你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将实体添加到 Microsoft Sentinel 中的威胁情报
在调查期间,请检查实体及其上下文,这是了解事件范围和性质的重要操作。 当你在事件中发现某个实体是一个恶意的域名、URL、文件或 IP 地址时,该实体应作为威胁情报中的入侵指标 (IOC) 进行标记和跟踪。
例如,你发现某个 IP 地址在网络中执行端口扫描,或者充当命令和控制节点,发送和/或接收来自网络中的大量节点的传输内容。
使用 Microsoft Sentinel,可以直接在事件调查中标记这些类型的实体,并将其添加到威胁情报中。 你可以在“日志”和“威胁情报”中查看添加的指标,并跨 Microsoft Sentinel 工作区使用它们。
将实体添加到威胁情报
除了调查图之外,新的事件详细信息页还为你提供了将实体添加到威胁情报的另一种方法。 下面显示了两种方法。
无论选择两个接口中的哪一个,都将在此处结束:
“新建指标”侧面板此时会打开。 将自动填充以下字段:
类型
- 要添加的实体所表示的指标的类型。
具有以下可能值的下拉列表:ipv4-addr、ipv6-addr、URL、文件、域名 - 必填;根据实体类型自动填充。
- 要添加的实体所表示的指标的类型。
值
- 此字段的名称会动态更改为所选指标类型。
- 指标本身的值。
- 必填;使用实体值自动填充。
标记
- 可以添加到指标中的自由文本标记。
- 可选;使用事件 ID 自动填充。 还可以添加其他模拟器。
名称
- 指示器的名称 - 这是将在指示器列表中显示的内容。
- 可选;使用事件名称自动填充。
创建者
- 指标的创建者。
- 可选;由登录到 Microsoft Sentinel 的用户自动填充。
相应地填充其余字段。
威胁类型
- 指标表示的威胁类型。
- 可选;自由文本。
说明
- 指示器的说明。
- 可选;自由文本。
已撤销
- 指标的“已撤销”状态。 标记要撤销指标的复选框,清除要使其处于活动状态的复选框。
- 可选;布尔值。
Confidence
- 分数反映对数据正确性的信心,以百分比表示。
- 可选;整数,1-100
攻击链
- 指标对应的 Lockheed Martin Cyber Kill Chain 中的阶段。
- 可选;自由文本
有效期起始日期
- 此指标开始被视为有效的时间。
- 必填;日期/时间
有效期截止时间
- 此指标不再被视为有效的时间。
- 可选;日期/时间
当所有字段都填充到满意时,请选择“应用”。 此时会在右上角出现一条确认消息,指出已创建指标。
此实体将作为威胁指标添加到工作区中。 可以在“威胁情报”页的指标列表中找到它,也可以在“日志”的 ThreatIntelligenceIndicators 表中找到它。
相关内容
本文介绍了如何将实体添加到威胁指标列表中。 有关详细信息,请参阅: