Arbeiten mit Bedrohungsindikatoren in Microsoft Sentinel

Integrieren Sie Threat Intelligence mithilfe der folgenden Aktivitäten in Microsoft Sentinel:

  • Importieren Sie Threat Intelligence-Daten in Microsoft Sentinel, indem Sie Datenconnectors für verschiedene Threat Intelligence-Plattformen und -Feeds aktivieren.
  • Sie können die importierten Threat Intelligence-Daten in Protokollen und auf der Seite Threat Intelligence von Microsoft Sentinel anzeigen und verwalten.
  • Erkennen Sie Bedrohungen, und generieren Sie Sicherheitswarnungen und Incidents mit den integrierten Regelvorlagen für die Analyse, die auf Ihren importierten Threat Intelligence-Daten basieren.
  • Visualisieren Sie wichtige Informationen zu Ihren Threat Intelligence-Daten in Microsoft Sentinel mithilfe der Threat Intelligence-Arbeitsmappe.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Anzeigen Ihrer Bedrohungsindikatoren in Microsoft Sentinel

Hier erfahren Sie, wie Sie mit Threat Intelligence-Indikatoren in Microsoft Sentinel arbeiten.

Suchen und Anzeigen Ihrer Indikatoren auf der Seite „Threat Intelligence“

Sie können Ihre Indikatoren auch auf der Seite Threat Intelligence einsehen und verwalten, auf das Sie über das Hauptmenü von Microsoft Sentinel Zugriff haben. Verwenden Sie die SeiteThreat Intelligence, um Ihre importierten Bedrohungsindikatoren sortieren, filtern und durchsuchen, ohne eine Log Analytics-Abfrage schreiben zu müssen.

So zeigen Sie Ihre Threat Intelligence-Indikatoren auf der Seite Threat Intelligence an

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsmanagement die Option Threat Intelligence aus.

    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Threat Intelligence aus.

  2. Wählen Sie im Raster den Indikator aus, für den Sie weitere Informationen anzeigen möchten. Die Informationen des Indikators umfassen Konfidenzniveaus, Tags und Bedrohungstypen.

Microsoft Sentinel zeigt in dieser Ansicht nur die neuste Version der Indikatoren an. Weitere Informationen zur Aktualisierung von Indikatoren finden Sie unter Grundlegendes zu Threat Intelligence.

IP- und Domänennamenindikatoren werden mit zusätzlichen GeoLocation- und WhoIs-Daten angereichert. Diese Daten bieten mehr Kontext für Untersuchungen, in denen der ausgewählte Indikator gefunden wird.

Im Folgenden sehen Sie ein Beispiel.

Screenshot: Seite „Threat Intelligence“ mit einem Indikator mit GeoLocation- und WhoIs-Daten

Wichtig

Die GeoLocation- und WhoIs-Anreicherung befindet sich derzeit in der Vorschauphase. Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Suchen und Anzeigen Ihrer Indikatoren in Protokollen

In diesem Verfahren wird beschrieben, wie Sie Ihre importierten Bedrohungsindikatoren im Bereich Protokolle in Microsoft Sentinel zusammen mit anderen Microsoft Sentinel-Ereignisdaten anzeigen, unabhängig vom verwendeten Quellfeed oder Connector.

Importierte Bedrohungsindikatoren sind in der Microsoft Sentinel-Tabelle ThreatIntelligenceIndicator aufgeführt. Diese Tabelle bildet die Grundlage für Threat Intelligence-Abfragen, die an anderer Stelle in Microsoft Sentinel wie Analysen oder Arbeitsmappen ausgeführt werden.

So zeigen Sie Ihre Threat Intelligence-Indikatoren unter Protokolle an

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Allgemein die Option Protokolle aus.

    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Untersuchung und Antwort>Hunting>Erweiterte Bedrohungssuche aus.

  2. Die Tabelle ThreatIntelligenceIndicator befindet sich unter der Gruppe Microsoft Sentinel.

  3. Wählen Sie das Symbol Vorschaudaten (Auge) neben dem Tabellennamen aus. Wählen Sie Im Abfrage-Editor anzeigen aus, um eine Abfrage auszuführen, die Datensätze aus dieser Tabelle anzeigt.

    Die Ergebnisse sollten den hier gezeigten Beispielbedrohungsindikatoren ähneln.

    Screenshot: ThreatIntelligenceIndicator-Beispieltabellenergebnisse mit erweiterter Anzeige von Details

Erstellen und Markieren von Indikatoren

Erstellen Sie auf der Seite Threat Intelligencedirekt auf der Microsoft Sentinel-Benutzeroberfläche Bedrohungsindikatoren, und führen Sie zwei gängige Verwaltungsaufgaben für Threat Intelligence aus: Markieren von Indikatoren mit Tags und Erstellen neuer Indikatoren im Zusammenhang mit Sicherheitsuntersuchungen.

Erstellen eines neuen Indikators

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Bedrohungsmanagement die Option Threat Intelligence aus.

    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Bedrohungsmanagement>Threat Intelligence aus.

  2. Wählen Sie auf der Menüleiste oben auf der Seite Neu hinzufügen aus.

    Screenshot: Hinzufügen eines neuen Bedrohungsindikators

  3. Wählen Sie den Indikatortyp aus, und füllen Sie dann im Bereich Neuer Indikator das Formular aus. Die Pflichtfelder sind mit einem Sternchen (*) gekennzeichnet.

  4. Wählen Sie Übernehmen. Der Indikator wird der Indikatorliste hinzugefügt und auch an die Tabelle ThreatIntelligenceIndicator unter Protokolle übertragen.

Markieren und Bearbeiten von Bedrohungsindikatoren

Das Markieren von Bedrohungsindikatoren mit Tags stellt eine einfache Möglichkeit dar, sie zu gruppieren und einfacher auffindbar zu machen. In der Regel können Sie ein Tag auf Indikatoren im Zusammenhang mit einem bestimmten Incident anwenden oder auf Indikatoren, die Bedrohungen von einem bestimmten bekannten Akteur oder einer bekannten Angriffskampagne darstellen. Nachdem Sie die gewünschten Indikatoren gefunden haben, können Sie sie einzeln markieren. Sie können mehrere Indikatoren gleichzeitig auswählen und mit Tags markieren. Da das Tagging eine Freiformangabe ist, empfiehlt es sich, Standardnamenskonventionen für Tags für Bedrohungsindikatoren zu erstellen.

Screenshot: Anwenden von Tags auf Bedrohungsindikatoren

Mit Microsoft Sentinel können Sie auch Indikatoren bearbeiten, unabhängig davon, ob sie direkt in Microsoft Sentinel erstellt wurden oder aus Partnerquellen wie TIP- und TAXII-Servern stammen. Bei Indikatoren, die in Microsoft Sentinel erstellt wurden, können alle Felder bearbeitet werden. Bei Indikatoren, die aus Partnerquellen stammen, können nur bestimmte Felder bearbeitet werden, einschließlich Tags, Ablaufdatum, Konfidenz und Wurde widerrufen. Unabhängig von der verwendeten Methode wird nur die aktuelle Version des Indikators auf der Seite Threat Intelligence angezeigt. Weitere Informationen zur Aktualisierung von Indikatoren finden Sie unter Grundlegendes zu Threat Intelligence.

Gewinnen von Erkenntnissen aus Threat Intelligence mit Arbeitsmappen

Verwenden Sie eine eigens zu diesem Zweck erstellte Microsoft Sentinel-Arbeitsmappe, um wichtige Informationen über Ihre Threat Intelligence-Daten in Microsoft Sentinel zu visualisieren, und passen Sie die Arbeitsmappe an Ihre geschäftlichen Anforderungen an.

Hier erfahren Sie, wie Sie die in Microsoft Sentinel enthaltene Threat Intelligence-Arbeitsmappe finden und wie Sie die Arbeitsmappe bearbeiten können, um sie anzupassen.

  1. Navigieren Sie im Azure-Portal zu Microsoft Sentinel.

  2. Wählen Sie den Arbeitsbereich aus, in den Sie Bedrohungsindikatoren mit einem der Threat Intelligence-Datenconnectors importiert haben.

  3. Wählen Sie im Microsoft Sentinel-Menü im Abschnitt Bedrohungsmanagement die Option Arbeitsmappen aus.

  4. Suchen Sie nach der Arbeitsmappe Threat Intelligence. Vergewissern Sie sich, dass die Tabelle ThreatIntelligenceIndicator Daten enthält.

    Screenshot: Überprüfen, ob Daten vorhanden sind

  5. Wählen Sie Speichern und dann einen Azure-Speicherort für die Arbeitsmappe aus. Dieser Schritt ist erforderlich, wenn Sie die Arbeitsmappe anpassen und Ihre Änderungen speichern möchten.

  6. Wählen Sie nun Gespeicherte Arbeitsmappe anzeigen aus, um die Arbeitsmappe für die Anzeige und Bearbeitung zu öffnen.

  7. Es sollten die von der Vorlage bereitgestellten Standarddiagramme angezeigt werden. Wählen Sie zum Ändern eines Diagramms oben auf der Seite Bearbeiten aus, um den Bearbeitungsmodus für die Arbeitsmappe zu aktivieren.

  8. Fügen Sie ein neues Diagramm mit Bedrohungsindikatoren nach Bedrohungstyp hinzu. Scrollen Sie auf der Seite nach unten, und wählen Sie Abfrage hinzufügen aus.

  9. Fügen Sie den folgenden Text in das Textfeld Protokollabfrage des Log Analytics-Arbeitsbereichs ein:

    ThreatIntelligenceIndicator
    | summarize count() by ThreatType
    
  10. Wählen Sie im Dropdownmenü Visualisierung den Eintrag Balkendiagramm aus.

  11. Wählen Sie Bearbeitung abgeschlossen aus, und zeigen Sie das neue Diagramm für Ihre Arbeitsmappe an.

    Screenshot: Balkendiagramm für die Arbeitsmappe

Mit Arbeitsmappen verfügen Sie über leistungsstarke interaktive Dashboards, über die Sie Einblicke in alle Aspekte von Microsoft Sentinel erhalten. Sie können zahlreiche Aufgaben mit Arbeitsmappen ausführen, und die bereitgestellten Vorlagen sind ein guter Ausgangspunkt. Passen Sie die Vorlagen an, oder erstellen Sie neue Dashboards, indem Sie viele Datenquellen kombinieren, damit Sie Ihre Daten auf besondere Weisen visualisieren können.

Microsoft Sentinel-Arbeitsmappen basieren auf Azure Monitor-Arbeitsmappen, daher sind eine umfassende Dokumentation und viele weitere Vorlagen verfügbar. Weitere Informationen finden Sie unter Erstellen interaktiver Berichte mit Azure Monitor-Arbeitsmappen.

Es gibt auch eine umfangreiche Ressource für Azure Monitor-Arbeitsmappen auf GitHub, von der Sie weitere Vorlagen herunterladen und eigene Vorlagen veröffentlichen können.

In diesem Artikel haben Sie erfahren, wie Sie mit Threat Intelligence-Indikatoren in Microsoft Sentinel arbeiten. Weitere Informationen zu Threat Intelligence in Microsoft Sentinel finden Sie in den folgenden Artikeln: