Partilhar via

Trabalhar com informações sobre ameaças do Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Acelere a deteção e a remediação de ameaças com a criação e o gerenciamento simplificados de informações sobre ameaças. Este artigo demonstra como aproveitar ao máximo a integração de inteligência contra ameaças na interface de gerenciamento, quer você esteja acessando-a do Microsoft Sentinel no portal do Defender ou no portal do Azure.

  • Crie objetos de inteligência de ameaças usando STIX (Structured Threat Information Expression)
  • Gerencie informações sobre ameaças visualizando, organizando e curando

Importante

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.

Pré-requisitos

Aceda à interface de gestão

Consulte uma das abas a seguir, dependendo de onde pretendes trabalhar sobre inteligência de ameaças. Embora a interface de gerenciamento seja acessada de forma diferente, dependendo do portal que você usa, as tarefas de criação e gerenciamento têm as mesmas etapas quando você chega lá.

No portal do Defender, navegue até Informações sobre ameaças>Gestão de inteligência.

Captura de tela mostrando o item de menu de gerenciamento de informações no portal do Defender.

Crie informações sobre ameaças

Use a interface de gerenciamento para criar objetos STIX e executar outras tarefas comuns de inteligência de ameaças, como marcação de indicadores e estabelecimento de conexões entre objetos.

  • Defina relações à medida que cria novos objetos STIX.
  • Crie rapidamente vários objetos usando o recurso duplicado para copiar os metadados de um objeto TI novo ou existente.

Para obter mais informações sobre objetos STIX suportados, consulte Inteligência de ameaças no Microsoft Sentinel.

Criar um novo objeto STIX

  1. Selecione Adicionar novo>objeto TI.

    Captura de ecrã que mostra a adição de um novo indicador de ameaça.

  2. Escolha o tipo de objeto e, em seguida, preencha o formulário na página Novo objeto TI . Os campos obrigatórios estão marcados com um asterisco vermelho (*).

  3. Considere designar um valor de sensibilidade ou uma classificação TLP (Protocolo de luzes de semáforo) para o objeto TI. Para obter mais informações sobre o que os valores representam, consulte Curar informações sobre ameaças.

  4. Se você souber como esse objeto se relaciona com outro objeto de inteligência de ameaça, indique essa conexão com o tipo de relacionamento e a referência de destino.

  5. Selecione Adicionar para um objeto individual ou Adicionar e duplicar se quiser criar mais itens com os mesmos metadados. A imagem a seguir mostra a seção comum dos metadados de cada objeto STIX que é duplicada.

Captura de tela mostrando a criação de novos objetos STIX e os metadados comuns disponíveis para todos os objetos.

Gerencie informações sobre ameaças

Otimize a TI a partir de suas fontes com regras de ingestão. Organize a TI existente com a ferramenta de criação de relações. Utilize a interface de gestão para pesquisar, filtrar e ordenar e, em seguida, adicionar etiquetas à sua inteligência sobre ameaças.

Otimize fluxos de inteligência de ameaças com regras de ingestão

Reduza o ruído de seus feeds de TI, estenda a validade de indicadores de alto valor e adicione tags significativas aos objetos recebidos. Estes são apenas alguns dos casos de uso para regras de ingestão. Aqui estão as etapas para estender a data de validade em indicadores de alto valor.

  1. Selecione Regras de ingestão para abrir uma página totalmente nova para exibir regras existentes e construir uma nova lógica de regras.

    Captura de tela mostrando o menu de gerenciamento de inteligência de ameaças pairando sobre as regras de ingestão.

  2. Insira um nome descritivo para sua regra. A página de regras de ingestão oferece um campo amplo para o nome, mas essa é a única descrição de texto disponível para diferenciar as suas regras sem editá-las.

  3. Selecione o tipo de objeto. Este caso de uso é baseado na extensão da Valid from propriedade, que só está disponível para Indicator tipos de objeto.

  4. Adicione condição para SourceEquals e selecione o seu alto valor Source.

  5. Adicione uma condição para ConfidenceGreater than or equal e insira uma Confidence pontuação.

  6. Selecione a Ação. Como queremos modificar este indicador, selecione Edit.

  7. Selecione a ação Adicionar para Valid until, Extend bye selecione um período de tempo em dias.

  8. Considere adicionar uma tag para indicar o alto valor colocado nesses indicadores, como Extended. A data de modificação não é atualizada pelas regras de ingestão.

  9. Selecione a Ordem em que deseja que a regra seja executada. As regras vão do número de ordem mais baixo ao mais alto. Cada regra avalia cada objeto ingerido.

  10. Se a regra estiver pronta para ser ativada, alterne Status para ativado.

  11. Selecione Adicionar para criar a regra de ingestão.

Captura de ecrã mostrando a criação de uma nova regra de ingestão para estender a data de validade.

Para obter mais informações, consulte Regras de ingestão de informações sobre ameaças.

Organize inteligência sobre ameaças com o construtor de relações

Conecte objetos de inteligência de ameaças com a ferramenta de construção de relações. Há um máximo de 20 relacionamentos no construtor ao mesmo tempo, mas mais conexões podem ser criadas por meio de várias iterações e adicionando referências de destino de relacionamento para novos objetos.

  1. Selecione Adicionar uma nova>relação de TI.

  2. Comece com um objeto de TI existente, como um agente de ameaça ou padrão de ataque, onde o único objeto se conecta a um ou mais objetos existentes, como indicadores.

  3. Adicione o tipo de relacionamento de acordo com as práticas recomendadas descritas na tabela a seguir e na tabela de resumo da relação de referência STIX 2.1:

    Tipo de relação Descrição
    Duplicado de
    Derivado de
    Relacionado com    		 Relações comuns definidas para qualquer objeto de domínio STIX (SDO)
    Para obter mais informações, consulte referência do STIX 2.1 em relações comuns
    Objetivos Attack pattern ou Threat actor alvos Identity
    Utilizações Threat actor Usos Attack pattern
    Atribuído a Threat actor Atribuído a Identity
    Indica Indicator Indica Attack pattern ou Threat actor
    Personifica Threat actor Personifica Identity

  4. Use a imagem a seguir como um exemplo de como usar o construtor de relacionamentos. Este exemplo demonstra como se conectar entre um agente de ameaça e um padrão, indicador e identidade de ataque usando o construtor de relacionamentos no portal do Defender.

    Captura de tela mostrando o construtor de relacionamentos.

  5. Finalize a relação configurando as propriedades comuns.

Veja a sua inteligência sobre ameaças na interface de gestão

Use a interface de gerenciamento para classificar, filtrar e pesquisar suas informações sobre ameaças de qualquer fonte de onde elas foram ingeridas sem escrever uma consulta do Log Analytics.

  1. Na interface de gerenciamento, expanda o menu O que você gostaria de pesquisar?

  2. Selecione um tipo de objeto STIX ou deixe o padrão Todos os tipos de objeto.

  3. Selecione condições usando operadores lógicos.

  4. Selecione o objeto sobre o qual deseja ver mais informações.

Na imagem seguinte, várias fontes foram usadas para pesquisar, colocando-as em um OR grupo, enquanto várias condições foram agrupadas com o AND operador.

A captura de tela mostra um operador OR combinado com várias condições AND para pesquisar informações sobre ameaças.

O Microsoft Sentinel exibe apenas a versão mais atual de suas informações sobre ameaças nessa exibição. Para obter mais informações sobre como os objetos são atualizados, consulte Ciclo de vida de inteligência de ameaças.

Os indicadores de IP e nome de domínio são enriquecidos com dados extra GeoLocation e WhoIs para que possa fornecer mais contexto para quaisquer investigações onde se encontre o indicador.

Eis um exemplo.

Captura de tela que mostra a página Inteligência de ameaças com um indicador mostrando dados de Geolocalização e WhoIs.

Importante

GeoLocation e WhoIs o enriquecimento está atualmente em pré-visualização. Os Termos Suplementares do Azure Preview incluem mais termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Marcar e editar informações sobre ameaças

Marcar informações sobre ameaças é uma maneira rápida de agrupar objetos para torná-los mais fáceis de encontrar. Normalmente, você pode aplicar tags relacionadas a um incidente específico. Mas, se um objeto representar ameaças de um determinado ator conhecido ou campanha de ataque conhecida, considere criar um relacionamento em vez de uma tag.

  1. Use a interface de gerenciamento para classificar, filtrar e pesquisar suas informações sobre ameaças.
  2. Depois de encontrar os objetos com os quais deseja trabalhar, selecione-os várias vezes escolhendo um ou mais objetos do mesmo tipo.
  3. Selecione Adicionar tags e marque-as todas de uma vez com uma ou mais tags.
  4. Como a marcação é de forma livre, recomendamos que você crie convenções de nomenclatura padrão para tags em sua organização.

Edite informações sobre ameaças um objeto de cada vez, seja criado diretamente no Microsoft Sentinel ou de fontes parceiras, como servidores TIP e TAXII. Para informações sobre ameaças criadas na interface de gerenciamento, todos os campos são editáveis. Para informações sobre ameaças ingeridas de fontes parceiras, apenas campos específicos são editáveis, incluindo tags, Data de validade, Confiança e Revogado. De qualquer forma, apenas a versão mais recente do objeto aparece na interface de gerenciamento.

Para obter mais informações sobre como as informações sobre ameaças são atualizadas, consulte Exibir suas informações sobre ameaças.

Encontre e visualize informações sobre ameaças com consultas

Este procedimento descreve como visualizar suas informações sobre ameaças com consultas, independentemente do feed de origem ou do método usado para ingeri-las.

Os indicadores de ameaça são armazenados na tabela Microsoft Sentinel ThreatIntelligenceIndicator . Esta tabela é a base para consultas de inteligência de ameaças realizadas por outros recursos do Microsoft Sentinel, como Analytics, Caça e Pastas de trabalho.

Importante

Em 3 de abril de 2025, visualizamos publicamente duas novas tabelas para suportar indicadores STIX e esquemas de objetos: ThreatIntelIndicators e ThreatIntelObjects. O Microsoft Sentinel ingerirá todas as informações sobre ameaças nessas novas tabelas, enquanto continuará a ingerir os mesmos dados na tabela herdada ThreatIntelligenceIndicator até 31 de julho de 2025. Certifique-se de atualizar suas consultas personalizadas, regras de análise e deteção, pastas de trabalho e automação para usar as novas tabelas até 31 de julho de 2025. Após essa data, o Microsoft Sentinel deixará de ingerir dados na tabela herdada ThreatIntelligenceIndicator . Estamos a atualizar todas as soluções de inteligência de ameaças prontas para uso no Content Hub para tirar partido das novas tabelas. Para obter mais informações sobre os novos esquemas de tabela, consulte ThreatIntelIndicators e ThreatIntelObjects. Para obter informações sobre como usar e migrar para as novas tabelas, consulte (Trabalhar com objetos STIX para aprimorar a inteligência de ameaças e a caça a ameaças no Microsoft Sentinel (Visualização))[work-with-stix-objects-indicators.md].

  1. Para o Microsoft Sentinel no portal do Defender, selecione Investigação e resposta>Caça>avançada.

  2. A ThreatIntelligenceIndicator tabela está localizada no grupo Microsoft Sentinel .

Captura de tela da opção adicionar lista de observação na página da lista de observação.

Para obter mais informações, consulte Exibir suas informações sobre ameaças.

Visualize suas informações sobre ameaças com pastas de trabalho

Use uma pasta de trabalho do Microsoft Sentinel criada especificamente para visualizar informações importantes sobre sua inteligência de ameaças no Microsoft Sentinel e personalizar a pasta de trabalho de acordo com suas necessidades de negócios.

Veja como encontrar a pasta de trabalho de inteligência de ameaças fornecida no Microsoft Sentinel e um exemplo de como fazer edições na pasta de trabalho para personalizá-la.

  1. No portal do Azure, vá para Microsoft Sentinel.

  2. Escolha o espaço de trabalho para o qual importou indicadores de ameaça utilizando um dos conectores de dados de inteligência de ameaças.

  3. Na seção Gerenciamento de ameaças do menu Microsoft Sentinel, selecione Pastas de trabalho.

  4. Encontre a pasta de trabalho intitulada Threat Intelligence. Verifique se você tem dados na ThreatIntelligenceIndicator tabela.

    Captura de ecrã que mostra a verificação de que tem dados.

  5. Selecione Salvar e escolha um local do Azure no qual armazenar a pasta de trabalho. Esta etapa é necessária se você pretende modificar a pasta de trabalho de qualquer forma e salvar suas alterações.

  6. Agora selecione Exibir pasta de trabalho salva para abrir a pasta de trabalho para exibição e edição.

  7. Agora você deve ver os gráficos padrão fornecidos pelo modelo. Para modificar um gráfico, selecione Editar na parte superior da página para iniciar o modo de edição da pasta de trabalho.

  8. Adicione um novo gráfico de indicadores de ameaça por tipo de ameaça. Desloque-se para a parte inferior da página e selecione Adicionar consulta.

  9. Adicione o seguinte texto na caixa de texto Consulta de Log no espaço de trabalho Log Analytics:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

    Veja mais informações sobre os seguintes itens usados no exemplo anterior, na documentação do Kusto:

  10. No menu pendente Visualização, selecione Gráfico de barras.

  11. Selecione Edição concluída e exiba o novo gráfico da pasta de trabalho.

    Captura de ecrã que mostra um gráfico de barras da folha de cálculo.

As pastas de trabalho fornecem painéis interativos poderosos que fornecem informações sobre todos os aspetos do Microsoft Sentinel. Você pode fazer muitas tarefas com pastas de trabalho, e os modelos fornecidos são um ótimo ponto de partida. Personalize os modelos ou crie novos painéis combinando muitas fontes de dados para que você possa visualizar seus dados de maneiras exclusivas.

As pastas de trabalho do Microsoft Sentinel são baseadas em pastas de trabalho do Azure Monitor, portanto, documentação extensa e muitos outros modelos estão disponíveis. Para obter mais informações, consulte Criar relatórios interativos com pastas de trabalho do Azure Monitor.

Há também um recurso avançado para pastas de trabalho do Azure Monitor no GitHub, onde você pode baixar mais modelos e contribuir com seus próprios modelos.

Exportar informações sobre ameaças

O Microsoft Sentinel permite exportar informações sobre ameaças para outros destinos. Por exemplo, se você ingeriu informações sobre ameaças usando o conector de dados Threat Intelligence - TAXII , poderá exportar informações sobre ameaças de volta para a plataforma de origem para compartilhamento de inteligência bidirecional. O recurso de exportação reduz a necessidade de processos manuais ou procedimentos personalizados para distribuir informações sobre ameaças.

Importante

Considere cuidadosamente os dados de inteligência de ameaças que você exporta e seu destino, que podem residir em uma região geográfica ou regulatória diferente. A exportação de dados não pode ser desfeita. Certifique-se de que é o proprietário dos dados ou tem a devida autorização antes de exportar ou partilhar informações sobre ameaças com terceiros.

Para exportar informações sobre ameaças:

  1. Para o Microsoft Sentinel no portal do Defender, selecione Gerenciamento Intel de inteligência > contra ameaças. Para o Microsoft Sentinel no portal do Azure, selecione Gerenciamento de ameaças > Inteligência de ameaças.

  2. Selecione um ou mais objetos STIX e, em seguida, selecione Exportar na barra de ferramentas na parte superior da página. Por exemplo:

  3. No painel Exportar , na lista suspensa Exportar TI , selecione o servidor para o qual deseja exportar suas informações sobre ameaças.

    Se não houver um servidor listado, você precisará configurar um servidor para exportação primeiro, conforme descrito em Ativar o conector de dados de inteligência de ameaças - TAXII Exportar. Atualmente, o Microsoft Sentinel suporta apenas a exportação para plataformas baseadas em TAXII 2.1.

  4. Selecione Exportar.

    Importante

    Quando você exporta objetos de inteligência de ameaças, o sistema executa uma operação em massa. Existe um problema conhecido em que essa operação em massa às vezes falha. Se isto acontecer, será exibido um aviso ao abrires o painel lateral de Exportação, solicitando que removas a ação com falha da visualização do histórico de operações em lote. O sistema pausa as operações subsequentes até remover a operação com falha.

Para acessar o histórico de exportação:

  1. Navegue até o item exportado na página Gerenciamento Intel (portal Defender) ou Inteligência de ameaças (portal do Azure).
  2. Na coluna Exportações , selecione Exibir histórico de exportações para mostrar o histórico de exportações desse item.

Conteúdos relacionados

Para obter mais informações, consulte os seguintes artigos:

Para obter mais informações sobre o KQL, consulte Visão geral da Kusto Query Language (KQL).

Outros recursos:

  • Last updated on