Dodawanie jednostek do analizy zagrożeń w usłudze Microsoft Sentinel

Podczas badania analizujesz jednostki i ich kontekst jako ważną część zrozumienia zakresu i charakteru zdarzenia. Gdy odkryjesz jednostkę jako złośliwą nazwę domeny, adres URL, plik lub adres IP w incydencie, powinna być oznaczona etykietą i śledzona jako wskaźnik włamania (IOC) w wywiadzie o zagrożeniach.

Na przykład można odnaleźć adres IP, który wykonuje skanowanie portów w sieci lub działa jako węzeł poleceń i sterowania, wysyłając i/lub odbierając transmisje z dużej liczby węzłów w sieci.

Dzięki usłudze Microsoft Sentinel możesz oznaczyć te typy jednostek w ramach badania zdarzeń i dodać je do analizy zagrożeń. Możesz wyświetlić dodane wskaźniki, wysyłając do nich zapytanie lub wyszukując je w interfejsie zarządzania analizą zagrożeń i używając ich w obszarze roboczym usługi Microsoft Sentinel.

Dodawanie jednostki do wywiadu zagrożeń

Strona Szczegóły zdarzenia i wykres badania zapewniają dwa sposoby dodawania jednostek do analizy zagrożeń.

Niezależnie od wybranego interfejsu znajdziesz się tutaj.

1. Boczne okienko Nowy wskaźnik zostanie otwarte. Następujące pola są wypełniane automatycznie:

   • typy

     • Typ wskaźnika reprezentowanego przez dodaną jednostkę.
       • Lista rozwijana z możliwymi wartościami: ipv4-addr, , ipv6-addrURL, filei domain-name.
     • To jest wymagane. Automatycznie wypełniane na podstawie typu jednostki.

   • Wartość

     • Nazwa tego pola zmienia się dynamicznie na wybrany typ wskaźnika.
     • Wartość samego wskaźnika.
     • To jest wymagane. Automatycznie wypełniane przez wartość jednostki.

   • Tagi

     • Tagi wolnego tekstu, które można dodać do wskaźnika.
     • Opcjonalny. Automatycznie wypełniane przez identyfikator zdarzenia. Możesz dodać inne osoby.

   • Nazwa

     • Nazwa wskaźnika. Ta nazwa jest wyświetlana na liście wskaźników.
     • Opcjonalny. Automatycznie wypełniane przez nazwę zdarzenia.

   • Utworzone przez

     • Twórca wskaźnika.
     • Opcjonalny. Automatycznie wypełniane dla użytkownika zalogowanego do usługi Microsoft Sentinel.

   Wypełnij pozostałe pola odpowiednio.

   • Typy zagrożeń

     • Typ zagrożenia reprezentowany przez wskaźnik.
     • Opcjonalny. Dowolny tekst.

   • Opis

     • Opis wskaźnika.
     • Opcjonalny. Dowolny tekst.

   • Odwołany

     • Odwołany status wskaźnika. Zaznacz pole wyboru, aby odwołać wskaźnik. Wyczyść pole wyboru, aby było aktywne.
     • Opcjonalny. Wartość logiczna.

   • Pewność siebie

     • Wynik odzwierciedlający pewność poprawności danych według procentu.
     • Opcjonalny. Liczba całkowita, 1–100.

   • Łańcuchy zabijania

     • Fazy w łańcuchu Lockheed Martin Cyber Kill Chain , do których odpowiada wskaźnik.
     • Opcjonalny. Dowolny tekst.

   • Ważny od

     • Czas, z którego ten wskaźnik jest uznawany za prawidłowy.
     • To jest wymagane. Data/godzina.

   • Ważny do

     • Czas, w którym ten wskaźnik nie powinien być już uznawany za prawidłowy.
     • Opcjonalny. Data/godzina.

   

2. Po wypełnieniu wszystkich pól zgodnie z oczekiwaniami wybierz pozycję Zastosuj. W prawym górnym rogu zostanie wyświetlony komunikat, aby potwierdzić, że wskaźnik został utworzony.

3. Jednostka jest dodawana jako analiza zagrożeń w obszarze roboczym. Można go znaleźć w interfejsie zarządzania analizą zagrożeń. Możesz również wykonać zapytanie za pomocą tabeli ThreatIntelligenceIndicators.

Treści powiązane

W tym artykule przedstawiono sposób dodawania jednostek do list wskaźników zagrożeń. Aby uzyskać więcej informacji, zobacz następujące artykuły:

• Badanie zdarzeń za pomocą usługi Microsoft Sentinel
• Omówienie analizy zagrożeń w usłudze Microsoft Sentinel
• Praca ze wskaźnikami zagrożeń w usłudze Microsoft Sentinel