MicroSoft Sentinel的TI
Microsoft Sentinel 提供了一個表格來儲存 KQL查詢可存取的指標資料。 Microsoft Sentinel 中的威脅情資頁面提供了維護指標的管理選項。
定義威脅情資(threat intelligence)
網路威脅情資 (CTI —Cyber threat intelligence ) 可以有多種來源。來源包括開源資料、威脅情資共享社群、付費情報來源以及組織內的安全調查。 CTI 的範圍包括從有關威脅行為者動機、基礎設施和技術的書面報告,到對 IP 位址、網域和file hashes的具體觀察。 CTI 為異常活動提供必要的背景資訊,因此資安人員可以快速採取行動以保護人員和資產。
Microsoft Sentinel 等 SIEM 解決方案中最常用的 CTI 是威脅指標資料(threat indicator data),有時稱為妥協指標 (IoC — ndicators of Compromise)。威脅指標將 URL、file hashes、IP 位址和其他資料與網路釣魚、殭屍網路或惡意軟體等已知威脅活動相關聯。這種形式的威脅情資通常稱為戰術威脅情資(tactical threat intelligence),因為安全產品和自動化可以大規模使用它來保護和偵測潛在威脅。 Microsoft Sentinel 可以協助偵測、回應惡意網路活動並提供 CTI 背景脈絡。
我們可以透過以下活動將威脅情資 (TI) 整合到 Microsoft Sentinel 中:
- 使用各種 TI 平台的資料連接器將威脅情資匯入 Microsoft Sentinel。
- 檢視和管理日誌中匯入的威脅情資以及 Microsoft Sentinel 的新威脅情資區域。
- 使用內建的 Analytics 規則模板,透過匯入的威脅情資產生安全告警和事件。
- 使用威脅情報工作簿(Workbooks)在 Microsoft Sentinel 中視覺化有關威脅情資的關鍵資訊。
- 使用匯入的威脅情資執行威脅搜尋。
管理威脅指標
透過可從 Microsoft Sentinel 功能表存取的威脅情報區,可以查看、排序、篩選和搜尋匯入的威脅指標,甚至無需編寫日誌查詢。該區還允許我們直接在 Microsoft Sentinel 介面中建立威脅指標並執行日常威脅情資管理任務。這些任務包括指標標記(indicator tagging)和建立與安全調查相關的新指標。讓我們來看看兩個最常見的任務,建立新的威脅指標和標記指標(tagging indicators)以便於分組和參考。
- Open the Azure portal and navigate to the Microsoft Sentinel service.
- Choose the workspace to which you’ve imported threat indicators using either threat intelligence data connector.
- Select Threat intelligence from the Threat management section of the Microsoft Sentinel menu.
- Select the Add new button from the top menu of the page.
- Choose the indicator type, then complete the required fields marked with a red asterisk (*) on the New indicator panel. Select Apply.
標記威脅指標是將威脅指標分組的簡單方法,以便更容易找到它們。通常,可以將標籤應用於與特定事件相關的指標或代表來自已知參與者或眾所周知的攻擊活動威脅的指標。我們可以單獨標記威脅指標,也可以選擇多個指標並一次標記它們。由於標記(tagging)是自由格式的,因此建議的做法是為威脅指標標記(threat indicator tags)建立標準命名約定。可以為每個指標套用多個標籤。
使用KQL檢視威脅指標
這些指標位於 ThreatIntelligenceIndicator table中。此表是其他 Microsoft Sentinel 功能(例如分析和工作簿)執行查詢的基礎。以下介紹如何在 ThreatIntelligenceIndicator table中尋找並檢視威脅指標。
使用 KQL 查看威脅指標。從 Microsoft Sentinel 選單的「General」部分選擇「Logs」。然後對 ThreatIntelligenceIndicator table執行查詢。
