Adicionar entidades à inteligência de ameaças no Microsoft Sentinel

Durante uma investigação, você examina as entidades e seu contexto como uma parte importante da compreensão do escopo e da natureza de um incidente. Quando você descobre uma entidade como um nome de domínio, URL, arquivo ou endereço IP mal-intencionado no incidente, ela deve ser rotulada e rastreada como um indicador de comprometimento (IOC) em sua inteligência de ameaças.

Por exemplo, pode-se descobrir um endereço IP que realiza varrimentos de portas na sua rede ou funciona como um nó de comando e controlo ao enviar e/ou receber transmissões de um grande número de nós na sua rede.

Com o Microsoft Sentinel, pode sinalizar estes tipos de entidades a partir da sua investigação de incidentes e adicioná-los à sua inteligência sobre ameaças. Você pode exibir os indicadores adicionados consultando-os ou pesquisando-os na interface de gerenciamento de inteligência de ameaças e usá-los em seu espaço de trabalho do Microsoft Sentinel.

Adicionar uma entidade à sua inteligência sobre ameaças

A página Detalhes do incidente e o gráfico de investigação oferecem duas maneiras de adicionar entidades à inteligência de ameaças.

Seja qual for a interface que escolhas, acabas aqui.

1. O painel lateral Novo indicador é aberto. Os seguintes campos são preenchidos automaticamente:

   • Tipos

     • O tipo de indicador representado pela entidade que você está adicionando.
       • Lista suspensa com valores possíveis: ipv4-addr, ipv6-addr, URL, file, e domain-name.
     • Obrigatório. Preenchido automaticamente com base no tipo de entidade.

   • Valor

     • O nome deste campo muda dinamicamente para o tipo de indicador selecionado.
     • O valor do próprio indicador.
     • Obrigatório. Preenchido automaticamente pelo valor da entidade.

   • Etiquetas

     • Tags de texto livre que você pode adicionar ao indicador.
     • Opcional. Preenchido automaticamente pelo ID do incidente. Você pode adicionar outros.

   • Nome

     • Nome do indicador. Este nome é o que aparece na sua lista de indicadores.
     • Opcional. Preenchido automaticamente pelo nome do incidente.

   • Criado por

     • Criador do indicador.
     • Opcional. Preenchido automaticamente pelo usuário conectado ao Microsoft Sentinel.

   Preencha os restantes campos em conformidade.

   • Tipos de ameaça

     • O tipo de ameaça representado pelo indicador.
     • Opcional. Texto livre.

   • Descrição

     • Descrição do indicador.
     • Opcional. Texto livre.

   • Revogado

     • Estado revogado do indicador. Marque a caixa de seleção para revogar o indicador. Desmarque a caixa de seleção para ativá-la.
     • Opcional. Booleano.

   • Confiança

     • Pontuação que reflete a confiança na exatidão dos dados, por percentagem.
     • Opcional. Inteiro, 1-100.

   • Cadeias de ataque

     • Fases na Lockheed Martin Cyber Kill Chain às quais o indicador corresponde.
     • Opcional. Texto livre.

   • Válido a partir de

     • O momento a partir do qual este indicador é considerado válido.
     • Obrigatório. Data/hora.

   • Válido até

     • O momento em que este indicador deve deixar de ser considerado válido.
     • Opcional. Data/hora.

   

2. Quando todos os campos estiverem preenchidos de forma satisfatória, selecione Aplicar. Uma mensagem aparece no canto superior direito para confirmar que o indicador foi criado.

3. A entidade é adicionada como inteligência sobre ameaças no seu espaço de trabalho. Você pode encontrá-lo na interface de gerenciamento de inteligência de ameaças. Você também pode consultá-lo usando a tabela ThreatIntelligenceIndicators.

Conteúdos relacionados

Neste artigo, você aprendeu como adicionar entidades às suas listas de indicadores de ameaça. Para obter mais informações, consulte os seguintes artigos:

• Investigar incidentes com o Microsoft Sentinel
• Compreender a inteligência sobre ameaças no Microsoft Sentinel
• Trabalhar com indicadores de ameaça no Microsoft Sentinel