Adicionar entidades à inteligência contra ameaças no Microsoft Sentinel

Durante uma investigação, você examina entidades e seu contexto como uma parte importante da compreensão do escopo e da natureza de um incidente. Quando você descobre uma entidade, como um nome de domínio mal-intencionado, uma URL, um arquivo ou um endereço IP no incidente, ela deve ser rotulada e rastreada como um indicador de comprometimento (IOC) em sua inteligência contra ameaças.

Por exemplo, você poderá descobrir um endereço IP executando verificações de porta em sua rede ou funcionando como um nó de comando e controle, enviando e/ou recebendo transmissões de um grande número de nós em sua rede.

Com o Microsoft Sentinel, você pode sinalizar esses tipos de entidades de dentro de sua investigação de incidentes e adicioná-las à inteligência contra ameaças. Você pode exibir os indicadores adicionados nos Logs e na Inteligência contra Ameaças e usá-los em seu workspace do Microsoft Sentinel.

Adicionar uma entidade à inteligência contra ameaças

A Página de detalhes do incidente e o grafo de investigação fornecem duas maneiras de adicionar entidades à inteligência contra ameaças.

Independentemente das duas interfaces que você escolher, você acabará aqui.

1. O painel lateral Novo indicador será aberto. Os seguintes campos serão preenchidos automaticamente:

   • Types

     • O tipo de indicador representado pela entidade que você está adicionando.
       • Lista suspensa com valores possíveis: ipv4-addr, ipv6-addr, URL, filee domain-name.
     • Obrigatória. Preenchido automaticamente com base no tipo de entidade.

   • Valor

     • O nome desse campo muda dinamicamente para o tipo de indicador selecionado.
     • O valor do próprio indicador.
     • Obrigatória. Preenchido automaticamente pelo valor da entidade.

   • Marcas

     • Marcas de texto livre que você pode adicionar ao indicador.
     • Opcional. Preenchido automaticamente pela ID do incidente. Você pode adicionar outras pessoas.

   • Nome

     • Nome do indicador. Esse nome é o que aparece na sua lista de indicadores.
     • Opcional. Preenchido automaticamente pelo nome do incidente.

   • Criado por

     • Criador do indicador.
     • Opcional. Preenchido automaticamente pelo usuário conectado ao Microsoft Sentinel.

   Preencha os campos restantes e selecione de acordo.

   • Tipos de ameaça

     • O tipo de ameaça representado pelo indicador.
     • Opcional. Texto livre.

   • Descrição

     • Descrição do indicador.
     • Opcional. Texto livre.

   • Revogado

     • Status revogado do indicador. Marque a caixa de seleção para revogar o indicador. Desmarque a caixa de seleção para torná-la ativa.
     • Opcional. Booliano.

   • Confiança

     • Pontuação que reflete a confiança na correção dos dados, em porcentagem.
     • Opcional. Inteiro, 1-100.

   • Encerrar as cadeias

     • Fases na Lockheed Martin Cyber Kill Chain à qual o indicador corresponde.
     • Opcional. Texto livre.

   • Válido desde

     • O tempo a partir do qual esse indicador é considerado válido.
     • Obrigatória. Data/hora.

   • Válido até

     • O momento no qual esse indicador não deve mais ser considerado válido.
     • Opcional. Data/hora.

   

2. Quando todos os campos forem preenchidos para sua satisfação, selecione Aplicar. Uma mensagem é exibida no canto superior direito para confirmar que o indicador foi criado.

3. A entidade será adicionada como um indicador de ameaça em seu workspace. Você poderá encontrá-la na lista de indicadores na página Inteligência contra ameaças. Você também poderá encontrá-la na tabela ThreatIntelligenceIndicators no Logs.

Conteúdo relacionado

Neste artigo, você aprendeu a adicionar entidades às listas de indicadores de ameaças. Para obter mais informações, consulte os seguintes artigos:

• Investigue incidentes com o Microsoft Azure Sentinel
• Noções básicas da inteligência contra ameaças no Microsoft Sentinel
• Trabalhar com indicadores de ameaça no Microsoft Sentinel