Поделиться через

Аналитика угроз в Microsoft Sentinel

  • Статья
  • Применяется к: Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel — это облачное решение для управления безопасностью и событиями (SIEM) с возможностью приема, обработки и управления аналитикой угроз из многочисленных источников.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения смотрите на портале Microsoft Defender в Microsoft Sentinel.

Введение в аналитику угроз

Аналитика кибербезопасности (CTI) — это информация, описывающая существующие или потенциальные угрозы для систем и пользователей. Эта разведка принимает множество форм, таких как письменные отчеты, которые подробно описывают мотивы конкретного субъекта угроз, инфраструктуру и методы. Это также могут быть конкретные наблюдения за IP-адресами, доменами, хэшами файлов и другими артефактами, связанными с известными кибер-угрозами.

Организации используют CTI для предоставления важного контекста необычной деятельности, чтобы сотрудники службы безопасности могли быстро принять меры для защиты своих людей, информации и ресурсов. Вы можете использовать CTI из многих мест, например:

  • Веб-каналы данных с открытым кодом
  • Сообщества по обмену аналитикой угроз
  • Каналы коммерческой разведки
  • Локальная разведка, собранная в ходе расследований безопасности в организации

Для решений SIEM, таких как Microsoft Sentinel, наиболее распространенные формы CTI являются индикаторами угроз, которые также называются индикаторами компрометации (IOCs) или индикаторами атаки. Индикаторы угроз — это данные, которые связывают наблюдаемые артефакты, такие как URL-адреса, хэши файлов или IP-адреса, с известными действиями угроз, такими как фишинг, ботнеты или вредоносное ПО. Эта форма аналитики угроз часто называется тактической аналитикой угроз. Она применяется к продуктам безопасности и автоматизации в большом масштабе для обнаружения потенциальных угроз организации и защиты от них.

Другой аспект аналитики угроз включает злоумышленников, их методы, тактику и процедуры (TTPs), их инфраструктуру и личности их жертв. Microsoft Sentinel поддерживает управление этими аспектами вместе с IOCs, выраженных с помощью стандарта с открытым кодом для обмена CTI, известного как структурированная модель представления информации об угрозах (STIX). Аналитика угроз, выраженная как объекты STIX, улучшает взаимодействие и позволяет организациям более эффективно охотиться. Используйте объекты STIX аналитики угроз в Microsoft Sentinel, чтобы обнаружить вредоносные действия, наблюдаемые в вашей среде, и предоставить полный контекст атаки для информирования о решениях реагирования.

В следующей таблице описаны действия, необходимые для максимальной интеграции аналитики угроз (TI) в Microsoft Sentinel:

Действие Описание
Хранение аналитики угроз в рабочей области Microsoft Sentinel
  • Импортируйте разведывательную информацию об угрозах в Microsoft Sentinel, активировав коннекторы данных для различных платформ и каналов разведывательной информации об угрозах.
  • Подключите аналитику угроз к Microsoft Sentinel с помощью API отправки для подключения различных платформ TI или пользовательских приложений.
  • Создайте аналитику угроз с помощью упрощенного интерфейса управления.
Управление аналитикой угроз
  • Просмотр импортированной аналитики угроз с помощью запросов или расширенного поиска.
  • Курирование аналитики угроз с использованием связей, правил интеграции или тегов
  • Визуализируйте ключевые сведения о вашей TI с помощью рабочих тетрадей.
Использование аналитики угроз
  • Обнаружение угроз и создание оповещений системы безопасности и инцидентов с помощью встроенных шаблонов правил аналитики на основе вашей информации об угрозах.
  • Займитесь выявлением угроз, используя информацию об угрозах, чтобы задать правильные вопросы о сигналах, собранных для вашей организации.

Аналитика угроз также предоставляет полезный контекст в других интерфейсах Microsoft Sentinel, таких как записные книжки. Дополнительные сведения см. в статье "Начало работы с записными книжками" и MSTICPy.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Импорт и подключение аналитики угроз

Большинство разведывательной информации об угрозах импортируется с помощью коннекторов данных или API. Настройте правила загрузки, чтобы уменьшить шум и убедиться, что каналы данных оптимизированы. Ниже приведены решения, доступные для Microsoft Sentinel.

  • Коннектор данных Microsoft Defender Threat Intelligence для приема информации об угрозах от Microsoft
  • Разведка угроз — коннектор данных TAXII для стандартных каналов STIX/TAXII
  • API загрузки аналитической информации об угрозах для интегрированных и курируемых потоков данных TI с использованием REST API для подключения (не требуется соединитель данных)
  • Платформа аналитики угроз также подключает веб-каналы TI с помощью устаревшего REST API, но подлежит отключению.

Используйте эти решения в любом сочетании в зависимости от того, где ваша организация использует аналитику угроз. Все эти соединители данных доступны в Центре контента как часть решения по аналитике угроз. Дополнительные сведения об этом решении см. в записи в каталоге Azure Marketplace Threat Intelligence.

Кроме того, ознакомьтесь с этим каталогом интеграции аналитики угроз, доступных в Microsoft Sentinel.

Добавьте информацию об угрозах в Microsoft Sentinel с помощью коннектора данных Defender Threat Intelligence

Используйте общедоступные, открытые и высокоточные индикаторы компрометации, созданные Интеллектуальной защитой от угроз Defender, в вашей рабочей области Microsoft Sentinel с помощью соединителей данных Интеллектуальной защиты от угроз Defender. С помощью простой настройки одним щелчком используйте аналитику угроз со стандартных и премиум-соединителей данных Аналитики угроз Defender для мониторинга, оповещения и охоты.

Существует две версии соединителя данных, категории "Стандартный" и "Премиум". Существует также свободно доступное правило аналитики угроз Defender Threat Intelligence, которое демонстрирует возможности, предлагаемые соединителем данных премиум-класса Defender Threat Intelligence. Однако при сопоставлении аналитики в вашей среде обрабатываются только индикаторы, соответствующие правилу.

Соединитель данных аналитики угроз Premium Defender отправляет обогащенные корпорацией Майкрософт открытый код аналитики и управляемые корпорацией Майкрософт операции ввода-вывода. Эти функции уровня "Премиум" позволяют анализировать больше источников данных с большей гибкостью и пониманием этой аналитики угроз. Ниже приведена таблица, показывающая, что ожидать при лицензировании и включении версии premium.

Бесплатно Premium
Общедоступные операции ввода-вывода
Аналитика с открытым кодом (OSINT)
Операции ввода-вывода Майкрософт
ОСИНТ, усовершенствованный Microsoft

Дополнительные сведения см. в следующих статьях:

Добавьте информацию об угрозах в Microsoft Sentinel через API загрузки

Многие организации используют решения платформы анализа угроз (TIP) для сборки и анализа потоков индикаторов угроз из различных источников. Из агрегированного источника данные обрабатываются для использования в решениях по обеспечению безопасности, таких как сетевые устройства, решения EDR/XDR или SIEM-системы, такие как Microsoft Sentinel. API загрузки позволяет использовать эти решения для импорта объектов STIX разведки об угрозах в Microsoft Sentinel.

Схема, показывающая путь импорта API загрузки.

Новый API отправки не требует соединителя данных и предлагает следующие улучшения:

  • Поля индикатора угроз основаны на стандартизованном формате STIX.
  • Для приложения Microsoft Entra требуется роль участника Microsoft Sentinel.
  • Конечная точка запроса API ограничена на уровне рабочей области. Необходимые разрешения для приложения Microsoft Entra позволяют гибко назначать доступ на уровне рабочей области.

Дополнительные сведения см. в статье "Подключение платформы аналитики угроз с помощью API отправки"

Добавление аналитики угроз в Microsoft Sentinel с помощью соединителя данных платформы аналитики угроз

Примечание.

Этот коннектор данных теперь движется к списанию.

Так же, как и API для загрузки, соединитель данных платформы анализа угроз использует API, который позволяет вашей платформе анализа угроз (TIP) или пользовательскому решению отправлять аналитику угроз в Microsoft Sentinel. Однако этот соединитель данных ограничен только индикаторами и теперь находится на пути к отключению. Мы рекомендуем воспользоваться оптимизациями, предлагаемыми API загрузки.

Соединитель данных TIP использует API Microsoft Graph Security tiIndicators, который не поддерживает другие объекты STIX. Используйте его с любым пользовательским советом, который взаимодействует с API tiIndicator для отправки индикаторов в Microsoft Sentinel (и других решений по безопасности Майкрософт, таких как XDR Defender).

Снимок экрана: путь импорта аналитики угроз.

Дополнительные сведения о решениях TIP, интегрированных с Microsoft Sentinel, см. в статье Интегрированные продукты платформы аналитики угроз. Дополнительные сведения см. в статье Подключение платформы аналитики угроз к Microsoft Sentinel.

Добавьте разведданные об угрозах в Microsoft Sentinel с помощью соединителя данных Threat Intelligence - TAXII

Наиболее широко распространенный в отрасли стандарт передачи аналитики угроз — это сочетание формата данных STIX и протокола TAXII. Если ваша организация получает аналитику угроз от решений, поддерживающих текущую версию STIX/TAXII (2.0 или 2.1), используйте соединитель данных Threat Intelligence — TAXII для переноса аналитики угроз в Microsoft Sentinel. При использовании соединителя данных "Аналитика угроз — TAXII" включается встроенный в Microsoft Sentinel клиент TAXII для импорта аналитики угроз с серверов TAXII 2.x.

Снимок экрана: путь импорта TAXII

Чтобы импортировать аналитику угроз с форматированием STIX в Microsoft Sentinel с сервера TAXII:

  1. Получите корневой и коллекционный идентификатор API сервера TAXII.
  2. Включите соединитель данных Threat Intelligence — TAXII в Microsoft Sentinel.

Дополнительные сведения см. в статье Подключение Microsoft Sentinel к каналам аналитики угроз STIX/TAXII.

Создание аналитики угроз и управление ими

Аналитика угроз, на базе Microsoft Sentinel, управляется рядом с Аналитика угроз Microsoft Defender (MDTI) и Threat Analytics на унифицированной платформе SecOps Корпорации Майкрософт.

Снимок экрана: страница управления intel на портале Defender.

Примечание.

Доступ к разведке угроз в портале Azure по-прежнему осуществляется через Microsoft Sentinel>Управление угрозами>Разведка угроз.

Две наиболее распространенные задачи аналитики угроз создают новую аналитику угроз, связанную с исследованиями безопасности и добавлением тегов. Интерфейс управления упрощает ручной процесс обработки данных о киберугрозах, предоставляя несколько ключевых функций.

  • Настройте правила поглощения для оптимизации информации о угрозах из входящих источников.
  • Определите связи при создании новых объектов STIX.
  • Курировать существующую TI с помощью инструмента для построения связей.
  • Скопируйте общие метаданные из нового или существующего объекта TI с повторяющимся компонентом.
  • Добавляйте произвольные теги к объектам с возможностью множественного выбора.

В Microsoft Sentinel доступны следующие объекты STIX: Снимок экрана: меню для добавления новых объектов STIX вместе с его параметрами.

Объект STIX Описание
Субъект угроз От сценариев до государств нации объекты субъектов угроз описывают мотивации, сложности и уровни ресурсов.
Шаблон атаки Также известны как методы, тактика и процедуры, шаблоны атак описывают конкретный компонент атаки и этап MITRE ATT&CK, на котором он используется.
Индикатор Domain name, URL, IPv4 address, IPv6 address, File hashes,
,
и X509 certificates используются для проверки подлинности идентификации устройств и серверов для безопасного обмена данными через Интернет.

JA3 отпечатки пальцев — это уникальные идентификаторы, формируемые при рукопожатии TLS/SSL. Они помогают определить определенные приложения и средства, используемые в сетевом трафике, что упрощает обнаружение отпечатков пальцев вредоносных действий

JA3S , расширяя возможности JA3, также включая характеристики конкретного сервера в процессе отпечатков пальцев. Это расширение обеспечивает более комплексное представление сетевого трафика и помогает выявлять как клиентские, так и серверные угрозы.

User agents укажите сведения о клиентском программном обеспечении, выполняющего запросы к серверу, например браузере или операционной системе. Они полезны при идентификации и профилировании устройств и приложений, обращаюющихся к сети.
Identity Описать жертв, организаций и других групп или отдельных лиц вместе с бизнес-секторами, наиболее тесно связанными с ними.
Отношение Потоки, которые подключают аналитику угроз, помогая выполнять подключения между разрознанными сигналами и точками данных, описываются с помощью связей.

Настройка правил инжестации

Оптимизируйте каналы данных об угрозах, фильтруя и улучшая объекты перед их доставкой в вашу рабочую среду. Правила обработки данных обновляют атрибуты или полностью фильтруют объекты. В следующей таблице перечислены некоторые варианты использования:

Вариант использования правила поглощения Описание
Уменьшение шума Отфильтруйте старую аналитику угроз, которая не обновлена в течение 6 месяцев, что также имеет низкую достоверность.
Продление срока действия Повышение точности операций ввода-вывода из доверенных источников путем расширения их Valid until на 30 дней.
Помните старые дни Новая таксономия игроков на поле угроз отличная, но некоторые аналитики хотят обязательно сохранить старые названия.

Снимок экрана: четыре правила приема, соответствующие вариантам использования.

Имейте в виду следующие советы по использованию правил приема:

  • Все правила применяются в порядке очереди. Объекты информации об угрозах будут обрабатываться каждым правилом до тех пор, пока действие Delete не будет выполнено. Если над объектом не выполняется никаких действий, он импортируется из источника без изменений.
  • Действие Delete означает, что объект информации об угрозах не поступает на обработку, то есть удаляется из конвейера. Любые предыдущие версии объекта, уже прошедшие прием, не затрагиваются.
  • Новые и измененные правила вступают в силу до 15 минут.

Дополнительные сведения см. в статье "Работа с правилами приема аналитики угроз".

Создание отношений

Повышение уровня обнаружения угроз и реагирования путем установления соединений между объектами с помощью построителя связей. В следующей таблице перечислены некоторые варианты использования:

Вариант использования взаимоотношений Описание
Подключение субъекта угроз к шаблону атаки Субъект APT29угроз использует шаблон Phishing via Email атаки для получения начального доступа.
Связывание индикатора с субъектом угроз Индикатор allyourbase.contoso.com домена относится к субъектуAPT29угроз.
Ассоциировать идентичность (жертвы) с шаблоном атаки Шаблон Phishing via Emailатаки предназначен для FourthCoffee организации.

На следующем рисунке показано, как построитель связей подключает все эти варианты использования.

Снимок экрана: пример создания связи.

Анализ угроз

Настройте, какие объекты TI можно предоставить соответствующим аудиториям, назначив уровень конфиденциальности, называемый протоколом TLP.

Цвет TLP Чувствительность
Белый Информация может быть предоставлена свободно и публично без каких-либо ограничений.
Зеленый Информация может быть предоставлена одноранговым и партнерским организациям в сообществе, но не публично. Она предназначена для более широкой аудитории в сообществе.
Amber Информацию можно предоставить членам организации, но не публично. Она предназначена для защиты конфиденциальной информации в организации.
Красный Информация очень конфиденциальна и не должна предоставляться за пределами определенной группы или собрания, где она была первоначально раскрыта.

Задайте значения TLP для объектов TI в пользовательском интерфейсе при создании или изменении их. Настройка TLP через API менее интуитивно понятна и требует выбора одного из четырех marking-definition графических идентификаторов объектов. Дополнительные сведения о настройке TLP через API см. object_marking_refs в свойствах Общее загрузочного API

Другой способ курировать TI — при помощи тегов. Тегирование информации об угрозах — это быстрый способ группировать объекты, чтобы упростить их поиск. Как правило, можно применить теги, связанные с конкретным инцидентом. Но если объект представляет угрозы от определенного известного субъекта или известной кампании атаки, рассмотрите возможность создания связи вместо тега. После того как вы выполните поиск и отфильтруете аналитику угроз, с которой хотите работать, отметьте их по отдельности или выберите несколько и отметьте все сразу. Так как теги являются бесплатными, рекомендуется создать стандартные соглашения об именовании для тегов аналитики угроз.

Дополнительные сведения см. в статье "Работа с аналитикой угроз" в Microsoft Sentinel.

Просмотр аналитики угроз

Просмотрите аналитику угроз из интерфейса управления или с помощью запросов:

  • В интерфейсе управления используйте расширенный поиск для сортировки и фильтрации объектов аналитики угроз, даже не записывая запрос Log Analytics.

    Снимок экрана: расширенный интерфейс поиска с выбранными условиями источника и достоверности.

  • Используйте запросы для просмотра аналитики угроз из журналов на портале Azure или расширенной охоте на портале Defender.

    В любом случае таблица ThreatIntelligenceIndicator в схеме Microsoft Sentinel — это место, где хранятся все индикаторы угроз Microsoft Sentinel. Эта таблица служит основой для запросов, связанных с анализом угроз, выполняемых с помощью других функций Microsoft Sentinel, таких как средства аналитики, поисковые запросы и рабочие книги.

Внимание

3 апреля 2025 г. мы публично просматривали две новые таблицы для поддержки индикаторов STIX и схем объектов: ThreatIntelIndicator и ThreatIntelObjects. Microsoft Sentinel будет обрабатывать всю информацию об угрозах в этих новых таблицах, продолжая получать те же самые данные в устаревшую ThreatIntelligenceIndicator таблицу до 31 июля 2025 года. Обязательно обновите пользовательские запросы, правила аналитики и обнаружения, книги и автоматизацию, чтобы использовать новые таблицы к 31 июля 2025 года. После этой даты Microsoft Sentinel перестанет принимать данные в устаревшую ThreatIntelligenceIndicator таблицу. Мы обновляем все готовые решения аналитики угроз в Центре контента, чтобы использовать новые таблицы. Дополнительные сведения о новых схемах таблиц см. в статье ThreatIntelIndicator и ThreatIntelObjects. Сведения об использовании и миграции в новые таблицы см. в статье (Работа с объектами STIX для повышения аналитики угроз и охоты на угрозы в Microsoft Sentinel (предварительный просмотр))[work-with-styx-objects-and-indicators.md].

Жизненный цикл аналитики угроз

Microsoft Sentinel отправляет индикаторы аналитики угроз в таблицы аналитики угроз в рабочей области Log Analytics. Дополнительные сведения о таблицах аналитики угроз Microsoft Sentinel см. в статье "Просмотр аналитики угроз".

При создании, обновлении или удалении индикатора Microsoft Sentinel создает новую запись в таблицах. В интерфейсе управления отображается только самый текущий индикатор. Microsoft Sentinel выполняет дедупликацию индикаторов на основе свойства Id (свойства IndicatorId в устаревшей версии ThreatIntelligenceIndicator) и выбирает индикатор с самым новым TimeGenerated[UTC].

Свойство Id является конкатенацией значения, закодированного в формате Base64 SourceSystem, --- (три дефиса), и stixId (которое соответствует значению Data.Id).

Просмотр обогащений данных GeoLocation и WhoIs (общедоступная предварительная версия)

Microsoft обогащает индикаторы IP-адресов и доменов дополнительными GeoLocation и WhoIs данными, чтобы предоставить больше контекста для расследований, в которых найден выбранный индикатор компрометации (IOC).

Просмотрите GeoLocation и WhoIs данные на панели "Аналитика угроз" для типов индикаторов угроз, импортированных в Microsoft Sentinel.

Например, используйте GeoLocation данные для поиска таких сведений, как организация или страна или регион для индикатора IP-адресов. Используйте WhoIs данные для поиска информации, такой как данные о регистраторе и данные о создании записей, исходя из индикатора домена.

Обнаружение угроз с помощью аналитики индикаторов угроз

Наиболее важным вариантом использования разведки угроз в решениях SIEM, таких как Microsoft Sentinel, является стимулирование использования аналитических правил для обнаружения угроз. По этим правилам параметры необработанных событий из источников данных сравниваются с индикаторами угроз для обнаружения угроз безопасности в вашей организации. В Microsoft Sentinel Analytics вы создаете правила аналитики, управляемые запросами, выполняющимися по расписанию и создавающими оповещения системы безопасности. Наряду с конфигурациями, они определяют частоту выполнения правила, какие результаты запроса должны создавать оповещения системы безопасности и инциденты, а также при необходимости запускать автоматический ответ.

Хотя вы всегда можете создавать новые правила аналитики с нуля, Microsoft Sentinel предоставляет набор встроенных шаблонов правил, созданных инженерами безопасности Майкрософт, чтобы воспользоваться индикаторами угроз. Эти шаблоны основаны на типах индикаторов угроз (домен, электронная почта, хэш файлов, IP-адрес или URL-адрес) и события источника данных, которые вы хотите сопоставить. Каждый шаблон содержит необходимые источники, необходимые для работы правила. Эта информация упрощает определение того, импортируются ли необходимые события в Microsoft Sentinel.

По умолчанию при активации этих встроенных правил создается оповещение. В Microsoft Sentinel оповещения, созданные из правил аналитики, также создают инциденты безопасности. В меню Microsoft Sentinel в разделе "Управление угрозами" выберите "Инциденты". Инциденты — это то, что команды по операциям безопасности сортируют и расследуют, чтобы определить соответствующие действия для реагирования. Дополнительные сведения см. в статье Руководство. Исследование инцидентов с помощью Microsoft Sentinel.

Дополнительные сведения об использовании индикаторов угроз в правилах аналитики см. в статье "Использование аналитики угроз" для обнаружения угроз.

Корпорация Майкрософт предоставляет доступ к данным об угрозах через правило аналитики Defender Threat Intelligence. Дополнительные сведения о том, как воспользоваться этим правилом, которое создает оповещения с высоким уровнем точности и инциденты, см. в статье "Использование аналитики сопоставления для обнаружения угроз".

Снимок экрана, на котором показан инцидент высокой точности, созданный при сопоставлении аналитики с дополнительными сведениями о контексте из Defender Threat Intelligence.

Рабочие тетради обеспечивают понимание вашего анализа угроз

Рабочие книги предоставляют мощные интерактивные панели мониторинга, которые дают вам возможность получить представление обо всех аспектах Microsoft Sentinel, включая анализ угроз. Используйте встроенную книгу аналитики угроз для визуализации ключевых сведений об аналитике угроз. Настройте книгу в соответствии с потребностями вашего бизнеса. Создание панелей мониторинга путем объединения множества источников данных для визуализации данных уникальным образом.

Поскольку рабочие тетради Microsoft Sentinel основаны на рабочих тетрадях Azure Monitor, обширная документация и множество шаблонов уже доступны. Дополнительные сведения см. в статье "Создание интерактивных отчетов с помощью рабочих книг Azure Monitor".

Существует также богатый ресурс для рабочих книг Azure Monitor на сайте GitHub, где можно скачать дополнительные шаблоны и внести свой вклад собственными шаблонами.

Дополнительные сведения об использовании и настройке рабочей книги анализа угроз см. в разделе Визуализация анализа угроз с помощью рабочих книг.

Связанный контент

В этой статье вы узнали о возможностях аналитики угроз на базе Microsoft Sentinel. Дополнительные сведения см. в следующих статьях: