Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Во время исследования вы рассматриваете сущности и их контекст как важную часть понимания область и природы инцидента. При обнаружении сущности в качестве вредоносного доменного имени, URL-адреса, файла или IP-адреса в инциденте она должна быть помечена и отслеживаться как индикатор компрометации (IOC) в аналитике угроз.
Например, можно обнаружить IP-адрес, выполняющий сканирование портов в сети или выполняющий функции узла команд и управления, отправляя и (или) получая передачи с большого количества узлов в сети.
С помощью Microsoft Sentinel вы можете пометить эти типы сущностей в рамках исследования инцидентов и добавить их в аналитику угроз. Вы можете просмотреть добавленные индикаторы, запросить их или найти в интерфейсе управления аналитикой угроз и использовать их в рабочей области Microsoft Sentinel.
Добавление сущности в аналитику угроз
Страница сведений об инциденте и граф исследования предоставляют два способа добавления сущностей в аналитику угроз.
В меню Microsoft Sentinel выберите Инциденты в разделе Управление угрозами.
Выберите инцидент для расследования. В области Сведения об инциденте выберите Просмотреть полные сведения , чтобы открыть страницу Сведения об инциденте .
На панели Сущности найдите сущность, которую нужно добавить в качестве индикатора угрозы. (Вы можете отфильтровать список или ввести строку поиска, чтобы помочь найти его.)
Щелкните три точки справа от сущности и выберите Добавить в TI во всплывающем меню.
Добавьте в качестве индикаторов угроз только следующие типы сущностей:
- Доменное имя
- IP-адрес (IPv4 и IPv6)
- URL-адрес
- Файл (хэш)
Какой бы из двух интерфейсов вы ни выбрали, вы в конечном итоге здесь.
Откроется боковая панель Новый индикатор . Следующие поля заполняются автоматически:
Типы
- Тип индикатора, представленного добавляемой сущностью.
- Раскрывающийся список с возможными значениями:
ipv4-addr,ipv6-addr,URL,fileиdomain-name.
- Раскрывающийся список с возможными значениями:
- Обязательно. Автоматически заполняется в зависимости от типа сущности.
- Тип индикатора, представленного добавляемой сущностью.
Значение
- Имя этого поля динамически изменяется на выбранный тип индикатора.
- Значение самого индикатора.
- Обязательно. Автоматически заполняется значением сущности.
Tags
- Теги свободного текста, которые можно добавить в индикатор.
- Необязательный параметр. Автоматически заполняется идентификатором инцидента. Вы можете добавить других пользователей.
Название
- Имя индикатора. Это имя отображается в списке индикаторов.
- Необязательный параметр. Автоматически заполняется именем инцидента.
Создано
- Создатель индикатора.
- Необязательный параметр. Автоматически заполняется пользователем, вошедшего в Microsoft Sentinel.
Заполните остальные поля соответствующим образом.
Типы угроз
- Тип угрозы, представленный индикатором.
- Необязательный параметр. Бесплатный текст.
Описание
- Описание индикатора.
- Необязательный параметр. Бесплатный текст.
Отозван
- Отозванное состояние индикатора. Установите флажок, чтобы отозвать индикатор. Снимите флажок, чтобы сделать его активным.
- Необязательный параметр. Логических.
Confidence
- Оценка, отражающая уверенность в правильности данных в процентах.
- Необязательный параметр. Целое число, 1–100.
Убить цепочки
- Фазы в цепочке Cyber Kill Lockheed Martin , которой соответствует индикатор.
- Необязательный параметр. Бесплатный текст.
Допустимо из
- Время, с которого этот индикатор считается допустимым.
- Обязательно. Дата и время.
Остаются
- Время, когда этот индикатор больше не должен считаться допустимым.
- Необязательный параметр. Дата и время.
Когда все поля будут заполнены, нажмите кнопку Применить. В правом верхнем углу появится сообщение о том, что индикатор создан.
Сущность добавляется в качестве аналитики угроз в рабочую область. Его можно найти в интерфейсе управления аналитикой угроз. Вы также можете запросить его с помощью таблицы ThreatIntelligenceIndicators.
Связанные материалы
Из этой статьи вы узнали, как добавлять сущности в списки индикаторов угроз. Дополнительные сведения см. в следующих статьях: