瞭解 Microsoft Sentinel 中的威脅情報

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 是雲端原生安全性資訊與事件管理 (SIEM) 解決方案,能夠快速從許多來源提取威脅情報。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

威脅情報簡介

網路威脅情報 (CTI) 是描述系統和使用者現有或潛在威脅的資訊。 情報工作有許多形式,從詳述特定威脅執行者動機、基礎結構和技術的書面報告,到與已知網路威脅相關的 IP 位址、網域和檔案雜湊的特定觀察。 組織會使用 CTI 來提供不尋常活動的基本內容,讓安全性人員可以快速採取動作來保護其人員、資訊和資產。 CTI 有很多來源,例如開放原始碼資料摘要、威脅情報分享社群、商業情報摘要,以及在組織內安全性調查中所收集的本地情報。

對於 Microsoft Sentinel 之類的 SIEM 解決方案,最常見的 CTI 形式是威脅指標,也稱為入侵指標 (IoC)或攻擊指標 (IoA)。 威脅指標是將 URL、檔案雜湊或 IP 位址等觀察到的成品,與已知的威脅活動如網路釣魚、殭屍網路或惡意程式碼相關聯的資料。 這種形式的威脅情報通常稱為 戰術性威脅情報 ,因為它適用於大規模安全性產品和自動化,以偵測組織的潛在威脅並加以防範。 使用 Microsoft Sentinel 中的威脅指標來偵測您環境中觀察到的惡意活動,並提供內容給安全性調查人員,以通知回應決策。

可透過下列活動,將威脅情報 (TI) 整合至 Microsoft Sentinel 中:

  • 在各種 TI 平台摘要啟用資料連接器,以將威脅情報匯入 Microsoft Sentinel。

  • 在 Microsoft Sentinel 的 [記錄][威脅情報] 窗格中,檢視及管理匯入的威脅情報。

  • 根據您匯入的威脅情報使用內建的 Analytics 規則範本,以偵測威脅並產生安全性警示和事件。

  • 使用威脅情報活頁簿,以在 Microsoft Sentinel 中視覺化已匯入威脅情報的重要資訊。

Microsoft 會使用 GeoLocation 和 WhoIs 資料擴充所有匯入的威脅情報指標,此指標會與其他指標詳細資料一起顯示。

威脅情報也會提供其他 Microsoft Sentinel 體驗中實用的內容,例如 搜捕Notebooks。 如需詳細資訊,請參閱 Microsoft Sentinel 中的 Jupyter Notebooks教學課程: 開始使用 Microsoft Sentinel 中的 Jupyter Notebook 和 MSTICPy

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

使用數據連接器匯入威脅情報

就像 Microsoft Sentinel 中所有其他事件數據一樣,威脅指標會使用數據連接器匯入。 以下是 Microsoft Sentinel 中專為威脅指標提供的數據連接器。

  • Microsoft Defender 威脅情報 數據連接器來內嵌 Microsoft 的威脅指標
  • 威脅情報 - 適用於業界標準 STIX/TAXII 摘要的 TAXII
  • 威脅情報上傳指標 API,以使用 REST API 連線進行整合和策劃的 TI 摘要
  • 威脅情報平臺數據連接器 也會使用 REST API 連接 TI 摘要,但位於取代的路徑上

視組織來源威脅指標的位置而定,在任何組合中使用任何一個數據連接器。 這三項皆可在內容中樞取得,作為威脅情報解決方案的一部分。 如需此解決方案的詳細資訊,請參閱 Azure Marketplace 項目 威脅情報

此外,請參閱 Microsoft Sentinel 所提供的威脅情報整合目錄

使用 Microsoft Defender 威脅情報 數據連接器將威脅指標新增至 Microsoft Sentinel

將 Microsoft Defender 威脅情報 (MDTI) 所產生的高精確度入侵指標 (IOC) 帶入您的 Microsoft Sentinel 工作區。 MDTI 資料連接器會透過簡單的單鍵設定來擷取這些 IOC。 然後,以您利用其他摘要的相同方式,根據威脅情報來監視、警示和搜捕。

如需 MDTI 資料連接器的詳細資訊,請參閱 啟用 MDTI 資料連接器

使用威脅情報上傳指標 API 數據連接器,將威脅指標新增至 Microsoft Sentinel

許多組織都使用威脅情報平臺 (TIP) 解決方案來匯總來自各種來源的威脅指標摘要。 從匯總摘要中,數據會經過策劃,以套用至安全性解決方案,例如網路裝置、EDR/XDR 解決方案,或 Microsoft Sentinel 等 SIEM。 威脅情報上傳指標 API 資料連接器可讓您使用這些解決方案,將威脅指標匯入 Microsoft Sentinel。

顯示上傳指標 API 匯入路徑的圖表。

此資料連接器會使用新的 API,並提供下列改善:

  • 威脅指標欄位是以 STIX 標準化格式為基礎。
  • Microsoft Entra 應用程式只需要 Microsoft Sentinel 參與者角色。
  • API 要求端點的範圍在工作區層級,且所需的 Microsoft Entra 應用程式許可權允許在工作區層級進行細微指派。

如需詳細資訊,請參閱使用上傳指標 API 連線 威脅情報平臺

使用威脅情報平台資料連接器將威脅指標新增至 Microsoft Sentinel

與現有的上傳指標 API 數據連接器類似, Threat Intelligence Platform 數據連接器 會使用 API,讓您的 TIP 或自定義解決方案將指標傳送至 Microsoft Sentinel。 不過,此數據連接器現在位於取代的路徑上。 我們建議使用上傳指標 API 必須提供的優化的新解決方案。

TIP 資料連接器可與 Microsoft Graph 安全性 tiIndicators API 搭配使用。 它也可以由任何與 tiIndicators API 通訊的自定義威脅情報平臺使用,以將指標傳送至 Microsoft Sentinel(以及 Microsoft Defender 全面偵測回應 等其他 Microsoft 安全性解決方案)。

顯示威脅情報匯入路徑的螢幕快照

如需與 Microsoft Sentinel 整合之 TIP 解決方案的詳細資訊,請參閱 整合式威脅情報平台產品。 如需詳細資訊,請參閱將威脅情報平臺 連線 至 Microsoft Sentinel

使用威脅情報 - TAXII 數據連接器將威脅指標新增至 Microsoft Sentinel

傳輸威脅情報的最廣泛採用業界標準是 STIX 數據格式和 TAXII 通訊協定的組合。 如果您的組織從支援目前 STIX/TAXII 版本 (2.0 或 2.1) 的解決方案取得威脅指標,請使用 威脅情報 - TAXII 數據連接器將威脅指標帶入 Microsoft Sentinel。 威脅情報 - TAXII 數據連接器可讓 Microsoft Sentinel 中的內建 TAXII 用戶端從 TAXII 2.x 伺服器匯入威脅情報。

TAXII 匯入路徑

若要從 TAXII 伺服器將 STIX 格式的威脅指標匯入 Microsoft Sentinel:

  1. 取得 TAXII 伺服器 API 根和集合識別碼

  2. 在 Microsoft Sentinel 中啟用威脅情報 - TAXII 數據連接器

如需詳細資訊,請參閱 連線 Microsoft Sentinel 至 STIX/TAXII 威脅情報摘要

檢視和管理您的威脅指標

在 [ 威脅情報 ] 頁面中檢視和管理指標。 排序、篩選和搜尋您匯入的威脅指標,甚至不需要撰寫Log Analytics查詢。 此功能也可讓您直接在 Microsoft Sentinel 介面內建立威脅指標,以及執行兩項最常見的威脅情報系統管理工作:指標標記,以及建立與安全性調查相關的新指標。

標記威脅指標是將威脅指標分組在一起以方便尋找的簡單方式。 一般而言,您可能會將標記套用至與特定事件相關的指標,或套用到代表特定已知動作專案或已知攻擊活動威脅的指標。 個別標記威脅指標,或多重選取指標,並一次標記它們。 以下是使用事件標識碼標記多個指標的範例螢幕快照。 由於標記是自由格式,建議的作法是為威脅指標標記建立標準命名慣例。 指標允許套用多個標記。

將標籤套用至威脅指標

驗證指標,並從已啟用 Microsoft Sentinel 的 Log Analytics 工作區檢視您成功匯入的威脅指標。 Microsoft Sentinel 架構底下的 ThreatIntelligenceIndicator 數據表是儲存所有 Microsoft Sentinel 威脅指標的位置。 下表是其他 Microsoft Sentinel 功能所執行威脅情報查詢的基礎,例如 AnalyticsWorkbooks

以下是威脅指標基本查詢的範例檢視。

顯示記錄頁面的螢幕快照,其中包含 ThreatIntelligenceIndicator 數據表的範例查詢。

TI 指標會內嵌到Log Analytics工作區的 ThreatIntelligenceIndicator 資料表中,做為只讀。 每當更新指標時,會建立 ThreatIntelligenceIndicator 數據表中的新專案。 不過,只有最新的指標會顯示在 [威脅情報 ] 頁面中。 Microsoft Sentinel 會根據 IndicatorIdSourceSystem 屬性取消重複指標,並選擇具有最新 TimeGenerated[UTC] 的指標。

IndicatorId 屬性是使用 STIX 指標標識碼來產生。 從非 STIX 來源匯入或建立指標時, IndicatorId 是由 指標的 SourcePattern 所產生。

如需檢視和管理威脅指標的詳細資訊,請參閱 使用 Microsoft Sentinel 中的威脅指標。

檢視您的地理位置和 神秘 Is 資料擴充 (公開預覽)

Microsoft 使用額外的 GeoLocation 和 神秘 Is 數據擴充 IP 和網域指標,為找到所選入侵指標 (IOC) 的調查提供更多內容。

針對匯入 Microsoft Sentinel 的威脅指標類型,檢視 [威脅情報] 窗格上的 [地理位置] 和 [神秘 Is] 數據。

例如,使用 GeoLocation 數據來尋找 IP 指標的組織或國家/地區詳細數據,並 神秘 Is 數據來尋找來自網域指標的註冊器和記錄建立數據等數據。

使用威脅指標分析偵測威脅

Microsoft Sentinel 等 SIEM 解決方案中威脅指標最重要的使用案例,就是為威脅偵測提供分析規則。 這些指標型規則會比較數據源的原始事件與威脅指標,以偵測組織中的安全性威脅。 在 Microsoft Sentinel Analytics 中,您可以建立依排程執行併產生安全性警示的分析規則。 規則是由查詢所驅動,以及決定規則應該執行頻率的設定、應產生安全性警示和事件的類型,以及選擇性地觸發自動化回應的查詢結果。

雖然您一律可以從頭開始建立新的分析規則,但 Microsoft Sentinel 提供一組由 Microsoft 安全性工程師建立的內建規則範本,以利用您的威脅指標。 這些內建規則範本是以您想要比對的威脅指標類型(網域、電子郵件、檔案哈希、IP 位址或 URL)和數據源事件類型為基礎。 每個範本都會列出規則運作所需的來源。 這可讓您輕鬆地判斷是否已在 Microsoft Sentinel 中匯入必要的事件。

根據預設,觸發這些內建規則時,將會建立警示。 在 Microsoft Sentinel 中,從分析規則產生的警示也會在 Microsoft Sentinel 功能表的 [威脅管理] 下的事件中找到安全性事件。 事件是您的安全性作業小組將分類並調查以判斷適當的回應動作。 在本 教學課程中尋找詳細資訊:使用 Microsoft Sentinel 調查事件。

如需在分析規則中使用威脅指標的詳細資訊,請參閱 使用威脅情報來偵測威脅

Microsoft 透過 Microsoft Defender 威脅情報 Analytics 規則來存取其威脅情報。 如需如何利用產生高精確度警示和事件之此規則的詳細資訊,請參閱 使用比對分析來偵測威脅

此螢幕快照顯示透過比對分析與 MDTI 其他內容資訊所產生的高精確度事件。

活頁簿提供威脅情報的深入解析

活頁簿提供功能強大的互動式儀錶板,讓您深入瞭解 Microsoft Sentinel 的所有層面,而且威脅情報並不例外。 使用內 建威脅情報活頁簿 ,將威脅情報的重要資訊可視化,並根據您的業務需求輕鬆自定義活頁簿。 建立結合許多不同的數據源的新儀錶板,以便以獨特的方式將數據可視化。 由於 Microsoft Sentinel 活頁簿是以 Azure 監視器活頁簿為基礎,因此已有大量檔可供使用,而且還有更多範本。 本文是有關如何 使用 Azure 監視器活頁簿建立互動式報表的一個絕佳起點。

GitHub 上也有豐富的 Azure 監視器活頁簿社群,可下載其他範本並貢獻您自己的範本。

如需使用和自定義威脅情報活頁簿的詳細資訊,請參閱 在 Microsoft Sentinel 中使用威脅指標。

下一步

在本檔中,您已瞭解 Microsoft Sentinel 的威脅情報功能,包括 [威脅情報] 刀鋒視窗。 如需使用 Microsoft Sentinel 威脅情報功能的實際指引,請參閱下列文章: