Utilizar indicadores de ameaças em regras de análise

Ative as regras de análise com os seus indicadores de ameaças para gerar automaticamente alertas com base nas informações sobre ameaças que integrou.

Pré-requisitos

• Indicadores de ameaça. Estes indicadores podem ser provenientes de feeds de informações sobre ameaças, plataformas de informações sobre ameaças, importação em massa de um ficheiro simples ou introdução manual.
• Origens de dados. Os eventos dos conectores de dados têm de estar a fluir para a área de trabalho Microsoft Sentinel.
• Uma regra de análise do formato TI map.... Tem de utilizar este formato para poder mapear os indicadores de ameaça que tem com os eventos que ingeriu.

Configurar uma regra para gerar alertas de segurança

O exemplo seguinte mostra como ativar e configurar uma regra para gerar alertas de segurança com os indicadores de ameaça que importou para Microsoft Sentinel. Neste exemplo, utilize o modelo de regra denominado entidade IP de mapa TI para AzureActivity. Esta regra corresponde a qualquer indicador de ameaça de tipo de endereço IP com todos os eventos de Atividade Azure. Quando é encontrada uma correspondência, é gerado um alerta juntamente com um incidente correspondente para investigação pela equipa de operações de segurança.

Esta regra de análise específica requer o conector de dados da Atividade do Azure (para importar o Azure eventos ao nível da subscrição). Também requer um ou ambos os conectores de dados das Informações sobre Ameaças (para importar indicadores de ameaças). Esta regra também é acionada a partir de indicadores importados ou de indicadores criados manualmente.

1. Na portal do Azure, aceda a Microsoft Sentinel.

2. Escolha a área de trabalho para a qual importou indicadores de ameaças com os conectores de dados das Informações sobre Ameaças e Azure Dados de atividade com o conector de dados atividade do Azure.

3. No menu Microsoft Sentinel, na secção Configuração, selecione Análise.

4. Selecione o separador Modelos de regra para ver a lista de modelos de regras de análise disponíveis.

5. Localize a regra intitulada ENTIDADE IP de mapa TI para AzureActivity e certifique-se de que ligou todas as origens de dados necessárias.

   

6. Selecione a entidade IP do mapa TI para a regra AzureActivity . Em seguida, selecione Criar regra para abrir um assistente de configuração de regras. Configure as definições no assistente e, em seguida, selecione Seguinte: Definir lógica >de regra .

   

7. A parte lógica da regra do assistente é pré-preenchida com os seguintes itens:

   • A consulta que é utilizada na regra.
   • Os mapeamentos de entidades, que indicam Microsoft Sentinel como reconhecer entidades como contas, endereços IP e URLs. Os incidentes e as investigações podem então compreender como trabalhar com os dados em quaisquer alertas de segurança gerados por esta regra.
   • A agenda para executar esta regra.
   • O número de resultados da consulta necessários antes de ser gerado um alerta de segurança.

   As predefinições no modelo são:

   • Execute uma vez por hora.
   • Corresponda todos os indicadores de ameaça de endereço IP da ThreatIntelligenceIndicator tabela com qualquer endereço IP encontrado na última hora de eventos da AzureActivity tabela.
   • Gere um alerta de segurança se os resultados da consulta forem superiores a zero para indicar que foram encontradas correspondências.
   • Certifique-se de que a regra está ativada.

   Pode deixar as predefinições ou alterá-las para cumprir os seus requisitos. Pode definir as definições de geração de incidentes no separador Definições de incidentes . Para obter mais informações, veja Criar regras de análise personalizadas para detetar ameaças. Quando terminar, selecione o separador Resposta automatizada .

8. Configure qualquer automatização que pretenda acionar quando é gerado um alerta de segurança a partir desta regra de análise. A automatização no Microsoft Sentinel utiliza combinações de regras de automatização e manuais de procedimentos com tecnologia Azure Logic Apps. Para saber mais, veja Tutorial: Utilizar manuais de procedimentos com regras de automatização no Microsoft Sentinel. Quando tiver terminado, selecione Seguinte: Rever > para continuar.

9. Quando vir uma mensagem a indicar que a validação da regra foi aprovada, selecione Criar.

Rever as regras

Localize as regras ativadas no separador Regrasativas da secção Análise do Microsoft Sentinel. Editar, ativar, desativar, duplicar ou eliminar a regra ativa a partir daí. A nova regra é executada imediatamente após a ativação e, em seguida, é executada na agenda definida.

De acordo com as predefinições, sempre que a regra é executada na sua agenda, todos os resultados encontrados geram um alerta de segurança. Para ver alertas de segurança no Microsoft Sentinel na secção Registos do Microsoft Sentinel, no grupo Microsoft Sentinel, consulte a SecurityAlert tabela.

No Microsoft Sentinel, os alertas gerados a partir de regras de análise também geram incidentes de segurança. No menu Microsoft Sentinel, em Gestão de Ameaças, selecione Incidentes. Os incidentes são o que as equipas de operações de segurança triagem e investigam para determinar as ações de resposta adequadas. Para obter mais informações, veja Tutorial: Investigar incidentes com Microsoft Sentinel.

Conteúdo relacionado

Neste artigo, aprendeu a utilizar indicadores de informações sobre ameaças para detetar ameaças. Para obter mais informações sobre informações sobre ameaças no Microsoft Sentinel, consulte os seguintes artigos:

• Trabalhe com indicadores de ameaças no Microsoft Sentinel.
• Ligue Microsoft Sentinel a feeds de informações sobre ameaças STIX/TAXII.
• Ligue plataformas de informações sobre ameaças a Microsoft Sentinel.
• Veja que plataformas TIP, feeds TAXII e melhoramentos podem ser facilmente integrados com Microsoft Sentinel.