Аналитика угроз в Microsoft Sentinel

Microsoft Sentinel — это облачное решение для управления информационной безопасностью и событиями безопасности (SIEM), которое может принимать, курировать и управлять аналитикой угроз из многочисленных источников.

Важно!

После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Введение в аналитику угроз

Аналитика киберугроз (CTI) — это информация, которая описывает существующие или потенциальные угрозы для систем и пользователей. Эта аналитика принимает различные формы, например письменные отчеты, в которые подробно описаны мотивы, инфраструктура и методы конкретного субъекта угроз. Это также могут быть конкретные наблюдения за IP-адресами, доменами, хэшами файлов и другими артефактами, связанными с известными киберугрозами.

Организации используют CTI, чтобы обеспечить важный контекст для необычных действий, чтобы сотрудники службы безопасности могли быстро принять меры по защите своих людей, информации и активов. Источник CTI можно получить из многих мест, например:

  • Веб-каналы данных с открытым кодом
  • Сообщества по обмену аналитикой угроз
  • Каналы коммерческой разведки
  • Локальная аналитика, собранная в ходе расследований безопасности в организации

Для решений SIEM, таких как Microsoft Sentinel, наиболее распространенными формами CTI являются индикаторы угроз, которые также известны как индикаторы компрометации (IOCs) или индикаторы атак. Индикаторы угроз — это данные, которые связывают наблюдаемые артефакты, такие как URL-адреса, хэши файлов или IP-адреса, с известными действиями угрозы, такими как фишинг, бот-сети или вредоносные программы. Эту форму аналитики угроз часто называют тактической аналитикой угроз. Он применяется к продуктам безопасности и автоматизации в большом масштабе для обнаружения потенциальных угроз для организации и защиты от них.

Другой аспект аналитики угроз представляет субъектов угроз, их методы, тактику и процедуры (ТПП), их инфраструктуру и личность их жертв. Microsoft Sentinel поддерживает управление этими аспектами вместе с IOC, выраженными с помощью открытый код стандарта обмена CTI, известного как структурированное выражение информации об угрозах (STIX). Аналитика угроз, выраженная как объекты STIX, улучшает взаимодействие и позволяет организациям более эффективно вести охоту. Используйте объекты STIX аналитики угроз в Microsoft Sentinel для обнаружения вредоносных действий, наблюдаемых в вашей среде, и предоставления полного контекста атаки для информирования о принятии ответных решений.

В следующей таблице описаны действия, необходимые для максимально эффективной интеграции аналитики угроз (TI) в Microsoft Sentinel.

Действие Описание
Хранение аналитики угроз в рабочей области Microsoft Sentinel
  • Импортируйте аналитику угроз в Microsoft Sentinel путем включения соединителей данных для различных платформ и веб-каналов аналитики угроз.
  • Подключение аналитики угроз к Microsoft Sentinel с помощью API отправки для подключения различных платформ TI или пользовательских приложений.
  • Создание аналитики угроз с помощью упрощенного интерфейса управления.
Управление аналитикой угроз
  • Просмотр импортированной аналитики угроз с помощью запросов или расширенного поиска.
  • Проверка аналитики угроз с помощью связей, правил приема или тегов
  • Визуализируйте ключевые сведения о ti с помощью книг.
Использование аналитики угроз
  • Обнаружение угроз и создание оповещений системы безопасности и инцидентов с помощью встроенных шаблонов правил аналитики на основе аналитики угроз.
  • Охотитесь за угрозами с помощью службы intel threat, чтобы задать правильные вопросы о сигналах, захваченных для вашей организации.

Аналитика угроз также предоставляет полезный контекст в других Microsoft Sentinel интерфейсах, таких как записные книжки. Дополнительные сведения см. в разделах Начало работы с записными книжками и MSTICPy.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в Microsoft Sentinel таблицах доступности облачных функций для клиентов из государственных организаций США.

Импорт и подключение аналитики угроз

Большая часть аналитики угроз импортируется через соединители данных или API. Настройте правила приема для соединителей данных, чтобы снизить уровень шума и оптимизировать каналы аналитики. Ниже приведены решения, доступные для Microsoft Sentinel.

  • Аналитика угроз Microsoft Defender соединитель данных для приема аналитики угроз Майкрософт
  • Аналитика угроз — соединитель данных TAXII для стандартных каналов STIX/TAXII
  • API отправки аналитики угроз для интегрированных и курированных каналов TI с помощью REST API для подключения (не требуется соединитель данных).
  • Соединитель данных платформы аналитики угроз также подключает веб-каналы TI с помощью устаревшего REST API, но находится на пути к устареению.

Используйте эти решения в любой комбинации в зависимости от того, где ваша организация использует аналитику угроз. Все эти соединители данных доступны в Центре содержимого как часть решения аналитики угроз . Дополнительные сведения об этом решении см. в статье Azure Marketplace Threat Intelligence.

Кроме того, ознакомьтесь с этим каталогом интеграций аналитики угроз, доступных с Microsoft Sentinel.

Добавление аналитики угроз в Microsoft Sentinel с помощью соединителя данных Аналитики угроз в Defender

Внесите общедоступные функции ввода-вывода с открытым кодом и высокой точностью, созданные Аналитикой угроз Defender, в рабочую область Microsoft Sentinel с помощью соединителей данных Defender Threat Intelligence. При простой настройке одним щелчком используйте аналитику угроз из стандартных и премиум-соединителей данных Defender Threat Intelligence для мониторинга, оповещения и охоты.

Доступны две версии соединителя данных: "Стандартный" и "Премиум". Существует также свободно доступное правило аналитики угроз Defender Threat Intelligence, которое предоставляет пример того, что предоставляет соединитель данных Аналитики угроз в Defender уровня "Премиум". Однако при сопоставлении аналитики в вашу среду будут приниматься только те индикаторы, которые соответствуют правилу.

Соединитель данных Аналитики угроз в Defender уровня "Премиум" для приема обогащенных корпорацией Майкрософт открытый код аналитики и проверенных операций ввода-вывода Майкрософт. Эти функции уровня "Премиум" позволяют выполнять аналитику по большему числу источников данных с большей гибкостью и пониманием аналитики угроз. Ниже приведена таблица, в которую показано, что следует ожидать при лицензировании и включении версии premium.

Свободна Premium
Общедоступные операции ввода-вывода
Аналитика с открытым кодом (OSINT)
Операции ввода-вывода Майкрософт
OSINT, обогащенный корпорацией Майкрософт

Дополнительные сведения см. в следующих статьях:

Добавление аналитики угроз в Microsoft Sentinel с помощью API отправки

Многие организации используют решения платформы аналитики угроз (TIP) для агрегирования каналов индикаторов угроз из различных источников. Из агрегированного веб-канала данные курируются для применения к решениям безопасности, таким как сетевые устройства, решения EDR/XDR или SIEM, такие как Microsoft Sentinel. С помощью API отправки эти решения можно использовать для импорта объектов STIX аналитики угроз в Microsoft Sentinel.

Схема, на которую показан путь импорта API отправки.

Новый API отправки не требует соединителя данных и предлагает следующие улучшения:

  • Поля индикатора угрозы основаны на стандартизованном формате STIX.
  • Приложению Microsoft Entra требуется роль участника Microsoft Sentinel.
  • Конечная точка запроса API находится на уровне рабочей области. Необходимые разрешения приложения Microsoft Entra позволяют выполнять детализированное назначение на уровне рабочей области.

Дополнительные сведения см. в статье Подключение платформы аналитики угроз с помощью API отправки.

Добавление аналитики угроз в Microsoft Sentinel с помощью соединителя данных платформы аналитики угроз

Примечание.

Этот соединитель данных не рекомендуется использовать.

Так же, как и API отправки, соединитель данных Threat Intelligence Platform использует API, который позволяет подсказке или пользовательскому решению отправлять аналитику угроз в Microsoft Sentinel. Однако этот соединитель данных ограничен только индикаторами и является устаревшим. Воспользуйтесь преимуществами оптимизации API отправки.

Соединитель данных TIP использует API tiIndicators безопасности Microsoft Graph , который не поддерживает другие объекты STIX. Используйте его с любой пользовательской подсказкой, которая взаимодействует с API tiIndicators для отправки индикаторов в Microsoft Sentinel (и в другие решения Майкрософт для обеспечения безопасности, такие как Defender XDR).

Снимок экрана: путь импорта аналитики угроз.

Дополнительные сведения о решениях TIP, интегрированных с Microsoft Sentinel, см. в статье Интегрированные продукты платформы аналитики угроз. Дополнительные сведения см. в статье Подключение платформы аналитики угроз к Microsoft Sentinel.

Добавление аналитики угроз в Microsoft Sentinel с помощью соединителя данных Аналитика угроз — TAXII

Наиболее широко используемым отраслевым стандартом для передачи аналитики угроз является сочетание формата данных STIX и протокола TAXII. Если ваша организация получает аналитику угроз из решений, поддерживающих текущую версию STIX/TAXII (2.0 или 2.1), используйте соединитель данных Аналитика угроз — TAXII, чтобы перенести аналитику угроз в Microsoft Sentinel. С помощью соединителя данных Аналитика угроз — TAXII Microsoft Sentinel имеет встроенный клиент TAXII, который импортирует аналитику угроз с серверов TAXII 2.x.

Снимок экрана: путь импорта TAXII

Импорт аналитики угроз в формате STIX в Microsoft Sentinel с сервера TAXII:

  1. Получите корневой каталог API сервера TAXII и идентификатор коллекции.
  2. Включите соединитель данных аналитики угроз — TAXII в Microsoft Sentinel.

Дополнительные сведения см. в разделе Подключение Microsoft Sentinel к каналам аналитики угроз STIX/TAXII.

Создание аналитики угроз и управление ими

Аналитика угроз на базе Microsoft Sentinel управляется рядом с Аналитика угроз Microsoft Defender (MDTI) и аналитикой угроз на портале Microsoft Defender.

Снимок экрана: страница управления Intel на портале Defender.

Примечание.

Вы по-прежнему обращаетесь к аналитике угроз в портал Azure из Microsoft Sentinel>Threat management>Threat Intelligence.

Две из наиболее распространенных задач аналитики угроз — создание новой аналитики угроз, связанной с исследованиями безопасности и добавлением тегов. Интерфейс управления упрощает ручной процесс проверки отдельных данных об угрозах с помощью нескольких ключевых функций.

  • Настройте правила приема данных для оптимизации угроз intel из источников соединителя данных.
  • Определите связи при создании новых объектов STIX.
  • Курируйте существующий TI с помощью построителя связей.
  • Скопируйте общие метаданные из нового или существующего объекта TI с помощью функции дублирования.
  • Добавление тегов свободной формы в объекты с помощью множественного выбора.

В Microsoft Sentinel доступны следующие объекты STIX: снимок экрана: меню для добавления новых объектов STIX с параметрами.

Объект STIX Описание
Субъект угрозы Объекты субъектов угроз, начиная со сценарных детей, до национальных государств, описывают мотивацию, сложность и уровни ресурсов.
Шаблон атаки Также известные как методы, тактики и процедуры, шаблоны атак описывают конкретный компонент атаки и MITRE ATT&стадии CK, на котором она используется.
Индикатор Domain name, URL, IPv4 addressIPv6 address, и
File hashes
X509 certificates используются для проверки подлинности удостоверений устройств и серверов для безопасного обмена данными через Интернет.

JA3 отпечатки пальцев — это уникальные идентификаторы, созданные в процессе подтверждения TLS/SSL. Они помогают определить конкретные приложения и средства, используемые в сетевом трафике, упрощая обнаружение отпечатков вредоносных действий

JA3S , расширяют возможности JA3, также включая характеристики сервера в процесс отпечатков пальцев. Это расширение обеспечивает более полное представление сетевого трафика и помогает выявлять угрозы как на стороне клиента, так и на стороне сервера.

User agents укажите сведения о клиентском программном обеспечении, выполняющего запросы к серверу, например о браузере или операционной системе. Они полезны для идентификации и профилирования устройств и приложений, обращаюющихся к сети.
Identity Описывать жертв, организации и другие группы или отдельных лиц, а также наиболее тесно связанные с ними бизнес-секторы.
Связь Потоки, которые соединяют аналитику угроз, помогая устанавливать соединения между разрозненными сигналами и точками данных, описываются с помощью связей.

Настройка правил приема

Вы можете оптимизировать аналитику угроз из соединителей данных, отфильтровав и улучшая объекты перед их доставкой в рабочую область. Правила приема применяются только к соединителям данных и не влияют на аналитику угроз, добавленную через API отправки или созданную вручную. Правила приема обновляют атрибуты или полностью фильтруют объекты. В следующей таблице перечислены некоторые варианты использования.

Вариант использования правила приема Описание
Уменьшение шума Отфильтруйте старую аналитику угроз, не обновляемую в течение шести месяцев, которая также имеет низкую достоверность.
Продление срока действия Повышение точности операций ввода-вывода из доверенных источников путем продления их Valid until на 30 дней.
Вспомнить старые времена Новая таксономия субъекта угрозы велика, но некоторые из аналитиков хотят обязательно отметить старые имена.

Снимок экрана: четыре правила приема, соответствующие вариантам использования.

При использовании правил приема учитывайте следующие советы.

  • Все правила применяются по порядку. Объекты аналитики угроз, принимаемые, будут обрабатываться каждым правилом до тех пор, Delete пока не будет предпринят действие. Если для объекта не выполняется никаких действий, он принимается из источника как есть.
  • Действие Delete означает, что объект аналитики угроз пропускается для приема, то есть он удаляется из конвейера. Все предыдущие версии объекта, уже прошедшие прием, не затрагиваются.
  • Новые и измененные правила вступают в силу до 15 минут.

Дополнительные сведения см. в статье Работа с правилами приема аналитики угроз.

Создание связей

Вы можете улучшить обнаружение угроз и реагирование на нее, установив соединения между объектами с помощью построителя связей. В следующей таблице перечислены некоторые из вариантов использования.

Вариант использования связи Описание
Подключение субъекта угроз к шаблону атаки Субъект угрозы APT29использует шаблон Phishing via Email атаки для получения начального доступа.
Связывание индикатора с субъектом угрозы Индикатор allyourbase.contoso.com домена присваивается субъектуAPT29угрозы .
Связывание удостоверения (жертвы) с шаблоном атаки Шаблон Phishing via Email атаки нацелен на организациюFourthCoffee.

На следующем рисунке показано, как построитель связей соединяет все эти варианты использования.

Снимок экрана: пример создаваемой связи.

Курировать аналитику угроз

Настройте, какие объекты TI можно предоставить соответствующим аудиториям, назначив уровень конфиденциальности, называемый протоколом светофора (TLP).

Цвет TLP Конфиденциальность
Белый Информация может быть предоставлена свободно и публично без каких-либо ограничений.
Зеленый Информация может предоставляться коллегам и партнерским организациям в рамках сообщества, но не публично. Он предназначен для более широкой аудитории в сообществе.
Amber Сведения могут предоставляться участникам организации, но не являются общедоступными. Он предназначен для использования в организации для защиты конфиденциальной информации.
Красный Информация является очень конфиденциальной и не должна предоставляться за пределами конкретной группы или собрания, где она была первоначально раскрыта.

Задайте значения TLP для объектов TI в пользовательском интерфейсе при их создании или изменении. Настройка TLP с помощью API менее интуитивно понятна и требует выбора одного из четырех marking-definition идентификаторов guid объекта. Дополнительные сведения о настройке TLP с помощью API см. в разделе object_marking_refs в общих свойствах API отправки.

Другой способ курировать TI — использовать теги. Аналитика угроз — это быстрый способ группировки объектов, чтобы упростить их поиск. Как правило, можно применить теги, связанные с конкретным инцидентом. Но если объект представляет угрозы от определенного известного субъекта или хорошо известной кампании атак, рассмотрите возможность создания связи вместо тега. После поиска и фильтрации аналитики угроз, с которой вы хотите работать, пометьте их по отдельности или по нескольким выборам и пометьте их все сразу. Так как маркировка является свободной, создайте стандартные соглашения об именовании для тегов аналитики угроз.

Дополнительные сведения см. в статье Работа с аналитикой угроз в Microsoft Sentinel.

Просмотр аналитики угроз

Просмотрите аналитику угроз из интерфейса управления или с помощью запросов:

  • В интерфейсе управления используйте расширенный поиск для сортировки и фильтрации объектов аналитики угроз без написания запроса Log Analytics.

    Снимок экрана: интерфейс расширенного поиска с выбранными условиями источника и достоверности.

  • Используйте запросы для просмотра аналитики угроз из журналов в портал Azure или расширенной охоты на портале Defender.

    В любом случае в ThreatIntelligenceIndicator таблице в схеме Microsoft Sentinel хранятся все Microsoft Sentinel индикаторы угроз. Эта таблица служит основой для запросов аналитики угроз, выполняемых другими Microsoft Sentinel функциями, такими как аналитика, запросы охоты и книги.

Важно!

3 апреля 2025 г. мы публично просмотрили две новые таблицы для поддержки схем индикаторов и объектов STIX: ThreatIntelIndicators и ThreatIntelObjects. Microsoft Sentinel будет принимать все аналитики угроз в эти новые таблицы, продолжая принимать те же данные в устаревшую ThreatIntelligenceIndicator таблицу до 31 июля 2025 г. Обязательно обновите пользовательские запросы, правила аналитики и обнаружения, книги и автоматизацию, чтобы использовать новые таблицы до 31 июля 2025 г. После этой даты Microsoft Sentinel перестанет принимать данные в устаревшую ThreatIntelligenceIndicator таблицу. Мы обновляем все готовые решения аналитики угроз в Центре содержимого, чтобы использовать новые таблицы. Дополнительные сведения о новых схемах таблиц см. в разделах ThreatIntelIndicators и ThreatIntelObjects. Сведения об использовании и переходе на новые таблицы см. в статье Работа с объектами STIX для улучшения аналитики угроз и охоты на угрозы в Microsoft Sentinel (предварительная версия).

Жизненный цикл аналитики угроз

Microsoft Sentinel хранит данные аналитики угроз в таблицах аналитики угроз и автоматически возвращает все данные каждые семь–10 дней для оптимизации эффективности запросов.

При создании, обновлении или удалении индикатора Microsoft Sentinel создает новую запись в таблицах. В интерфейсе управления отображается только самый актуальный индикатор. Microsoft Sentinel дедупликирует индикаторы на Id основе свойства (IndicatorIdсвойства в устаревшей ThreatIntelligenceIndicatorверсии ) и выбирает индикатор с новейшим TimeGenerated[UTC].

Свойство Id представляет собой объединение значения в --- кодировке SourceSystem base64 (три дефиса) и stixId (которое является значениемData.Id).

Просмотр обогащения данных GeoLocation и WhoIs (общедоступная предварительная версия)

Корпорация Майкрософт дополняет индикаторы IP-адресов и доменов дополнительными GeoLocation данными и WhoIs данными, чтобы обеспечить дополнительный контекст для исследований, где найден выбранный IOC.

Просмотрите GeoLocation и WhoIs данные на панели Аналитика угроз для этих типов индикаторов угроз, импортированных в Microsoft Sentinel.

Например, используйте GeoLocation данные для поиска таких сведений, как организация, страна или регион для индикатора IP-адресов. Используйте WhoIs данные для поиска таких данных, как регистратор и данные создания записей из индикатора домена.

Обнаружение угроз с помощью аналитики индикаторов угроз

Наиболее важным вариантом использования аналитики угроз в решениях SIEM, таких как Microsoft Sentinel, является использование правил аналитики для обнаружения угроз. Эти правила на основе индикаторов сравнивают необработанные события из источников данных с индикаторами угроз для обнаружения угроз в организации. В Microsoft Sentinel Analytics вы создаете правила аналитики на основе запросов, которые выполняются по расписанию и создают оповещения системы безопасности. Наряду с конфигурациями они определяют, как часто должно выполняться правило, какие результаты запросов должны генерировать оповещения системы безопасности и инциденты, а также, при необходимости, когда следует активировать автоматический ответ.

Хотя вы всегда можете создавать новые правила аналитики с нуля, Microsoft Sentinel предоставляет набор встроенных шаблонов правил, созданных инженерами безопасности Майкрософт, чтобы воспользоваться преимуществами ваших индикаторов угроз. Эти шаблоны основаны на типе индикаторов угроз (домен, электронная почта, хэш файлов, IP-адрес или URL-адрес) и событиях источника данных, которые вы хотите сопоставить. В каждом шаблоне перечислены необходимые источники, необходимые для работы правила. Эта информация позволяет легко определить, импортированы ли необходимые события в Microsoft Sentinel.

По умолчанию при активации этих встроенных правил создается оповещение. В Microsoft Sentinel оповещения, созданные из правил аналитики, также создают инциденты безопасности. В меню Microsoft Sentinel в разделе Управление угрозами выберите Инциденты. Инциденты — это то, что ваши команды по операциям безопасности рассматривают и исследуют для определения соответствующих действий реагирования. Дополнительные сведения см. в статье Руководство. Исследование инцидентов с помощью Microsoft Sentinel.

Дополнительные сведения об использовании индикаторов угроз в правилах аналитики см. в статье Использование аналитики угроз для обнаружения угроз.

Корпорация Майкрософт предоставляет доступ к аналитике угроз с помощью правила аналитики аналитики угроз в Defender. Дополнительные сведения о том, как воспользоваться преимуществами этого правила, которое создает оповещения и инциденты с высоким уровнем точности, см. в разделе Использование аналитики сопоставления для обнаружения угроз.

Снимок экрана: инцидент с высокой точностью, созданный путем сопоставления аналитики с дополнительными контекстными сведениями из Defender Threat Intelligence.

Книги предоставляют аналитические сведения об аналитике угроз

Книги предоставляют мощные интерактивные панели мониторинга, которые предоставляют аналитические сведения обо всех аспектах Microsoft Sentinel, и аналитика угроз не является исключением. Используйте встроенную книгу аналитики угроз , чтобы визуализировать ключевые сведения об аналитике угроз. Настройте книгу в соответствии с бизнес-потребностями. Создавайте новые панели мониторинга, объединяя множество источников данных, чтобы помочь вам визуализировать данные уникальными способами.

Так как книги Microsoft Sentinel основаны на книгах Azure Monitor, уже доступны обширная документация и множество других шаблонов. Дополнительные сведения см. в статье Создание интерактивных отчетов с помощью Azure мониторинг книг.

На сайте GitHub также есть обширный ресурс для книг Azure Monitor, где можно скачать дополнительные шаблоны и внести свои собственные шаблоны.

Дополнительные сведения об использовании и настройке книги аналитики угроз см. в статье Визуализация аналитики угроз с помощью книг.

В этой статье вы узнали о возможностях аналитики угроз на базе Microsoft Sentinel. Дополнительные сведения см. в следующих статьях: