威胁情报 - TAXII”或“威胁情报平台”数据连接器将威胁指标导入 Microsoft Sentinel 后,可以在日志的 ThreatIntelligenceIndicator 表中查看导入的数据,其中存储了所有 Microsoft Sentinel 事件数据。 Microsoft Sentinel 功能(例如 Analytics 和工作簿)也使用此表。
若要详细了解如何使用威胁指标日志,请参阅使用 Microsoft Sentinel 中的威胁指标。
Microsoft Sentinel Analytics
SIEM 解决方案中威胁指标的最关键的用途是为分析提供支持,将事件与威胁指标匹配,以产生安全警报、事件和自动响应。 Microsoft Sentinel Analytics 创建了按计划触发以生成警报的分析规则。 你可以用规则参数表示查询。 然后,你可配置规则的运行频率、生成安全警报和事件的查询结果,以及对警报的任何自动响应。
你可以从头开始新建分析规则,或从一组内置的 Microsoft Sentinel 规则模板新建分析规则,你可以按原样使用这些模板,也可以根据需要进行修改。 将威胁指标与事件数据匹配的分析规则模板的标题全都以“TI map”开头。 所有模板的工作方式类似。
模板的区别在于要使用哪种类型的威胁指标,例如域、电子邮件地址、文件哈希、IP 地址或 URL,以及要匹配的事件类型。 每个模板都列出了规则发挥作用所需的数据源,因此你可以看到是否已在 Microsoft Sentinel 中导入了必要事件。
若要详细了解如何根据模板创建分析规则,请参阅根据模板创建分析规则。
在 Microsoft Sentinel 中,已启用的分析规则位于“分析”部分的“活动规则”选项卡中。 你可以编辑、启用、禁用、复制或删除活动规则。
生成的安全警报位于 Microsoft Sentinel 的“日志”部分的“SecurityAlert”表中。 安全警报还会在“事件”部分生成安全事件。 安全运营团队可以会审和调查事件,以确定适当的响应。 有关详细信息,请参阅教程:通过 Microsoft Sentinel 调查事件。
还可以指定在规则生成安全警报时要触发的自动化操作。 Microsoft Sentinel 中的自动化功能使用由 Azure 逻辑应用提供支持的 playbook。 有关详细信息,请参阅教程:在 Microsoft Sentinel 中设置自动威胁响应。
Microsoft Sentinel 威胁情报工作簿
工作簿提供功能强大的交互式仪表板,让你能够深入了解 Microsoft Sentinel 的各个方面。 可以使用 Microsoft Sentinel 工作簿可视化关键 CTI 信息。 模板提供了一个起点,你可以根据你的业务需求轻松地定制这些模板。 你可创建新的仪表板,它们结合了许多不同的数据源,并且以独特的方式可视化数据。 Microsoft Sentinel 工作簿基于 Azure Monitor 工作簿,因此提供了大量文档和模板。
若要详细了解如何查看和编辑 Microsoft Sentinel 威胁情报工作簿,请参阅查看和编辑威胁情报工作簿。
备选方法
- 威胁指标在其他 Microsoft Sentinel 体验(例如搜寻和笔记本)中提供了有用的上下文。 若要详细了解如何在笔记本中使用 CTI,请参阅 Sentinel 中的 Jupyter Notebook。
- 任何具有自定义 TIP 的组织都可以使用 Microsoft Graph Security tiIndicators API 将威胁指标发送到 Defender ATP 等其他 Microsoft 安全解决方案。
- Microsoft Sentinel 为 Microsoft 威胁防护、Microsoft 365 源和 Microsoft Defender for Cloud Apps 等解决方案提供了许多其他内置数据连接器。 还有内置的连接器可以拓宽非 Microsoft 解决方案的安全生态系统。 也可以使用通用事件格式 Syslog 或 REST-API 将数据源与 Microsoft Sentinel 连接。 有关详细信息,请参阅连接数据源。
方案详细信息
网络威胁情报 (CTI) 可能具有多个来源,例如开源数据源、威胁情报共享社区、付费情报源,以及组织内部的安全调查。
CTI 范围广泛,从关于威胁行动者的动机、基础结构和技术的书面报告,到对 IP 地址、域和文件哈希的具体观察结果。 CTI 提供了异常活动的基本上下文,因此安全人员可以迅速执行操作来保护人员和资产。
在像 Microsoft Sentinel 这样的 SIEM 解决方案中,最常用的 CTI 是威胁指标数据,有时也称为失陷指标 (IoC)。 威胁指标将 URL、文件哈希、IP 地址和其他数据与已知的威胁活动(如钓鱼、僵尸网络或恶意软件)关联起来。
这种形式的威胁情报通常称为战术威胁情报,因为安全产品和自动化可以大规模地使用它来保护和检测潜在的威胁。 Microsoft Sentinel 可帮助检测、响应恶意网络活动,并提供其 CTI 上下文。
可能的用例
- 连接来自公共服务器的开源威胁指标数据,以识别、分析和响应威胁活动。
- 通过 Microsoft Graph
tiIndicatorsAPI 使用现有威胁情报平台或自定义解决方案来连接和控制对威胁指标数据的访问。 - 为安全调查员和利益干系人提供 CTI 上下文和报告。
注意事项
- Microsoft Sentinel 威胁情报数据连接器目前处于公开预览阶段。 某些功能可能不受支持或者受限。
- Microsoft Sentinel 使用 Azure 基于角色的访问控制 (Azure RBAC) 向用户、组和 Azure 服务分配内置角色(参与者、读取者和响应者)。 这些角色可以与 Azure 角色(所有者、参与者、读取者)和 Log Analytics 角色(Log Analytics 读取者、Log Analytics 参与者)交互。 可以创建自定义角色,对 Microsoft Sentinel 中存储的数据使用高级 Azure RBAC。 有关详细信息,请参阅 Microsoft Sentinel 中的权限。
- 任何 Azure Monitor Log Analytics 工作区的 Microsoft Sentinel 都可在前 31 天免费使用。 之后,可以按即用即付或产能预留模型来使用引入和存储的数据。 要了解详情,请参阅 Microsoft Sentinel 定价。
部署此方案
以下部分提供了操作步骤:
- 启用威胁情报 – TAXII 和威胁情报平台数据连接器。
- 创建一个示例 Microsoft Sentinel Analytics 规则,以基于 CTI 数据生成安全警报和事件。
- 查看并编辑 Microsoft Sentinel 威胁情报工作簿。
使用 TAXII 数据连接器导入威胁指标
警告
以下说明使用 Limo,即 Anomali 的免费 STIX/TAXII 源。 此源的生命周期已终止,不再更新。 无法按书面内容完成以下说明。 可以使用有权访问的另一个 API 兼容源来置换此源。
TAXII 2.x 服务器会播发 API 根,这些根是托管威胁情报集合的 URL。 如果你已经知道要使用的 TAXII 服务器 API 根和集合 ID,可以跳过操作并在 Microsoft Sentinel 中启用 TAXII 连接器。
如果没有 API 根,那么你通常可以从威胁情报提供商的文档页获取该信息,但有时,唯一可用的信息是发现终结点 URL。 可以使用发现终结点找到 API 根。 在此示例中,我们将使用 Anomali Limo ThreatStream TAXII 2.0 服务器的发现终结点。
在浏览器中转到 ThreatStream TAXII 2.0 服务器发现终结点:
https://limo.anomali.com/taxii。 使用用户名“guest”和密码“guest”登录。 登录后,会看到以下消息:{ "api_roots": [ "https://limo.anomali.com/api/v1/taxii2/feeds/", "https://limo.anomali.com/api/v1/taxii2/trusted_circles/", "https://limo.anomali.com/api/v1/taxii2/search_filters/" ], "contact": "info@anomali.com", "default": "https://limo.anomali.com/api/v1/taxii2/feeds/", "description": "TAXII 2.0 Server (guest)", "title": "ThreatStream Taxii 2.0 Server" }要浏览集合,请在浏览器中输入在上一步获取的 API 根:
https://limo.anomali.com/api/v1/taxii2/feeds/collections/。 你将看到如下所示的信息:{ "collections": [ { "can_read": true, "can_write": false, "description": "", "id": "107", "title": "Phish Tank" }, ... { "can_read": true, "can_write": false, "description": "", "id": "41", "title": "CyberCrime" } ] }
现在,你已获得将 Microsoft Sentinel 连接到 Anomali Limo 提供的一个或多个 TAXII 服务器集合所需的所有信息。 例如:
| API 根 | 集合 ID |
|---|---|
| Phish Tank | 107 |
| 网络犯罪 | 41 |
要在 Microsoft Sentinel 中启用“威胁情报 - TAXII”数据连接器:
在 Azure 门户中,搜索并选择“Microsoft Sentinel”。
选择要从 TAXII 服务器将威胁指标导入到的工作区。
从最左侧的窗格中选择“数据连接器”。 搜索“威胁智能 - TAXII (预览版)”并将其选中,然后选择“打开连接器”页面。
在“配置”页上,输入(服务器的)友好名称值,例如集合标题。 输入要导入的 API 根 URL 和集合 ID。 根据需要输入用户名和密码,然后选择“添加”。
你会在“已配置的 TAXII 2.0 服务器”列表下看到你的连接。 对要从相同或不同 TAXII 服务器进行连接的每个集合重复此配置。
使用平台数据连接器导入威胁指标
tiIndicators API 需要 TIP 或自定义解决方案的应用程序(客户端)ID、目录(租户)ID 和客户端密码,来连接 Microsoft Sentinel 并向其发送威胁指标。 要获取信息,可在 Microsoft Entra ID 中注册 TIP 或解决方案应用,并为其授予所需的权限。
有关详细信息,请参阅将威胁情报平台连接到 Microsoft Sentinel。
根据模板创建分析规则
此示例使用名为“TI 将 IP 实体映射到 AzureActivity”的规则模板,这会将任何 IP 地址类型威胁指标与所有 Azure 活动 IP 地址事件进行比较。 任何匹配都会生成安全警报,以及由安全操作团队调查的相应事件。
此示例假设你已使用一个或全部两个威胁情报数据连接器导入威胁指标,使用 Azure 活动数据连接器导入 Azure 订阅级别事件。 你需要这两种数据类型才能成功使用此分析规则。
在 Azure 门户中,搜索并选择“Microsoft Sentinel”。
选择使用任一威胁情报数据连接器将威胁指标导入到的工作区。
在最左侧的窗格上,选择“分析”。
在“规则模板”选项卡上,搜索“(预览版) TI 将 IP 实体映射到 AzureActivity”规则并将其选中。 选择“创建规则”。
在第一个“分析规则向导 - 根据模板创建新规则”页面上,确保规则状态设置为“已启用”。 根据需要更改规则名或说明。 选择“下一步:设置规则逻辑”。
规则逻辑页面包含规则查询、要映射的实体、规则计划以及生成安全警报的查询结果数。 模板设置每小时运行一次。 它们会标识与 Azure 事件中的任何 IP 地址匹配的任何 IP 地址 IoC。 它们还会为所有匹配项生成安全警报。 你可以保留这些设置,或根据需要进行任何更改。 完成后,选择“下一步:事件设置(预览版)”。
在“事件设置(预览版)”中,确保将“根据此分析规则触发的警报创建事件”设置为“已启用”。 选择“下一步: 自动响应”。
此步骤支持配置在规则生成安全警报时要触发的自动化。 Microsoft Sentinel 中的自动化功能使用由 Azure 逻辑应用提供支持的 playbook。 有关详细信息,请参阅教程:在 Microsoft Sentinel 中设置自动威胁响应。 对于此示例,请选择“下一步: 审阅”。 查看设置后,选择“创建”。
规则在创建后立即激活,然后按定期计划触发。
查看和编辑威胁情报工作簿
在 Azure 门户中,搜索并选择“Microsoft Sentinel”。
选择使用任一威胁情报数据连接器将威胁指标导入到的工作区。
在最左侧的窗格上,选择“工作簿”。
搜索并选择标题为“威胁情报”的工作簿。
请确保具有所示的必要数据和连接。 选择“保存”。
在弹出窗口中,选择一个位置,然后选择“确定”。 此步骤将保存工作簿,以便可以对其进行修改并保存所做的更改。
选择“查看保存的工作簿”以打开工作簿并查看模板提供的默认图表。
要编辑工作簿,请选择“编辑”。 可以选择任何图表旁边的“编辑”以编辑该图表的查询和设置。
要按威胁类型添加一个显示威胁指标的新图表:
选择“编辑” 。 滚动到页面底部,然后选择“添加”>“添加查询”。
在“Log Analytics 工作区日志查询”下,输入以下查询:
ThreatIntelligenceIndicator | summarize count() by ThreatType在“可视化”下拉列表中选择“条形图”,然后选择“完成编辑”。
在页面顶部,选择“完成编辑”。 选择“保存”图标以保存新图表和工作簿。
后续步骤
转到 GitHub 上的 Microsoft Sentinel 存储库,查看大型社区和 Microsoft 贡献的内容。 你可在这里找到有关 Microsoft Sentinel 各功能区域的新想法、模板和对话。
Microsoft Sentinel 工作簿基于 Azure Monitor 工作簿,因此提供了大量文档和模板。 使用 Azure Monitor 工作簿创建交互式报表是一个很好的起点。 GitHub 上有一系列社区主导的 Azure Monitor 工作簿模板可供下载。
要了解有关特色技术的更多信息,请参阅:
- 什么是 Microsoft Sentinel?
- 快速入门:加入 Microsoft Sentinel
- Microsoft Graph 安全性 tiIndicators API
- 教程:通过 Microsoft Sentinel 调查事件
- 教程:在 Microsoft Sentinel 中设置自动威胁响应