Føj enheder til trusselsintelligens i Microsoft Sentinel

  • Gælder for: Microsoft Sentinel in the Azure portal

Under en undersøgelse undersøger du enheder og deres kontekst som en vigtig del af forståelsen af omfanget og arten af en hændelse. Når du finder en enhed som et skadeligt domænenavn, en URL-adresse, en fil eller EN IP-adresse i hændelsen, skal den mærkes og spores som en indikator for kompromitteret (IOC) i din trusselsintelligens.

Du kan f.eks. finde en IP-adresse, der udfører portscanninger på tværs af dit netværk eller fungerer som en kommando- og kontrolnode ved at sende og/eller modtage transmissioner fra et stort antal noder i netværket.

Med Microsoft Sentinel kan du markere disse typer objekter fra din hændelsesundersøgelse og føje dem til din trusselsintelligens. Du kan få vist de tilføjede indikatorer ved at forespørge dem eller søge efter dem i grænsefladen til administration af trusselsintelligens og bruge dem på tværs af dit Microsoft Sentinel arbejdsområde.

Føj et objekt til din trusselsintelligens

Siden Hændelsesoplysninger og undersøgelsesgrafen giver dig to måder at føje enheder til trusselsintelligens på.

  1. I menuen Microsoft Sentinel skal du vælge Hændelser i sektionen Trusselsadministration.

  2. Vælg en hændelse, der skal undersøges. I ruden Oplysninger om hændelse skal du vælge Få vist alle detaljer for at åbne siden Oplysninger om hændelse .

  3. Find det objekt, du vil tilføje som en trusselsindikator, i ruden Enheder . Du kan filtrere listen eller angive en søgestreng for at hjælpe dig med at finde den.

    Skærmbillede, der viser siden Med oplysninger om hændelse.

  4. Vælg de tre prikker til højre for enheden, og vælg Føj til TI i pop op-menuen.

    Tilføj kun følgende typer objekter som trusselsindikatorer:

    • Domænenavn
    • IP-adresse (IPv4 og IPv6)
    • URL
    • Fil (hash)

    Skærmbillede, der viser tilføjelse af et objekt til trusselsintelligens.

Uanset hvilken af de to grænseflader du vælger, ender du her.

  1. Ruden Ny indikatorside åbnes. Følgende felter udfyldes automatisk:

    • Typer

      • Den type indikator, der repræsenteres af det objekt, du tilføjer.
        • Rulleliste med mulige værdier: ipv4-addr, ipv6-addr, URL, fileog domain-name.
      • Kræves. Udfyldes automatisk baseret på objekttypen.

    • Værdi

      • Navnet på dette felt ændres dynamisk til den valgte indikatortype.
      • Værdien af selve indikatoren.
      • Kræves. Udfyldes automatisk af objektværdien.

    • Mærker

      • Fritekstkoder, du kan føje til indikatoren.
      • Valgfri. Udfyldes automatisk med hændelses-id'et. Du kan tilføje andre.

    • Navn

      • Navnet på indikatoren. Dette navn vises på listen over indikatorer.
      • Valgfri. Udfyldes automatisk med hændelsesnavnet.

    • Oprettet af

      • Opretteren af indikatoren.
      • Valgfri. Udfyldes automatisk af den bruger, der er logget på Microsoft Sentinel.

    Udfyld de resterende felter i overensstemmelse hermed.

    • Trusselstyper

      • Den trusselstype, der repræsenteres af indikatoren.
      • Valgfri. Fri tekst.

    • Beskrivelse

      • Beskrivelse af indikatoren.
      • Valgfri. Fri tekst.

    • Tilbagekaldt

      • Tilbagekaldt status for indikatoren. Markér afkrydsningsfeltet for at tilbagekalde indikatoren. Fjern markeringen i afkrydsningsfeltet for at aktivere det.
      • Valgfri. Boolesk.

    • Tillid

      • Score, der afspejler tilliden til, at dataene er korrekte, med procent.
      • Valgfri. Heltal, 1-100.

    • Afsænk kæder

    • Gyldig fra

      • Det tidspunkt, hvorfra denne indikator anses for at være gyldig.
      • Kræves. Dato/klokkeslæt.

    • Gyldig indtil

      • Det tidspunkt, hvor denne indikator ikke længere skal anses for at være gyldig.
      • Valgfri. Dato/klokkeslæt.

    Skærmbillede, der viser angivelse af oplysninger i den nye trusselsindikatorrude.

  2. Når alle felterne er udfyldt til din tilfredshed, skal du vælge Anvend. Der vises en meddelelse i øverste højre hjørne for at bekræfte, at indikatoren er oprettet.

  3. Enheden tilføjes som trusselsintelligens i dit arbejdsområde. Du kan finde den i grænsefladen til administration af trusselsintelligens. Du kan også sende en forespørgsel til den ved hjælp af tabellen ThreatIntelligenceIndicators.

Relateret indhold

I denne artikel har du lært, hvordan du føjer enheder til dine trusselsindikatorlister. Du kan finde flere oplysninger i følgende artikler:

  • Last updated on