Добавление сущностей в аналитику угроз в Microsoft Sentinel

Во время исследования вы рассматриваете сущности и их контекст как важную часть понимания область и природы инцидента. При обнаружении сущности в качестве вредоносного доменного имени, URL-адреса, файла или IP-адреса в инциденте она должна быть помечена и отслеживаться как индикатор компрометации (IOC) в аналитике угроз.

Например, можно обнаружить IP-адрес, выполняющий сканирование портов в сети или выполняющий функции узла команд и управления, отправляя и (или) получая передачи с большого количества узлов в сети.

С помощью Microsoft Sentinel вы можете пометить эти типы сущностей в рамках исследования инцидентов и добавить их в аналитику угроз. Вы можете просмотреть добавленные индикаторы, запросить их или найти в интерфейсе управления аналитикой угроз и использовать их в рабочей области Microsoft Sentinel.

Добавление сущности в аналитику угроз

Страница сведений об инциденте и граф исследования предоставляют два способа добавления сущностей в аналитику угроз.

  1. В меню Microsoft Sentinel выберите Инциденты в разделе Управление угрозами.

  2. Выберите инцидент для расследования. В области Сведения об инциденте выберите Просмотреть полные сведения , чтобы открыть страницу Сведения об инциденте .

  3. На панели Сущности найдите сущность, которую нужно добавить в качестве индикатора угрозы. (Вы можете отфильтровать список или ввести строку поиска, чтобы помочь найти его.)

    Снимок экрана: страница сведений об инциденте.

  4. Щелкните три точки справа от сущности и выберите Добавить в TI во всплывающем меню.

    Добавьте в качестве индикаторов угроз только следующие типы сущностей:

    • Доменное имя
    • IP-адрес (IPv4 и IPv6)
    • URL-адрес
    • Файл (хэш)

    Снимок экрана: добавление сущности в аналитику угроз.

Какой бы из двух интерфейсов вы ни выбрали, вы в конечном итоге здесь.

  1. Откроется боковая панель Новый индикатор . Следующие поля заполняются автоматически:

    • Типы

      • Тип индикатора, представленного добавляемой сущностью.
        • Раскрывающийся список с возможными значениями: ipv4-addr, ipv6-addr, URL, fileи domain-name.
      • Обязательно. Автоматически заполняется в зависимости от типа сущности.
    • Значение

      • Имя этого поля динамически изменяется на выбранный тип индикатора.
      • Значение самого индикатора.
      • Обязательно. Автоматически заполняется значением сущности.
    • Tags

      • Теги свободного текста, которые можно добавить в индикатор.
      • Необязательный параметр. Автоматически заполняется идентификатором инцидента. Вы можете добавить других пользователей.
    • Название

      • Имя индикатора. Это имя отображается в списке индикаторов.
      • Необязательный параметр. Автоматически заполняется именем инцидента.
    • Создано

      • Создатель индикатора.
      • Необязательный параметр. Автоматически заполняется пользователем, вошедшего в Microsoft Sentinel.

    Заполните остальные поля соответствующим образом.

    • Типы угроз

      • Тип угрозы, представленный индикатором.
      • Необязательный параметр. Бесплатный текст.
    • Описание

      • Описание индикатора.
      • Необязательный параметр. Бесплатный текст.
    • Отозван

      • Отозванное состояние индикатора. Установите флажок, чтобы отозвать индикатор. Снимите флажок, чтобы сделать его активным.
      • Необязательный параметр. Логических.
    • Confidence

      • Оценка, отражающая уверенность в правильности данных в процентах.
      • Необязательный параметр. Целое число, 1–100.
    • Убить цепочки

    • Допустимо из

      • Время, с которого этот индикатор считается допустимым.
      • Обязательно. Дата и время.
    • Остаются

      • Время, когда этот индикатор больше не должен считаться допустимым.
      • Необязательный параметр. Дата и время.

    Снимок экрана: ввод сведений в области нового индикатора угроз.

  2. Когда все поля будут заполнены, нажмите кнопку Применить. В правом верхнем углу появится сообщение о том, что индикатор создан.

  3. Сущность добавляется в качестве аналитики угроз в рабочую область. Его можно найти в интерфейсе управления аналитикой угроз. Вы также можете запросить его с помощью таблицы ThreatIntelligenceIndicators.

Из этой статьи вы узнали, как добавлять сущности в списки индикаторов угроз. Дополнительные сведения см. в следующих статьях: