Arbeta med Microsoft Sentinel hotinformation

  • Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Påskynda hotidentifiering och åtgärder med effektivare skapande och hantering av hotinformation. Den här artikeln visar hur du får ut det mesta av integreringen av hotinformation i hanteringsgränssnittet, oavsett om du använder den från Microsoft Sentinel i Defender-portalen eller Azure Portal.

  • Skapa hotinformationsobjekt med structured threat information expression (STIX)
  • Hantera hotinformation genom att visa, kurera och visualisera

Viktigt

Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.

Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.

Förhandskrav

Få åtkomst till hanteringsgränssnittet

Referera till någon av följande flikar, beroende på var du vill arbeta med hotinformation. Även om hanteringsgränssnittet används på olika sätt beroende på vilken portal du använder, har skapande- och hanteringsuppgifterna samma steg när du kommer dit.

I Defender-portalen går du tillIntel-hantering av hotinformation>.

Skärmbild som visar menyalternativet för intel-hantering i Defender-portalen.

Skapa hotinformation

Använd hanteringsgränssnittet för att skapa STIX-objekt och utföra andra vanliga hotinformationsuppgifter, till exempel indikatortaggning och upprätta anslutningar mellan objekt.

  • Definiera relationer när du skapar nya STIX-objekt.
  • Skapa snabbt flera objekt med hjälp av dubblettfunktionen för att kopiera metadata från ett nytt eller befintligt TI-objekt.

Mer information om STIX-objekt som stöds finns i Hotinformation i Microsoft Sentinel.

Skapa ett nytt STIX-objekt

  1. Välj Lägg till nytt>TI-objekt.

    Skärmbild som visar hur du lägger till en ny hotindikator.

  2. Välj Objekttyp och fyll sedan i formuläret på sidan Nytt TI-objekt . Obligatoriska fält är markerade med en röd asterisk (*).

  3. Överväg att ange ett känslighetsvärde eller TLP-klassificering ( Traffic Light Protocol ) till TI-objektet. Mer information om vad värdena representerar finns i Kuratera hotinformation.

  4. Om du vet hur det här objektet relaterar till ett annat hotinformationsobjekt anger du anslutningen med relationstypen och målreferensen.

  5. Välj Lägg till för ett enskilt objekt eller Lägg till och duplicera om du vill skapa fler objekt med samma metadata. Följande bild visar det gemensamma avsnittet för varje STIX-objekts metadata som dupliceras.

Skärmbild som visar skapande av nya STIX-objekt och gemensamma metadata som är tillgängliga för alla objekt.

Hantera hotinformation

Optimera TI från dina källor med inmatningsregler. Kurera befintlig TI med relationsbyggaren. Använd hanteringsgränssnittet för att söka, filtrera och sortera och lägg sedan till taggar i din hotinformation.

Optimera hotinformationsflöden med inmatningsregler

Minska bruset från dina TI-flöden, utöka giltigheten för indikatorer med högt värde och lägg till meningsfulla taggar i inkommande objekt. Det här är bara några av användningsfallen för inmatningsregler. Här följer stegen för att utöka giltighetsdatumet för indikatorer med högt värde.

  1. Välj Inmatningsregler för att öppna en helt ny sida för att visa befintliga regler och skapa ny regellogik.

    Skärmbild som visar hotinformationshanteringsmenyn som hovrar på inmatningsregler.

  2. Ange ett beskrivande namn för regeln. Sidan för inmatningsregler har gott om regler för namnet, men det är den enda textbeskrivning som är tillgänglig för att särskilja dina regler utan att redigera dem.

  3. Välj Objekttyp. Det här användningsfallet baseras på att Valid from utöka egenskapen, som endast är tillgänglig för Indicator objekttyper.

  4. Lägg till villkor för SourceEquals och välj ditt höga värde Source.

  5. Lägg till villkor för ConfidenceGreater than or equal och ange en Confidence poäng.

  6. Välj Åtgärden. Eftersom vi vill ändra den här indikatorn väljer du Edit.

  7. Välj åtgärden Lägg till för Valid untiloch Extend byvälj ett tidsintervall i dagar.

  8. Överväg att lägga till en tagg för att ange det höga värdet för dessa indikatorer, till exempel Extended. Det ändrade datumet uppdateras inte av inmatningsregler.

  9. Välj den Ordning som du vill att regeln ska köra. Regler körs från det lägsta ordernumret till det högsta. Varje regel utvärderar varje objekt som matas in.

  10. Om regeln är redo att aktiveras växlar du Status till på.

  11. Välj Lägg till för att skapa inmatningsregeln.

Skärmbild som visar skapande av ny inmatningsregel för förlängning av giltigt tills datum.

Mer information finns i Inmatningsregler för hotinformation.

Kurera hotinformation med relationsbyggaren

Anslut hotinformationsobjekt med relationsverktyget. Det finns högst 20 relationer i byggaren samtidigt, men fler anslutningar kan skapas via flera iterationer och genom att lägga till relationsmålreferenser för nya objekt.

  1. Välj Lägg till ny>TI-relation.

  2. Börja med ett befintligt TI-objekt som en hotskådespelare eller ett attackmönster där det enskilda objektet ansluter till ett eller flera befintliga objekt, till exempel indikatorer.

  3. Lägg till relationstypen enligt de metodtips som beskrivs i följande tabell och i referensrelationssammanfattningstabellen för STIX 2.1:

    Relationstyp Beskrivning
    Dubblett av
    Härledd från
    Relaterat till    		 Vanliga relationer som definierats för alla STIX-domänobjekt (SDO)
    Mer information finns i STIX 2.1-referens om vanliga relationer
    Mål Attack pattern eller Threat actor mål Identity
    Använder Threat actor Använder Attack pattern
    Tillskrivs Threat actor Tillskrivs Identity
    Anger Indicator Anger Attack pattern eller Threat actor
    Personifierar Threat actor Personifierar Identity

  4. Använd följande bild som ett exempel på hur du använder relationsverktyget. Det här exemplet visar hur du ansluter mellan en hotskådespelare och ett attackmönster, en indikator och en identitet med hjälp av relationsverktyget i Defender-portalen.

    Skärmbild som visar relationsverktyget.

  5. Slutför relationen genom att konfigurera Vanliga egenskaper.

Visa din hotinformation i hanteringsgränssnittet

Använd hanteringsgränssnittet för att sortera, filtrera och söka efter din hotinformation från den källa de matades in från utan att skriva en Log Analytics-fråga.

  1. Från hanteringsgränssnittet expanderar du menyn Vad vill du söka efter?

  2. Välj en STIX-objekttyp eller lämna standardobjekttyperna Alla.

  3. Välj villkor med logiska operatorer.

  4. Välj det objekt som du vill visa mer information om.

I följande bild användes flera källor för att söka genom att placera dem i en OR grupp, medan flera villkor grupperades med operatorn AND .

Skärmbild som visar en OR-operatör i kombination med flera AND-villkor för att söka efter hotinformation.

Microsoft Sentinel visar bara den senaste versionen av hotinformationen i den här vyn. Mer information om hur objekt uppdateras finns i Livscykel för hotinformation.

IP- och domännamnsindikatorer berikas med extra GeoLocation och WhoIs data så att du kan ge mer kontext för alla undersökningar där indikatorn hittas.

Här är ett exempel.

Skärmbild som visar sidan Hotinformation med en indikator som visar GeoLocation- och WhoIs-data.

Viktigt

GeoLocation och WhoIs berikning är för närvarande i förhandsversion. De kompletterande villkoren för Azure förhandsversion innehåller fler juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Tagga och redigera hotinformation

Taggning av hotinformation är ett snabbt sätt att gruppera objekt så att de blir lättare att hitta. Vanligtvis kan du använda taggar som är relaterade till en viss incident. Men om ett objekt representerar hot från en viss känd aktör eller välkänd attackkampanj bör du överväga att skapa en relation i stället för en tagg.

  1. Använd hanteringsgränssnittet för att sortera, filtrera och söka efter din hotinformation.
  2. När du har hittat de objekt som du vill arbeta med väljer du ett eller flera objekt av samma typ.
  3. Välj Lägg till taggar och tagga alla samtidigt med en eller flera taggar.
  4. Eftersom taggning är i fritt format rekommenderar vi att du skapar vanliga namngivningskonventioner för taggar i din organisation.

Redigera hotinformation ett objekt i taget, oavsett om det skapas direkt i Microsoft Sentinel eller från partnerkällor, till exempel TIP- och TAXII-servrar. För hotinformation som skapats i hanteringsgränssnittet kan alla fält redigeras. För hotinformation som matas in från partnerkällor är endast specifika fält redigerbara, inklusive taggar, förfallodatum, Konfidens och Återkallad. Oavsett vilket visas endast den senaste versionen av objektet i hanteringsgränssnittet.

Mer information om hur hotinformation uppdateras finns i Visa din hotinformation.

Hitta och visa hotinformation med frågor

Den här proceduren beskriver hur du visar din hotinformation med frågor, oavsett vilken källfeed eller metod du använde för att mata in dem.

Hotindikatorer lagras i tabellen Microsoft SentinelThreatIntelligenceIndicator. Den här tabellen är grunden för hotinformationsfrågor som utförs av andra Microsoft Sentinel funktioner, till exempel analys, jakt och arbetsböcker.

  1. För Microsoft Sentinel i Defender-portalen väljer du Undersökning & svar>Jakt>avancerad jakt.

  2. Tabellen ThreatIntelligenceIndicator finns under gruppen Microsoft Sentinel.

Skärmbild av alternativet Lägg till visningslista på visningslistans sida.

Mer information finns i Visa hotinformation.

Visualisera din hotinformation med arbetsböcker

Använd en specialbyggd Microsoft Sentinel arbetsbok för att visualisera viktig information om din hotinformation i Microsoft Sentinel och anpassa arbetsboken efter dina affärsbehov.

Så här hittar du den arbetsbok för hotinformation som finns i Microsoft Sentinel och ett exempel på hur du gör ändringar i arbetsboken för att anpassa den.

  1. Från Azure Portal går du till Microsoft Sentinel.

  2. Välj den arbetsyta som du har importerat hotindikatorer till med hjälp av någon av anslutningsapparna för hotinformationsdata.

  3. Under avsnittet Hothantering på menyn Microsoft Sentinel väljer du Arbetsböcker.

  4. Leta upp arbetsboken Hotinformation. Kontrollera att du har data i tabellen ThreatIntelligenceIndicator .

    Skärmbild som visar verifiering av att du har data.

  5. Välj Spara och välj en Azure plats där arbetsboken ska lagras. Det här steget krävs om du vill ändra arbetsboken på något sätt och spara ändringarna.

  6. Välj nu Visa sparad arbetsbok för att öppna arbetsboken för visning och redigering.

  7. Nu bör du se standarddiagrammen som tillhandahålls av mallen. Om du vill ändra ett diagram väljer du Redigera överst på sidan för att starta redigeringsläget för arbetsboken.

  8. Lägg till ett nytt diagram över hotindikatorer efter hottyp. Rulla längst ned på sidan och välj Lägg till fråga.

  9. Lägg till följande text i textrutan Log Query för Log Query för Log Analytics-arbetsytan :

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

    Mer information om följande objekt som används i föregående exempel finns i Kusto-dokumentationen:

  10. På den nedrullningsbara menyn Visualisering väljer du Stapeldiagram.

  11. Välj Redigerat klart och visa det nya diagrammet för arbetsboken.

    Skärmbild som visar ett stapeldiagram för arbetsboken.

Arbetsböcker ger kraftfulla interaktiva instrumentpaneler som ger dig insikter om alla aspekter av Microsoft Sentinel. Du kan utföra många uppgifter med arbetsböcker och de angivna mallarna är en bra utgångspunkt. Anpassa mallarna eller skapa nya instrumentpaneler genom att kombinera många datakällor så att du kan visualisera dina data på unika sätt.

Microsoft Sentinel arbetsböcker baseras på Azure Övervaka arbetsböcker, så omfattande dokumentation och många fler mallar är tillgängliga. Mer information finns i Skapa interaktiva rapporter med Azure Övervaka arbetsböcker.

Det finns också en omfattande resurs för Azure Övervaka arbetsböcker på GitHub, där du kan ladda ned fler mallar och bidra med egna mallar.

Exportera hotinformation

Microsoft Sentinel kan du exportera hotinformation till andra mål. Om du till exempel har matat in hotinformation med hjälp av dataanslutningsappen Hotinformation – TAXII kan du exportera hotinformation tillbaka till källplattformen för delning av dubbelriktad intelligens. Exportfunktionen minskar behovet av manuella processer eller anpassade spelböcker för att distribuera hotinformation.

Viktigt

Överväg noggrant både hotinformationsdata som du exporterar och dess mål, som kan finnas i en annan geografisk region eller regleringsregion. Det går inte att ångra dataexporten. Se till att du äger data eller har rätt auktorisering innan du exporterar eller delar hotinformation med tredje part.

Så här exporterar du hotinformation:

  1. För Microsoft Sentinel i Defender-portalen väljer du Hotinformation > Intel-hantering. För Microsoft Sentinel i Azure Portal väljer du Hothantering > Hotinformation.

  2. Markera ett eller flera STIX-objekt och välj sedan Exportera i verktygsfältet överst på sidan. Till exempel:

  3. I fönstret Exportera går du till listrutan Exportera TI och väljer den server som du vill exportera hotinformationen till.

    Om det inte finns någon server i listan måste du konfigurera en server för export först, enligt beskrivningen i Aktivera hotinformation – TAXII Exportera dataanslutning. Microsoft Sentinel stöder för närvarande endast export till TAXII 2.1-baserade plattformar.

  4. Välj Exportera.

    Viktigt

    När du exporterar hotinformationsobjekt utför systemet en massåtgärd. Det finns ett känt problem där den här massåtgärden ibland misslyckas. Om detta händer visas en varning när du öppnar panelen Exportera sida och ber dig att ta bort den misslyckade åtgärden från vyn massåtgärdershistorik. Systemet pausar efterföljande åtgärder tills du tar bort den misslyckade åtgärden.

Så här kommer du åt exporthistoriken:

  1. Gå till det exporterade objektet på sidan Intel-hantering (Defender-portalen) eller Hotinformation (Azure Portal).
  2. I kolumnen Exporter väljer du Visa exporthistorik för att visa exporthistoriken för objektet.

Relaterat innehåll

Mer information finns i följande artiklar:

Mer information om KQL finns i översikten över Kusto-frågespråk (KQL).

Andra resurser:

  • Last updated on