Compartilhar via

Trabalhar com inteligência contra ameaças no Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Acelere a detecção e a correção de ameaças com um fluxo de trabalho otimizado para criar e gerenciar inteligência contra ameaças cibernéticas. Este artigo demonstra como aproveitar ao máximo a integração de inteligência contra ameaças na interface de gerenciamento, seja você acessando-a do Microsoft Sentinel no portal do Defender ou no portal do Azure.

  • Criar objetos de inteligência contra ameaças usando STIX (expressão de informações estruturadas sobre ameaças )
  • Gerenciar a inteligência contra ameaças exibindo, selecionando e visualizando

Importante

O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para maior obter segurança.

Pré-requisitos

Acessar a interface de gerenciamento

Consulte uma das guias abaixo, dependendo do portal onde deseja trabalhar com a inteligência contra ameaças. Embora a interface de gerenciamento seja acessada de formas diferentes dependendo do portal, as etapas para criação e gerenciamento são as mesmas.

No portal do Defender, navegue até inteligência contra ameaças>gerenciamento de inteligência.

Captura de tela mostrando o item de menu de gerenciamento intel no portal do Defender.

Criar inteligência contra ameaças

Use a interface de gerenciamento para criar objetos STIX e executar outras tarefas comuns de inteligência contra ameaças, como marcação de indicadores e criação de conexões entre objetos de inteligência.

  • Defina relacionamentos ao criar novos objetos STIX.
  • Crie rapidamente vários objetos usando a função duplicar, que permite copiar os metadados de um objeto TI novo ou existente.

Para obter mais informações sobre objetos STIX com suporte, consulte Inteligência contra ameaças no Microsoft Sentinel.

Criar um novo objeto STIX

  1. Selecione Adicionar novo>objeto TI.

    Captura de tela que mostra a adição de um novo indicador de ameaça.

  2. Escolha o tipo objeto e preencha o formulário na página Novo objeto TI . Os campos obrigatórios estão marcados com um asterisco vermelho (*).

  3. Considere designar um valor de confidencialidade ou a classificação Traffic light protocol (TLP) para o objeto TI. Para obter mais informações sobre o que os valores representam, consulte Coleta da inteligência contra ameaças.

  4. Se você souber como esse objeto se relaciona a outro objeto de inteligência contra ameaças, indique essa conexão com o tipo de relação e a referência de destino.

  5. Selecione Adicionar para um objeto individual ou Adicionar e duplicar se você quiser criar mais itens com os mesmos metadados. A imagem a seguir mostra a seção comum de metadados de cada objeto STIX que pode ser duplicada.

Captura de tela mostrando a nova criação de objeto STIX e os metadados comuns disponíveis para todos os objetos.

Gerenciar a inteligência contra ameaças

Otimize a TI de suas fontes com regras de ingestão. Colete a TI existente com o construtor de relacionamentos. Use a interface de gerenciamento para pesquisar, filtrar e classificar objetos de inteligência contra ameaças.

Otimizar feeds de inteligência contra ameaças com regras de ingestão

Reduza o ruído dos seus feeds de TI, estenda a validade dos indicadores de alto valor e adicione marcas significativas a objetos de entrada. Esses são apenas alguns dos casos de uso das regras de ingestão. Aqui estão as etapas para estender a data de validade em indicadores de alto valor.

  1. Selecione regras de ingestão para abrir uma nova página inteira para exibir as regras existentes e construir uma nova lógica de regra.

    Captura de tela mostrando o menu de gerenciamento de inteligência contra ameaças passando o mouse sobre as regras de ingestão.

  2. Insira um nome descritivo para a sua regra. A página regras de ingestão tem uma regra ampla para o nome, mas é a única descrição de texto disponível para diferenciar suas regras sem editá-las.

  3. Selecione o tipo de objeto. Esse caso de uso baseia-se na extensão da Valid from propriedade, que só está disponível para Indicator tipos de objeto.

  4. Adicione condição para SourceEquals e selecione o seu Source valor alto.

  5. Adicione condição para ConfidenceGreater than or equal e insira uma Confidence pontuação.

  6. Selecione a Ação. Como queremos modificar esse indicador, selecione Edit.

  7. Selecione a ação Adicionar para Valid until, Extend bye selecione um período de tempo em dias.

  8. Considere adicionar uma marca para indicar o alto valor colocado nesses indicadores, como Extended. A data modificada não é atualizada pelas regras de ingestão.

  9. Selecione a Ordem que você deseja que a regra seja executada. As regras são executadas do menor número para o maior. Cada regra avalia cada objeto ingerido.

  10. Se a regra estiver pronta para ser habilitada, alterne o Status para ativado.

  11. Selecione Adicionar para criar a regra de ingestão.

Captura de tela mostrando a criação da nova regra de ingestão para estender a data Válido até.

Para obter mais informações, consulte as regras de ingestão de inteligência contra ameaças.

Coletar inteligência contra ameaças com o construtor de relacionamentos

Conecte objetos de inteligência contra ameaças ao construtor de relacionamentos. O construtor permite até 20 relacionamentos simultâneos, mas é possível criar mais conexões em várias iterações, adicionando referências-alvo de relacionamento a novos objetos.

  1. Selecione Adicionar novo>Relacionamento de TI.

  2. Comece com um objeto TI existente, como um ator de ameaça ou um padrão de ataque em que o único objeto se conecta a um ou mais objetos existentes, como indicadores.

  3. Adicione o tipo de relação de acordo com as práticas recomendadas descritas na tabela a seguir e na tabela de resumo da relação de referência STIX 2.1:

    Tipo de relação Descrição
    Duplicata de
    Derivado de
    Relacionado a    		 Relações comuns definidas para qualquer objeto de domínio STIX (SDO)
    Para obter mais informações, consulte a referência do STIX 2.1 sobre relações comuns
    Destinos Attack pattern ou Threat actor tem como alvo Identity
    Usa Threat actor usaAttack pattern
    Atribuído a Threat actor atribuído a Identity
    Indica Indicator indica Attack pattern ou Threat actor
    Representa Threat actor representa Identity

  4. Use a imagem a seguir como um exemplo de como usar o construtor de relações. Este exemplo demonstra como se conectar entre um ator de ameaça e um padrão de ataque, indicador e identidade usando o construtor de relações no portal do Defender.

    Captura de tela mostrando o construtor de relações.

  5. Conclua a relação configurando propriedades comuns .

Exibir a inteligência contra ameaças na interface de gerenciamento

Use a interface de gerenciamento para classificar, filtrar e pesquisar objetos de inteligência contra ameaças de qualquer fonte de ingestão sem a necessidade de escrever uma consulta no Log Analytics.

  1. Na interface de gerenciamento, expanda o menu O que você gostaria de pesquisar?

  2. Selecione um tipo de objeto STIX ou deixe todos os tipos de objeto padrão.

  3. Selecione condições usando operadores lógicos.

  4. Selecione o objeto para ver mais informações.

Na imagem abaixo, várias fontes foram utilizadas na pesquisa, agrupando-as dentro de um grupoOR, enquanto várias condições foram organizadas no operador AND.

Captura de tela mostrando o uso do operador OR combinado com várias condições AND para buscar inteligência contra ameaças.

O Microsoft Sentinel exibe apenas a versão mais atual da sua inteligência contra ameaças nessa exibição. Para obter mais informações sobre como os objetos são atualizados, consulte o ciclo de vida de inteligência contra ameaças.

Indicadores de IP e nome de domínio são enriquecidos com dados extras GeoLocation e WhoIs para fornecer mais contexto para investigações em que o indicador for identificado.

Veja um exemplo.

Captura de tela que mostra a página inteligência contra ameaças com um indicador mostrando dados de Localização Geográfica e WhoIs.

Importante

O enriquecimento de GeoLocation e WhoIs está atualmente em versão prévia. Os Termos Complementares de Visualização do Azure incluem mais termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou ainda não liberados em disponibilidade geral.

Marcar e editar inteligência contra ameaças

A marcação de inteligência contra ameaças é uma forma rápida de agrupar objetos, facilitando sua localização. Normalmente, você pode aplicar marcas relacionadas a um incidente específico. No entanto, se um objeto representa ameaças de um agente conhecido ou de uma campanha de ataque bem documentada, considere criar um relacionamento em vez de uma marca.

  1. Use a interface de gerenciamento para ordenar, filtrar e pesquisar seus objetos de inteligência contra ameaças.
  2. Após localizar os objetos desejados, selecione um ou vários objetos do mesmo tipo.
  3. Selecione Adicionar marcas e marque-as todas de uma vez com uma ou mais marcas.
  4. Como a marcação é livre, recomendamos que você crie convenções de nomenclatura padrão para as marcas da sua organização.

A edição pode ser feita objeto por objeto, independentemente de terem sido criados diretamente no Microsoft Sentinel ou ingeridos de fontes parceiras, como servidores TIP e TAXII. Você pode editar todos os campos dos objetos criados na interface de gerenciamento. Para informações de ameaças recebidas de fontes de parceiros, somente campos específicos são editáveis, incluindo etiquetas, data de validade, confiança e revogados. De qualquer forma, apenas a versão mais recente do objeto aparece na interface de gerenciamento.

Para obter mais informações sobre como a inteligência contra ameaças é atualizada, consulte Exibir sua inteligência contra ameaças.

Localizar e exibir a inteligência contra ameaças com consultas

Este procedimento descreve como exibir a inteligência contra ameaças com consultas, independentemente do feed de origem ou do método usado para ingeri-las.

Os indicadores de ameaça são armazenados na tabela do Microsoft Sentinel ThreatIntelligenceIndicator. Esta tabela é a base para consultas de inteligência contra ameaças executadas por outros recursos do Microsoft Sentinel, como Análise, Busca e Pastas de Trabalho.

Importante

Em 3 de abril de 2025, apresentamos publicamente duas novas tabelas para dar suporte a esquemas de objeto e indicador STIX: ThreatIntelIndicators e ThreatIntelObjects. O Microsoft Sentinel vai ingerir toda a inteligência contra ameaças nessas novas tabelas, enquanto continua ingerindo os mesmos dados na tabela ThreatIntelligenceIndicator herdada até 31 de julho de 2025. Atualize suas consultas personalizadas, regras de análise e detecção, pastas de trabalho e automação para usar as novas tabelas até 31 de julho de 2025. Após essa data, o Microsoft Sentinel interromperá a ingestão de dados na tabela herdada ThreatIntelligenceIndicator . Estamos atualizando todas as soluções de inteligência de ameaças pré-configuradas no Hub de Conteúdo para aproveitar as novas tabelas. Para obter mais informações sobre os novos esquemas de tabela, consulte ThreatIntelIndicators e ThreatIntelObjects. Para obter informações sobre como usar e migrar para as novas tabelas, consulte (Trabalhar com objetos STIX para aprimorar a inteligência contra ameaças e a busca de ameaças no Microsoft Sentinel (versão prévia)[work-with-stix-objects-indicators.md].

  1. Para o Microsoft Sentinel no portal do Defender, selecione Investigação & respostaBuscaBusca avançada.

  2. A ThreatIntelligenceIndicator tabela está localizada no grupo do Microsoft Sentinel .

Captura de tela da opção adicionar lista de observação na página de lista de observação.

Para obter mais informações, consulte Ver sua inteligência de ameaças.

Visualizar sua inteligência contra ameaças com pastas de trabalho

Use uma pasta de trabalho do Microsoft Azure Sentinel desenvolvida especificamente para visualizar informações importantes sobre sua inteligência contra ameaças no Microsoft Azure Sentinel e personalize facilmente a pasta de trabalho de acordo com suas necessidades de negócios.

Veja como encontrar a pasta de trabalho de inteligência contra ameaças fornecida no Microsoft Azure Sentinel e um exemplo de como fazer edições nela para personalizá-la.

  1. No portal do Azure, acesse o Microsoft Sentinel.

  2. Escolha o workspace para o qual você importou indicadores de ameaça usando o conector de dados da inteligência contra ameaças.

  3. Na seção Gerenciamento de ameaças do menu Microsoft Sentinel, selecione Pastas de Trabalho.

  4. Localize a pasta de trabalho intitulada Inteligência contra Ameaças. Verifique se você tem dados na tabela ThreatIntelligenceIndicator.

    Captura de tela que mostra a verificação de que você tem dados.

  5. Selecione Salvar e escolha um local do Azure no qual armazenar a pasta de trabalho. Essa etapa será obrigatória se você modificar a pasta de trabalho de qualquer forma e salvar suas alterações.

  6. Agora, selecione Exibir pasta de trabalho salva para abrir a pasta de trabalho para exibição e edição.

  7. Você verá os gráficos padrão fornecidos pelo modelo. Para modificar um gráfico, selecione Editar na parte superior da página para iniciar o modo de edição da pasta de trabalho.

  8. Adicione um novo gráfico de indicadores de ameaça por tipo de ameaça. Role até a parte inferior da página e selecione Adicionar Consulta.

  9. Adicione o seguinte texto à caixa de texto Log Query do workspace Log Analytics:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

    Confira mais informações sobre os seguintes itens usados no exemplo anterior, na documentação do Kusto:

  10. No menu Visualização, selecione Gráfico de barras.

  11. Selecione Edição concluída e exiba o novo gráfico para sua pasta de trabalho.

    Captura de tela que mostra um gráfico de barras para a pasta de trabalho.

As pastas de trabalho contam com painéis interativos avançados que fornecem informações sobre todos os aspectos do Microsoft Azure Sentinel. Você pode realizar muitas tarefas com pastas de trabalho, e os modelos fornecidos são um ótimo ponto de partida. Personalize os modelos ou crie painéis combinando muitas fontes de dados para que você possa visualizar seus dados de maneiras exclusivas.

As pastas de trabalho do Microsoft Sentinel são baseadas nas pastas de trabalho do Azure Monitor, de modo que uma extensa documentação e muitos outros modelos estão disponíveis. Para obter mais informações, consulte Criar relatórios interativos com pastas de trabalho do Azure Monitor.

Há também um recurso avançado para pastas de trabalho do Azure Monitor no GitHub, em que você pode baixar mais modelos e contribuir com seus próprios modelos.

Exportar inteligência de ameaças

O Microsoft Sentinel permite exportar inteligência contra ameaças para outros destinos. Por exemplo, se você tiver ingerido inteligência contra ameaças usando o conector de dados TAXII – Inteligência contra Ameaças , poderá exportar a inteligência contra ameaças de volta para a plataforma de origem para compartilhamento bidirecional de inteligência. O recurso de exportação reduz a necessidade de processos manuais ou guias estratégicos personalizados para distribuir inteligência contra ameaças.

Importante

Considere cuidadosamente os dados de inteligência contra ameaças exportados e seu destino, que podem residir em uma região geográfica ou regulatória diferente. A exportação de dados não pode ser desfeita. Verifique se você possui os dados ou tem autorização adequada antes de exportar ou compartilhar inteligência contra ameaças com terceiros.

Para exportar inteligência de ameaças:

  1. Quanto o Microsoft Sentinel no Portal do Defender, selecione Inteligência Contra Ameaças > Gerenciamento de Inteligência. Para o Microsoft Sentinel no portal do Azure, selecione Inteligência contra ameaças de gerenciamento > de ameaças.

  2. Selecione um ou mais objetos STIX e selecione Exportar na barra de ferramentas na parte superior da página. Por exemplo:

  3. No painel Exportar , na lista suspensa Exportar TI , selecione o servidor para o qual você deseja exportar sua inteligência contra ameaças.

    Se não houver um servidor listado, você precisará configurar um servidor para exportação primeiro, conforme descrito em Ativar o conector de dados de inteligência de ameaças – TAXII Export. Atualmente, o Microsoft Sentinel dá suporte à exportação apenas para plataformas baseadas em TAXII 2.1.

  4. Selecione Exportar.

    Importante

    Quando você exporta objetos de inteligência contra ameaças, o sistema executa uma operação em massa. Existe um problema conhecido em que, às vezes, essa operação em massa falha. Se isso acontecer, você verá um aviso ao abrir o painel lateral Exportar, solicitando que você remova a ação com falha do modo de exibição do histórico de operações em massa. O sistema pausa as operações subsequentes até que você remova a operação com falha.

Para acessar o histórico de exportação:

  1. Navegue até o item exportado no gerenciamento Intel (portal do Defender) ou inteligência de ameaças (portal do Azure).
  2. Na coluna Exportações , selecione Exibir histórico de exportação para mostrar o histórico de exportação desse item.

Conteúdo relacionado

Para obter mais informações, consulte os seguintes artigos:

Para obter mais informações sobre o KQL, consulte Visão geral da Linguagem de Consulta Kusto (KQL).

Outros recursos:

  • Last updated on