Aggiungere entità all'intelligence sulle minacce in Microsoft Sentinel

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal

Durante un'indagine, si esaminano le entità e il relativo contesto in quanto parte importante della comprensione dell'ambito e della natura di un evento imprevisto. Quando si individua un'entità come nome di dominio, URL, file o indirizzo IP dannosi nell'evento imprevisto, questa deve essere etichettata e rilevata come indicatore di compromissione (IOC) nell'intelligence sulle minacce.

Ad esempio, è possibile individuare un indirizzo IP che esegue analisi delle porte nella rete o funzioni come nodo di comando e controllo inviando e/o ricevendo trasmissioni da un numero elevato di nodi nella rete.

Con Microsoft Sentinel è possibile contrassegnare questi tipi di entità dall'interno dell'indagine sugli eventi imprevisti e aggiungerli all'intelligence sulle minacce. È possibile visualizzare gli indicatori aggiunti in Log e Threat Intelligence e usarli nell'area di lavoro di Microsoft Sentinel.

Aggiungere un'entità all'intelligence sulle minacce

La pagina Dettagli evento imprevisto e il grafico di indagine offrono due modi per aggiungere entità all'intelligence sulle minacce.

  1. Nel menu di Microsoft Sentinel selezionare Eventi imprevisti nella sezione Gestione delle minacce.

  2. Selezionare un evento imprevisto da analizzare. Nel riquadro Dettagli evento imprevisto selezionare Visualizza dettagli completi per aprire la pagina Dettagli evento imprevisto.

  3. Nel riquadro Entità individuare l'entità da aggiungere come indicatore di minaccia. (È possibile filtrare l'elenco o immettere una stringa di ricerca per facilitare l'individuazione.)

    Screenshot che mostra la pagina Dettagli evento imprevisto.

  4. Selezionare i tre puntini a destra dell'entità e selezionare Aggiungi a TI dal menu a comparsa.

    Aggiungere solo i tipi di entità seguenti come indicatori di minaccia:

    • Nome di dominio
    • Indirizzo IP (IPv4 e IPv6)
    • URL
    • File (hash)

    Screenshot che mostra l'aggiunta di un'entità all'intelligence sulle minacce.

Indipendentemente dalle due interfacce scelte, si arriva qui.

  1. Verrà visualizzato il riquadro laterale Nuovo indicatore. I campi seguenti vengono popolati automaticamente:

    • Tipi

      • Il tipo di indicatore rappresentato dall'entità che si sta aggiungendo.
        • Elenco a discesa con valori possibili: ipv4-addr, ipv6-addr, URL, file e domain-name.
      • Obbligatorio. Popolato automaticamente in base al tipo di entità.

    • valore

      • Il nome di questo campo si modifica in modo dinamico in base al tipo di indicatore selezionato.
      • Il valore dell'indicatore.
      • Obbligatorio. Popolato automaticamente dal valore dell'entità.

    • Tag

      • Tag di testo libero che è possibile aggiungere all'indicatore.
      • Facoltativo. Popolato automaticamente dall'ID dell'evento imprevisto. È possibile aggiungerne altri.

    • Nome

      • Nome dell'indicatore. Questo nome è quello visualizzato nell'elenco degli indicatori.
      • Facoltativo. Popolato automaticamente dal nome dell'evento imprevisto.

    • Autore

      • Creatore dell'indicatore.
      • Facoltativo. Popolato automaticamente dall'utente registrato a Microsoft Sentinel.

    Compilare i campi rimanenti di conseguenza.

    • Tipi di minacce

      • Il tipo di minaccia rappresentato dall'indicatore.
      • Facoltativo. Testo libero.

    • Descrizione

      • Descrizione dell'indicatore.
      • Facoltativo. Testo libero.

    • Revocato

      • Stato revocato dell'indicatore. Selezionare la casella di controllo per revocare l'indicatore. Deselezionare la casella di controllo per attivarla.
      • Facoltativo. Valorebooleano.

    • Attendibilità

      • Punteggio che riflette l'attendibilità della correttezza dei dati, in percentuale.
      • Facoltativo. Numero intero, 1-100.

    • Kill chain

    • Valido dal

      • Ora da cui questo indicatore viene considerato valido.
      • Obbligatorio. Data/ora.

    • Valido fino al

      • L'ora in cui questo indicatore non deve più essere considerato valido.
      • Facoltativo. Data/ora.

    Screenshot che mostra l'immissione di informazioni nel riquadro del nuovo indicatore di minaccia.

  2. Quando tutti i campi vengono compilati nel modo desiderato, selezionare Applica. Viene visualizzato un messaggio nell'angolo in alto a destra per confermare che l'indicatore è stato creato.

  3. L'entità viene aggiunta come indicatore di minaccia nell'area di lavoro. È possibile trovarlo nell'elenco degli indicatori nella pagina Intelligence sulle minacce. È anche possibile trovarlo nella tabella ThreatIntelligenceIndicators in Log.

Contenuto correlato

In questo articolo si è appreso come aggiungere entità agli elenchi di indicatori di minacce. Per altre informazioni, vedere gli articoli seguenti: