Dodawanie jednostek do analizy zagrożeń w usłudze Microsoft Sentinel
Podczas badania analizujesz jednostki i ich kontekst jako ważną część zrozumienia zakresu i charakteru zdarzenia. Po odnalezieniu jednostki jako złośliwej nazwy domeny, adresu URL, pliku lub adresu IP w zdarzeniu powinna być oznaczona etykietą i śledzona jako wskaźnik naruszenia (IOC) w analizie zagrożeń.
Na przykład odnajdziesz adres IP wykonujący skanowanie portów w sieci lub działa jako węzeł poleceń i sterowania, wysyłając i/lub odbierając transmisje z dużej liczby węzłów w sieci.
Usługa Microsoft Sentinel umożliwia flagowanie tych typów jednostek bezpośrednio w ramach badania zdarzeń i dodawanie ich do analizy zagrożeń. Możesz wyświetlić dodane wskaźniki zarówno w obszarze Dzienniki , jak i Analiza zagrożeń, i używać ich w obszarze roboczym usługi Microsoft Sentinel.
Dodawanie jednostki do analizy zagrożeń
Nowa strona szczegółów incydentu umożliwia dodawanie jednostek do analizy zagrożeń oprócz grafu badania. Poniżej przedstawiono oba sposoby.
Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Incydenty.
Wybierz zdarzenie do zbadania. Na panelu szczegółów zdarzenia wybierz pozycję Wyświetl pełne szczegóły , aby otworzyć stronę szczegółów zdarzenia.
Znajdź jednostkę z widżetu Jednostki , które chcesz dodać jako wskaźnik zagrożenia. (Możesz filtrować listę lub wprowadzać ciąg wyszukiwania, aby ułatwić jej zlokalizowanie).
Wybierz trzy kropki po prawej stronie jednostki, a następnie wybierz pozycję Dodaj do ti z menu podręcznego.
Jako wskaźniki zagrożeń można dodać tylko następujące typy jednostek:
- Nazwa domeny
- Adres IP (IPv4 i IPv6)
- URL
- Plik (skrót)
Niezależnie od wybranego interfejsu znajdziesz się tutaj:
Zostanie otwarty panel boczny Nowy wskaźnik . Następujące pola zostaną wypełnione automatycznie:
Type
- Typ wskaźnika reprezentowanego przez dodaną jednostkę.
Lista rozwijana z możliwymi wartościami: ipv4-addr, ipv6-addr, URL, file, domain-name - Wymagane; automatycznie wypełniane na podstawie typu jednostki.
- Typ wskaźnika reprezentowanego przez dodaną jednostkę.
Wartość
- Nazwa tego pola zmienia się dynamicznie na wybrany typ wskaźnika.
- Wartość samego wskaźnika.
- Wymagane; automatycznie wypełniana przez wartość jednostki.
Tagi
- Tagi wolnego tekstu, które można dodać do wskaźnika.
- Opcjonalne; automatycznie wypełniane przez identyfikator zdarzenia. Możesz dodać inne osoby.
Nazwa/nazwisko
- Nazwa wskaźnika — jest to, co będzie wyświetlane na liście wskaźników.
- Opcjonalne; automatycznie wypełniana przez nazwę zdarzenia.
Utworzony przez
- Twórca wskaźnika.
- Opcjonalne; automatycznie wypełniane przez użytkownika zalogowanego do usługi Microsoft Sentinel.
Wypełnij pozostałe pola odpowiednio.
Typ zagrożenia
- Typ zagrożenia reprezentowany przez wskaźnik.
- Opcjonalne; dowolny tekst.
Opis
- Opis wskaźnika.
- Opcjonalne; dowolny tekst.
Odwołany
- Odwołany stan wskaźnika. Zaznacz pole wyboru, aby odwołać wskaźnik, wyczyść pole wyboru, aby je uaktywnić.
- Opcjonalne; Boolean.
Ufność
- Wynik odzwierciedla pewność poprawności danych według procentu.
- Opcjonalne; liczba całkowita, 1–100
Łańcuch zabijania
- Fazy w łańcuchu Lockheed Martin Cyber Kill Chain , do których odpowiada wskaźnik.
- Opcjonalne; dowolny tekst
Prawidłowy od
- Czas, z którego ten wskaźnik jest uznawany za prawidłowy.
- Wymagane; data/godzina
Prawidłowa do
- Czas, w którym ten wskaźnik nie powinien być już uznawany za prawidłowy.
- Opcjonalne; data/godzina
Po wypełnieniu wszystkich pól do zadowolenia wybierz pozycję Zastosuj. W prawym górnym rogu zobaczysz komunikat potwierdzający, że wskaźnik został utworzony.
Jednostka zostanie dodana jako wskaźnik zagrożenia w obszarze roboczym. Można je znaleźć na liście wskaźników na stronie Analiza zagrożeń, a także w tabeli ThreatIntelligenceIndicators w obszarze Dzienniki.
Powiązana zawartość
W tym artykule przedstawiono sposób dodawania jednostek do list wskaźników zagrożeń. Aby uzyskać więcej informacji, zobacz: