Condividi tramite

Aggiungere entità all'intelligence sulle minacce in Microsoft Sentinel

  • Si applica a: Microsoft Sentinel in the Azure portal

Durante un'indagine, le entità e il relativo contesto vengono esaminati come parte importante per comprendere l'ambito e la natura di un evento imprevisto. Quando si individua un'entità come nome di dominio, URL, file o indirizzo IP dannoso nell'evento imprevisto, deve essere etichettata e tenuta traccia come indicatore di compromissione (IOC) nell'intelligence sulle minacce.

Ad esempio, è possibile individuare un indirizzo IP che esegue analisi delle porte attraverso la rete o funzioni come nodo di comando e controllo inviando e/o ricevendo trasmissioni da un numero elevato di nodi nella rete.

Con Microsoft Sentinel, è possibile contrassegnare questi tipi di entità dall'interno dell'indagine sugli eventi imprevisti e aggiungerli all'intelligence sulle minacce. È possibile visualizzare gli indicatori aggiunti eseguendo una query su di essi o cercandoli nell'interfaccia di gestione delle informazioni sulle minacce e usarli nell'area di lavoro Microsoft Sentinel.

Aggiungere un'entità all'intelligence sulle minacce

La pagina dettagli dell'evento imprevisto e il grafico delle indagini offrono due modi per aggiungere entità all'intelligence sulle minacce.

  1. Nel menu Microsoft Sentinel selezionare Eventi imprevisti nella sezione Gestione delle minacce.

  2. Selezionare un evento imprevisto da analizzare. Nel riquadro Dettagli evento imprevisto selezionare Visualizza dettagli completi per aprire la pagina Dettagli evento imprevisto .

  3. Nel riquadro Entità individuare l'entità da aggiungere come indicatore di minaccia. È possibile filtrare l'elenco o immettere una stringa di ricerca che consente di individuarlo.

    Screenshot che mostra la pagina dei dettagli dell'evento imprevisto.

  4. Selezionare i tre puntini a destra dell'entità e selezionare Aggiungi a TI dal menu a comparsa.

    Aggiungere solo i tipi di entità seguenti come indicatori di minaccia:

    • Nome di dominio
    • Indirizzo IP (IPv4 e IPv6)
    • URL
    • File (hash)

    Screenshot che mostra l'aggiunta di un'entità all'intelligence sulle minacce.

Indipendentemente dalle due interfacce scelte, si finisce qui.

  1. Verrà visualizzato il riquadro laterale Nuovo indicatore . I campi seguenti vengono popolati automaticamente:

    • Tipi

      • Tipo di indicatore rappresentato dall'entità che si sta aggiungendo.
        • Elenco a discesa con valori possibili: ipv4-addr, ipv6-addr, URL, filee domain-name.
      • Obbligatorio. Popolato automaticamente in base al tipo di entità.

    • Valore

      • Il nome di questo campo cambia dinamicamente nel tipo di indicatore selezionato.
      • Valore dell'indicatore stesso.
      • Obbligatorio. Popolato automaticamente dal valore dell'entità.

    • Tag

      • Tag di testo libero che è possibile aggiungere all'indicatore.
      • Facoltativo. Popolato automaticamente dall'ID evento imprevisto. È possibile aggiungerne altri.

    • Nome

      • Nome dell'indicatore. Questo nome è quello visualizzato nell'elenco di indicatori.
      • Facoltativo. Popolato automaticamente dal nome dell'evento imprevisto.

    • Creato da

      • Creatore dell'indicatore.
      • Facoltativo. Popolato automaticamente dall'utente che ha eseguito l'accesso a Microsoft Sentinel.

    Compilare i campi rimanenti di conseguenza.

    • Tipi di minacce

      • Tipo di minaccia rappresentato dall'indicatore.
      • Facoltativo. Testo libero.

    • Descrizione

      • Descrizione dell'indicatore.
      • Facoltativo. Testo libero.

    • Dimmisionarie

      • Stato revocato dell'indicatore. Selezionare la casella di controllo per revocare l'indicatore. Deselezionare la casella di controllo per attivarla.
      • Facoltativo. Boolean.

    • Fiducia

      • Punteggio che riflette la fiducia nella correttezza dei dati, per percentuale.
      • Facoltativo. Intero, 1-100.

    • Terminare le catene

    • Valido da

      • Ora dalla quale questo indicatore viene considerato valido.
      • Obbligatorio. Data/ora.

    • Valido fino a

      • Ora in cui questo indicatore non deve più essere considerato valido.
      • Facoltativo. Data/ora.

    Screenshot che mostra l'immissione di informazioni nel nuovo riquadro indicatore di minaccia.

  2. Quando tutti i campi vengono compilati in modo soddisfacente, selezionare Applica. Nell'angolo superiore destro viene visualizzato un messaggio per confermare che l'indicatore è stato creato.

  3. L'entità viene aggiunta come intelligence per le minacce nell'area di lavoro. È possibile trovarlo nell'interfaccia di gestione delle informazioni sulle minacce. È anche possibile eseguire query usando la tabella ThreatIntelligenceIndicators.

Contenuto correlato

In questo articolo si è appreso come aggiungere entità agli elenchi di indicatori di minaccia. Per altre informazioni, vedere gli articoli seguenti:

  • Last updated on