Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Ускорьте обнаружение и исправление угроз благодаря упрощению создания аналитики угроз и управлению ею. В этой статье показано, как максимально эффективно использовать интеграцию аналитики угроз в интерфейсе управления, независимо от того, обращаетесь ли вы к ней из Microsoft Sentinel на портале Defender или портал Azure.
- Создание объектов аналитики угроз с помощью структурированного выражения информации об угрозах (STIX)
- Управление аналитикой угроз путем просмотра, проверки и визуализации
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Предварительные условия
- Для управления аналитикой угроз требуются разрешения участника Microsoft Sentinel или более поздней роли, назначенной вашей учетной записи пользователя.
- Чтобы импортировать и экспортировать аналитику угроз, необходимо установить решение аналитики угроз в Microsoft Sentinel и включить соответствующие соединители, как описано в статье Использование STIX/TAXII для импорта и экспорта аналитики угроз в Microsoft Sentinel.
Доступ к интерфейсу управления
Сослаться на одну из следующих вкладок в зависимости от того, где вы хотите работать с аналитикой угроз. Несмотря на то, что доступ к интерфейсу управления осуществляется по-разному в зависимости от используемого портала, задачи создания и управления выполняют одни и те же действия после того, как вы перейдете к ней.
На портале Defender перейдите к разделу Управлениеintelаналитикой> угроз.
Создание аналитики угроз
Используйте интерфейс управления для создания объектов STIX и выполнения других распространенных задач аналитики угроз, таких как маркировка индикаторов и установка соединений между объектами.
- Определите связи при создании новых объектов STIX.
- Быстрое создание нескольких объектов с помощью функции дубликата для копирования метаданных из нового или существующего объекта TI.
Дополнительные сведения о поддерживаемых объектах STIX см. в разделе Аналитика угроз в Microsoft Sentinel.
Создание нового объекта STIX
Выберите Добавить новый>объект TI.
Выберите тип объекта, а затем заполните форму на странице Новый объект TI . Обязательные поля помечаются красной звездочкой (*).
Рассмотрите возможность назначения значения конфиденциальности или оценки протокола светофора (TLP) для объекта TI. Дополнительные сведения о том, что представляют значения, см. в разделе Курировать аналитику угроз.
Если вы знаете, как этот объект связан с другим объектом аналитики угроз, укажите эту связь с типом связи и ссылкой Target.
Выберите Добавить для отдельного объекта или Добавить и дублировать , если вы хотите создать дополнительные элементы с теми же метаданными. На следующем рисунке показан общий раздел метаданных каждого объекта STIX, который дублируется.
Управление аналитикой угроз
Оптимизируйте TI из источников с помощью правил приема. Курируйте существующий TI с помощью построителя связей. Используйте интерфейс управления для поиска, фильтрации и сортировки, а затем добавления тегов в аналитику угроз.
Оптимизация веб-каналов аналитики угроз с помощью правил приема
Уменьшите шум от веб-каналов TI, расширьте допустимость индикаторов с высоким значением и добавьте значимые теги для входящих объектов. Это лишь некоторые из вариантов использования правил приема. Ниже приведены шаги по продлению срока действия для индикаторов с высоким значением.
Выберите Правила приема, чтобы открыть новую страницу для просмотра существующих правил и создания новой логики правил.
Введите описательное имя правила. На странице правил приема достаточно правил для имени, но это единственное текстовое описание, которое позволяет различать правила без их изменения.
Выберите тип объекта. Этот вариант использования основан на расширении
Valid fromсвойства, которое доступно только дляIndicatorтипов объектов.Добавьте условие для
SourceEqualsи выберите высокое значениеSource.Добавьте условие для
ConfidenceGreater than or equalи введитеConfidenceоценку.Выберите Действие. Так как мы хотим изменить этот индикатор, выберите
Edit.Выберите действие Добавить для
Valid until,Extend byи выберите интервал времени в днях.Рассмотрите возможность добавления тега для указания высокого значения, помещенного в эти индикаторы, например
Extended. Дата изменения не обновляется правилами приема.Выберите заказ , который требуется выполнить. Правила выполняются от наименьшего номера заказа до самого высокого. Каждое правило оценивает каждый объект, который принимается.
Если правило готово к включению, установите переключатель Состояние в положение Вкл.
Нажмите кнопку Добавить , чтобы создать правило приема.
Дополнительные сведения см. в статье Правила приема аналитики угроз.
Курируйте аналитику угроз с помощью построителя связей
Подключение объектов аналитики угроз с помощью построителя связей. В построителе одновременно существует не более 20 связей, но можно создать больше подключений с помощью нескольких итераций и путем добавления целевых ссылок связей для новых объектов.
Выберите Добавить новое>отношение TI.
Начните с существующего объекта TI, например субъекта угрозы или шаблона атаки, где один объект подключается к одному или нескольким существующим объектам, например индикаторам.
Добавьте тип связи в соответствии с рекомендациями, описанными в следующей таблице и в сводной таблице ссылочных связей STIX 2.1:
Тип связи Описание
ДубликатПроизводный от
Связанные сОбщие связи, определенные для любого объекта домена STIX (SDO)
Дополнительные сведения см. в справочнике по STIX 2.1 по общим связям.Цели Attack patternилиThreat actorЦелевые объектыIdentityПрименение Threat actorИспользуетAttack patternАтрибут Threat actorАтрибутIdentityУказывает IndicatorУказывает илиAttack patternThreat actorОлицетворяет Threat actorОлицетворяетIdentityИспользуйте следующий образ в качестве примера использования построителя связей. В этом примере показано, как подключиться между субъектом угрозы и шаблоном атаки, индикатором и удостоверением с помощью построителя связей на портале Defender.
Завершите связь, настроив общие свойства.
Просмотр аналитики угроз в интерфейсе управления
Используйте интерфейс управления для сортировки, фильтрации и поиска аналитики угроз из любого источника, из который они были приема, без написания запроса Log Analytics.
В интерфейсе управления разверните меню Что вы хотите искать?
Выберите тип объекта STIX или оставьте значение по умолчанию Все типы объектов.
Выберите условия с помощью логических операторов.
Выберите объект, о который вы хотите просмотреть дополнительные сведения.
На следующем рисунке для поиска использовались несколько источников, поместив их в группу OR , а несколько условий были сгруппированы с оператором AND .
Microsoft Sentinel отображает в этом представлении только самую последнюю версию intel для угроз. Дополнительные сведения об обновлении объектов см. в статье Жизненный цикл аналитики угроз.
Индикаторы IP-адресов и доменных имен дополнены дополнительными GeoLocation данными и WhoIs , таким образом, вы можете предоставить дополнительный контекст для любых исследований, где обнаружен индикатор.
Ниже приведен пример.
Важно!
GeoLocation и WhoIs обогащение в настоящее время находится в предварительной версии.
Дополнительные условия предварительной версии Azure включают более юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или иным образом еще не выпущены в общедоступную версию.
Добавление тегов и изменение аналитики угроз
Аналитика угроз — это быстрый способ группировки объектов, чтобы упростить их поиск. Как правило, можно применить теги, связанные с конкретным инцидентом. Но если объект представляет угрозы от определенного известного субъекта или хорошо известной кампании атак, рассмотрите возможность создания связи вместо тега.
- Используйте интерфейс управления для сортировки, фильтрации и поиска аналитики угроз.
- После того как вы найдете объекты, с которыми вы хотите работать, выберите их, выбрав один или несколько объектов одного типа.
- Выберите Добавить теги и пометьте их все сразу одним или несколькими тегами.
- Так как маркировка является свободной, рекомендуется создавать стандартные соглашения об именовании для тегов в организации.
Изменение аналитики угроз по одному объекту за раз, независимо от того, создан ли он непосредственно в Microsoft Sentinel или из партнерских источников, таких как серверы TIP и TAXII. Для аналитики угроз, созданной в интерфейсе управления, все поля доступны для редактирования. Для аналитики угроз, полученной из источников партнеров, можно изменять только определенные поля, включая теги, дату окончания срока действия, достоверность и отозвано. В любом случае в интерфейсе управления отображается только последняя версия объекта.
Дополнительные сведения о том, как обновляется аналитика по угрозам, см. в разделе Просмотр аналитики угроз.
Поиск и просмотр аналитики угроз с помощью запросов
В этой процедуре описывается, как просматривать аналитику угроз с помощью запросов, независимо от исходного канала или метода, который вы использовали для их приема.
Индикаторы угроз хранятся в таблице Microsoft SentinelThreatIntelligenceIndicator. Эта таблица служит основой для запросов аналитики угроз, выполняемых другими Microsoft Sentinel функциями, такими как аналитика, охота и книги.
Для Microsoft Sentinel на портале Defender выберите Исследование & ответ>Охота>Расширенная охота.
Таблица
ThreatIntelligenceIndicatorнаходится в группе Microsoft Sentinel.
Дополнительные сведения см. в разделе Просмотр аналитики угроз.
Визуализация аналитики угроз с помощью книг
Используйте специально созданную Microsoft Sentinel книгу для визуализации ключевых сведений об аналитике угроз в Microsoft Sentinel и настройки книги в соответствии с потребностями вашего бизнеса.
Ниже показано, как найти книгу аналитики угроз, предоставленную в Microsoft Sentinel, и пример внесения изменений в книгу для ее настройки.
В портал Azure перейдите к Microsoft Sentinel.
Выберите рабочую область, в которую импортированы индикаторы угроз, с помощью любого из соединителей данных аналитики угроз.
В разделе Управление угрозами в меню Microsoft Sentinel выберите Книги.
Найдите книгу с именем Аналитика угроз. Убедитесь, что в
ThreatIntelligenceIndicatorтаблице есть данные.
Нажмите кнопку Сохранить и выберите Azure расположение, в котором будет храниться книга. Этот шаг необходим, если вы планируете каким-либо образом изменить книгу и сохранить изменения.
Теперь выберите Просмотреть сохраненную книгу , чтобы открыть книгу для просмотра и редактирования.
Теперь вы увидите диаграммы по умолчанию, предоставляемые шаблоном. Чтобы изменить диаграмму, выберите Изменить в верхней части страницы, чтобы начать режим редактирования книги.
Добавьте новую диаграмму индикаторов угроз по типам угроз. Прокрутите страницу до нижней части страницы и выберите Добавить запрос.
Добавьте следующий текст в текстовое поле Запрос журнала рабочей области Log Analytics :
ThreatIntelligenceIndicator | summarize count() by ThreatTypeДополнительные сведения о следующих элементах, используемых в предыдущем примере, см. в документации по Kusto:
В раскрывающемся меню Визуализация выберите Линейчатая диаграмма.
Выберите Готово редактирование и просмотрите новую диаграмму для книги.
Книги предоставляют мощные интерактивные панели мониторинга, предоставляющие аналитические сведения обо всех аспектах Microsoft Sentinel. С помощью книг можно выполнять множество задач, и предоставленные шаблоны являются отличной отправной точкой. Настройте шаблоны или создайте новые панели мониторинга, объединяя множество источников данных, чтобы можно было визуализировать данные уникальными способами.
Microsoft Sentinel книги основаны на книгах Azure Monitor, поэтому доступна обширная документация и множество других шаблонов. Дополнительные сведения см. в статье Создание интерактивных отчетов с помощью Azure мониторинг книг.
На сайте GitHub также есть обширный ресурс для книг Azure Monitor, где можно скачать дополнительные шаблоны и внести свои собственные шаблоны.
Экспорт аналитики угроз
Microsoft Sentinel позволяет экспортировать аналитику угроз в другие назначения. Например, если вы получили аналитику угроз с помощью соединителя данных Аналитика угроз — TAXII , вы можете экспортировать аналитику угроз обратно на исходную платформу для двунаправленного обмена аналитикой. Функция экспорта снижает потребность в ручных процессах или пользовательских сборниках схем для распространения аналитики угроз.
Важно!
Внимательно изучите экспортируемые данные аналитики угроз и их назначение, которые могут находиться в другом географическом или регулятивном регионе. Экспорт данных не может быть отменен. Перед экспортом или предоставлением доступа к аналитике угроз третьим лицам убедитесь, что вы владеете данными или имеете соответствующую авторизацию.
Чтобы экспортировать аналитику угроз, выполните приведенные далее действия.
Для Microsoft Sentinel на портале Defender выберите Аналитика угроз > Intel Management. Для Microsoft Sentinel в портал Azure выберите Управление угрозами > Аналитика угроз.
Выберите один или несколько объектов STIX, а затем выберите Экспорт
на панели инструментов в верхней части страницы. Например, вы можете:В области Экспорт в раскрывающемся списке Экспорт TI выберите сервер, на который нужно экспортировать аналитику угроз.
Если сервер отсутствует в списке, сначала необходимо настроить сервер для экспорта, как описано в разделе Включение соединителя данных аналитики угроз — taxii Export. Microsoft Sentinel в настоящее время поддерживает экспорт только на платформы на основе TAXII 2.1.
Выберите Экспорт.
Важно!
При экспорте объектов аналитики угроз система выполняет массовую операцию. Существует известная проблема, из-за которой эта массовая операция иногда завершается сбоем. В этом случае вы увидите предупреждение при открытии боковой панели Экспорт с просьбой удалить сбойное действие из представления журнала массовых операций. Система приостанавливает последующие операции до тех пор, пока не будет удалена неудачная операция.
Чтобы получить доступ к журналу экспорта, выполните следующие действия:
- Перейдите к экспортируемму элементу на странице управления Intel (портал Defender) или аналитики угроз (портал Azure).
- В столбце Экспорты выберите Просмотреть журнал экспорта , чтобы отобразить журнал экспорта для этого элемента.
Связанные материалы
Дополнительные сведения см. в следующих статьях:
- Аналитика угроз в Microsoft Sentinel.
- Подключение Microsoft Sentinel к каналам аналитики угроз STIX/TAXII.
- Узнайте, какие tiP, каналы TAXII и обогащения можно легко интегрировать с Microsoft Sentinel.
Дополнительные сведения о KQL см. в статье Общие сведения о язык запросов Kusto (KQL).
Другие ресурсы