Добавление сущностей в аналитику угроз в Microsoft Sentinel

Во время расследования вы проверяете сущности и их контекст в качестве важной части понимания области и характера инцидента. При обнаружении объекта в качестве вредоносного доменного имени, URL-адреса, файла или IP-адреса в инциденте он должен быть помечен и отслеживаться как индикатор компрометации (МОК) в вашей аналитике угроз.

Например, вы можете обнаружить IP-адрес, выполняющий сканирование портов в вашей сети или функционирующий в качестве узла управления, путём отправки и/или получения передач с большого количества узлов в вашей сети.

С помощью Microsoft Sentinel вы можете пометить эти типы сущностей из расследования инцидентов и добавить их в аналитику угроз. Вы можете просматривать добавленные индикаторы, запрашивая их или выполняя поиск в интерфейсе управления аналитикой угроз и используя их в рабочей области Microsoft Sentinel.

Добавление сущности в аналитику угроз

Страница сведений об инциденте и граф исследования предоставляют два способа добавить сущности в разведывательные данные об угрозах.

Независимо от того, какие из двух интерфейсов вы выбрали, вы в конечном итоге здесь.

1. Откроется боковая панель «Новый индикатор». Следующие поля заполняются автоматически:

   • Типы

     • Тип индикатора, представленного добавляемой сущностью.
       • Раскрывающийся список с возможными значениями: ipv4-addr, ipv6-addr, URL, fileи domain-name.
     • Обязательный. Автоматически заполняется на основе типа сущности.

   • Ценность

     • Имя этого поля динамически изменяется на выбранный тип индикатора.
     • Значение самого индикатора.
     • Обязательный. Автоматически заполняется значением сущности.

   • Теги

     • Теги с произвольным текстом, которые можно добавить к индикатору.
     • Необязательно. Автоматически заполняется идентификатором инцидента. Вы можете добавить другие.

   • Имя

     • Имя индикатора. Это название отображается в вашем списке индикаторов.
     • Необязательно. Автоматически заполняется именем инцидента.

   • Создано кем

     • Создатель индикатора.
     • Необязательно. Автоматически заполняется пользователем, вошедшего в Microsoft Sentinel.

   Заполните оставшиеся поля необходимыми значениями.

   • Типы угроз

     • Тип угрозы, представленный индикатором.
     • Необязательно. Произвольный текст.

   • Описание

     • Описание индикатора.
     • Необязательно. Произвольный текст.

   • Отозван

     • Отозванный статус индикатора. Установите флажок, чтобы отозвать индикатор. Снимите флажок, чтобы сделать его активным.
     • Необязательно. Логическое значение.

   • Уверенность

     • Оценка, которая отражает уверенность в правильности данных на процент.
     • Необязательно. Целое число, 1–100.

   • Цепочки уничтожения

     • Этапы в Цепочке кибер-угроз Lockheed Martin, к которым соответствует индикатор.
     • Необязательно. Произвольный текст.

   • Действительно с

     • Время, с которого этот индикатор будет действовать.
     • Обязательный. Дата и время.

   • Действительно до

     • Время, когда этот индикатор перестанет действовать.
     • Необязательно. Дата и время.

   

2. Когда все поля заполнены до вашего удовлетворения, нажмите «Применить». Сообщение, подтверждающее создание вашего индикатора, появится в правом верхнем углу.

3. Сущность добавляется в качестве аналитики угроз в рабочей области. Его можно найти в интерфейсе управления аналитикой угроз. Вы также можете запросить его с помощью таблицы ThreatIntelligenceIndicator.

Связанный контент

Из этой статьи вы узнали, как добавить сущности в списки индикаторов угроз. Дополнительные сведения см. в следующих статьях:

• Исследование инцидентов с помощью Microsoft Sentinel
• Общие сведения об аналитике угроз в Microsoft Sentinel
• Работа с индикаторами угроз в Microsoft Sentinel