Usare gli indicatori di minaccia nelle regole di analisi

Potenziare le regole di analisi con gli indicatori di minaccia per generare automaticamente avvisi in base all'intelligence sulle minacce integrata.

Prerequisiti

• Indicatori di minaccia. Questi indicatori possono provenire da feed di intelligence sulle minacce, piattaforme di intelligence per le minacce, importazione in blocco da un file flat o input manuale.
• Origini dati. Gli eventi dei connettori dati devono essere trasmessi all'area di lavoro Microsoft Sentinel.
• Regola di analisi del formato TI map.... Deve usare questo formato in modo che possa eseguire il mapping degli indicatori di minaccia disponibili con gli eventi inseriti.

Configurare una regola per generare avvisi di sicurezza

L'esempio seguente illustra come abilitare e configurare una regola per generare avvisi di sicurezza usando gli indicatori di minaccia importati in Microsoft Sentinel. Per questo esempio, usare il modello di regola denominato entità IP di mapping TI ad AzureActivity. Questa regola corrisponde a qualsiasi indicatore di minaccia del tipo di indirizzo IP con tutti gli eventi dell'attività Azure. Quando viene trovata una corrispondenza, viene generato un avviso insieme a un evento imprevisto corrispondente per l'analisi da parte del team delle operazioni di sicurezza.

Questa particolare regola di analisi richiede il connettore dati Azure Activity (per importare gli eventi a livello di sottoscrizione Azure). Richiede anche uno o entrambi i connettori dati di Threat Intelligence (per importare gli indicatori di minaccia). Questa regola viene inoltre attivata da indicatori importati o creati manualmente.

1. Nel portale di Azure passare a Microsoft Sentinel.

2. Scegliere l'area di lavoro in cui sono stati importati gli indicatori di minaccia usando i connettori dati di Intelligence per le minacce e i dati dell'attività di Azure usando il connettore dati attività Azure.

3. Nel menu Microsoft Sentinel selezionare Analisi nella sezione Configurazione.

4. Selezionare la scheda Modelli di regola per visualizzare l'elenco dei modelli di regole di analisi disponibili.

5. Trovare la regola intitolata TI eseguire il mapping dell'entità IP ad AzureActivity e assicurarsi di aver connesso tutte le origini dati necessarie.

   

6. Selezionare l'entità IP di mapping TI alla regola AzureActivity . Selezionare quindi Crea regola per aprire una configurazione guidata delle regole. Configurare le impostazioni nella procedura guidata e quindi selezionare Avanti: Imposta logica >regola .

   

7. La parte relativa alla logica delle regole della procedura guidata viene prepopolata con gli elementi seguenti:

   • Query usata nella regola.
   • Mapping di entità, che indicano Microsoft Sentinel come riconoscere entità come account, indirizzi IP e URL. Gli eventi imprevisti e le indagini possono quindi comprendere come usare i dati in tutti gli avvisi di sicurezza generati da questa regola.
   • Pianificazione per l'esecuzione di questa regola.
   • Numero di risultati della query necessari prima che venga generato un avviso di sicurezza.

   Le impostazioni predefinite nel modello sono:

   • Eseguire una volta all'ora.
   • Trovare la corrispondenza tra gli indicatori di minaccia degli indirizzi IP della ThreatIntelligenceIndicator tabella e qualsiasi indirizzo IP trovato nell'ultima ora di eventi della AzureActivity tabella.
   • Generare un avviso di sicurezza se i risultati della query sono maggiori di zero per indicare che sono state trovate corrispondenze.
   • Assicurarsi che la regola sia abilitata.

   È possibile lasciare le impostazioni predefinite o modificarle per soddisfare i requisiti. È possibile definire le impostazioni di generazione degli eventi imprevisti nella scheda Impostazioni evento imprevisto . Per altre informazioni, vedere Creare regole di analisi personalizzate per rilevare le minacce. Al termine, selezionare la scheda Risposta automatizzata .

8. Configurare qualsiasi automazione da attivare quando viene generato un avviso di sicurezza da questa regola di analisi. L'automazione in Microsoft Sentinel usa combinazioni di regole di automazione e playbook basati su app per la logica Azure. Per altre informazioni, vedere Esercitazione: Usare playbook con regole di automazione in Microsoft Sentinel. Al termine, selezionare Avanti: Rivedi > per continuare.

9. Quando viene visualizzato un messaggio che indica che la convalida della regola è stata superata, selezionare Crea.

Esaminare le regole

Trovare le regole abilitate nella scheda Regole attive della sezione Analisi di Microsoft Sentinel. Modificare, abilitare, disabilitare, duplicare o eliminare la regola attiva. La nuova regola viene eseguita immediatamente all'attivazione e quindi viene eseguita in base alla pianificazione definita.

In base alle impostazioni predefinite, ogni volta che la regola viene eseguita nella relativa pianificazione, tutti i risultati trovati generano un avviso di sicurezza. Per visualizzare gli avvisi di sicurezza in Microsoft Sentinel nella sezione Log di Microsoft Sentinel, nel gruppo Microsoft Sentinel vedere la SecurityAlert tabella .

In Microsoft Sentinel, anche gli avvisi generati dalle regole di analisi generano eventi imprevisti di sicurezza. Nel menu Microsoft Sentinel selezionare Eventi imprevisti in Gestione delle minacce. Gli eventi imprevisti sono ciò che i team delle operazioni di sicurezza analizzano e analizzano per determinare le azioni di risposta appropriate. Per altre informazioni, vedere Esercitazione: Analizzare gli eventi imprevisti con Microsoft Sentinel.

Contenuto correlato

In questo articolo si è appreso come usare gli indicatori di intelligence sulle minacce per rilevare le minacce. Per altre informazioni sull'intelligence sulle minacce in Microsoft Sentinel, vedere gli articoli seguenti:

• Usare gli indicatori di minaccia in Microsoft Sentinel.
• Connettere Microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII.
• Connettere le piattaforme di intelligence sulle minacce a Microsoft Sentinel.
• Scopri quali piattaforme TIP, feed TAXII e arricchimenti possono essere facilmente integrati con Microsoft Sentinel.