Arbeiten mit Microsoft Sentinel Threat Intelligence

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Beschleunigen Sie die Erkennung und Behebung von Bedrohungen durch optimierte Erstellung und Verwaltung von Threat Intelligence. In diesem Artikel wird veranschaulicht, wie Sie die Threat Intelligence-Integration in der Verwaltungsschnittstelle optimal nutzen können, unabhängig davon, ob Sie über Microsoft Sentinel im Defender-Portal oder über die Azure-Portal darauf zugreifen.

  • Erstellen von Threat Intelligence-Objekten mithilfe von Structured Threat Information Expression (STIX)
  • Verwalten von Threat Intelligence durch Anzeigen, Zusammenstellung und Visualisierung

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Voraussetzungen

Zugreifen auf die Verwaltungsschnittstelle

Verweisen Sie auf eine der folgenden Registerkarten, je nachdem, wo Sie mit Threat Intelligence arbeiten möchten. Auch wenn der Zugriff auf die Verwaltungsschnittstelle unterschiedlich ist, je nachdem, welches Portal Sie verwenden, haben die Erstellungs- und Verwaltungsaufgaben die gleichen Schritte, sobald Sie dort sind.

Navigieren Sie im Defender-Portal zu Threat Intelligence>Intel Management.

Screenshot: Menüelement

Erstellen von Threat Intelligence

Verwenden Sie die Verwaltungsschnittstelle, um STIX-Objekte zu erstellen und andere allgemeine Threat Intelligence-Aufgaben auszuführen, z. B. Indikatormarkierung und Herstellen von Verbindungen zwischen Objekten.

  • Definieren Sie Beziehungen, wenn Sie neue STIX-Objekte erstellen.
  • Erstellen Sie schnell mehrere Objekte, indem Sie die Duplikatfunktion verwenden, um die Metadaten aus einem neuen oder vorhandenen TI-Objekt zu kopieren.

Weitere Informationen zu unterstützten STIX-Objekten finden Sie unter Threat Intelligence in Microsoft Sentinel.

Erstellen eines neuen STIX-Objekts

  1. Wählen Sie Neues>TI-Objekt hinzufügen aus.

    Screenshot: Hinzufügen eines neuen Bedrohungsindikators

  2. Wählen Sie den Objekttyp aus, und füllen Sie dann das Formular auf der Seite Neues TI-Objekt aus. Pflichtfelder sind mit einem roten Sternchen (*) gekennzeichnet.

  3. Erwägen Sie die Zuweisung eines Vertraulichkeitswerts oder einer TLP-Bewertung ( Traffic Light Protocol ) für das TI-Objekt. Weitere Informationen dazu, was die Werte darstellen, finden Sie unter Zusammenstellung von Threat Intelligence.

  4. Wenn Sie wissen, wie dieses Objekt mit einem anderen Threat Intelligence-Objekt verknüpft ist, geben Sie diese Verbindung mit dem Beziehungstyp und dem Zielverweis an.

  5. Wählen Sie hinzufügen für ein einzelnes Objekt oder Hinzufügen und duplizieren aus, wenn Sie weitere Elemente mit den gleichen Metadaten erstellen möchten. Die folgende Abbildung zeigt den allgemeinen Abschnitt der Metadaten jedes STIX-Objekts, der dupliziert wird.

Screenshot: Erstellen eines neuen STIX-Objekts und der allgemeinen Metadaten, die für alle Objekte verfügbar sind

Verwalten von Threat Intelligence

Optimieren Sie TI aus Ihren Quellen mit Erfassungsregeln. Zusammenstellung vorhandener TI mit dem Beziehungs-Generator. Verwenden Sie die Verwaltungsschnittstelle, um nach Bedrohungsinformationen zu suchen, zu filtern und zu sortieren und dann Tags hinzuzufügen.

Optimieren von Threat Intelligence-Feeds mit Erfassungsregeln

Reduzieren Sie Rauschen aus Ihren TI-Feeds, erweitern Sie die Gültigkeit von Indikatoren mit hohem Wert, und fügen Sie eingehenden Objekten aussagekräftige Tags hinzu. Dies sind nur einige der Anwendungsfälle für Erfassungsregeln. Im Folgenden finden Sie die Schritte zum Verlängern des Gültigkeitsdatums für Indikatoren mit hohem Wert.

  1. Wählen Sie Erfassungsregeln aus, um eine ganz neue Seite zu öffnen, um vorhandene Regeln anzuzeigen und neue Regellogik zu erstellen.

    Screenshot: Menü

  2. Geben Sie einen beschreibenden Namen für Ihre Regel ein. Die Seite "Erfassungsregeln" enthält zahlreiche Regeln für den Namen, aber es ist die einzige verfügbare Textbeschreibung, um Ihre Regeln zu unterscheiden, ohne sie zu bearbeiten.

  3. Wählen Sie den Objekttyp aus. Dieser Anwendungsfall basiert auf der Erweiterung der Valid from -Eigenschaft, die nur für Indicator Objekttypen verfügbar ist.

  4. Fügen Sie die Bedingung für SourceEquals hinzu, und wählen Sie ihren hohen Wert Sourceaus.

  5. Fügen Sie eine Bedingung für ConfidenceGreater than or equal hinzu, und geben Sie eine Bewertung ein Confidence .

  6. Wählen Sie die Aktion aus. Da wir diesen Indikator ändern möchten, wählen Sie aus Edit.

  7. Wählen Sie die Aktion Hinzufügen für Valid until, Extend byund wählen Sie eine Zeitspanne in Tagen aus.

  8. Erwägen Sie das Hinzufügen eines Tags, um den hohen Wert für diese Indikatoren anzugeben, z Extended. B. . Das Änderungsdatum wird nicht durch Erfassungsregeln aktualisiert.

  9. Wählen Sie die Reihenfolge aus, in der die Regel ausgeführt werden soll. Regeln werden von der niedrigsten Bis zur höchsten Ordnungszahl ausgeführt. Jede Regel wertet jedes erfasste Objekt aus.

  10. Wenn die Regel aktiviert werden kann, aktivieren Sie Status .

  11. Wählen Sie Hinzufügen aus, um die Erfassungsregel zu erstellen.

Screenshot: Erstellung einer neuen Erfassungsregel zum Verlängern des gültigen Datums

Weitere Informationen finden Sie unter Threat Intelligence-Erfassungsregeln.

Zusammenstellen von Threat Intelligence mit dem Beziehungs-Generator

Verbinden sie Threat Intelligence-Objekte mit dem Beziehungs-Generator. Es gibt maximal 20 Beziehungen gleichzeitig im Generator, aber mehr Verbindungen können durch mehrere Iterationen und durch Hinzufügen von Beziehungszielverweisen für neue Objekte erstellt werden.

  1. Wählen Sie Neue>TI-Beziehung hinzufügen aus.

  2. Beginnen Sie mit einem vorhandenen TI-Objekt wie einem Bedrohungsakteur oder einem Angriffsmuster, bei dem das einzelne Objekt eine Verbindung mit einem oder mehreren vorhandenen Objekten herstellt, z. B. Indikatoren.

  3. Fügen Sie den Beziehungstyp gemäß den bewährten Methoden hinzu, die in der folgenden Tabelle und in der Zusammenfassungstabelle der STIX 2.1-Referenzbeziehung beschrieben sind:

    Beziehungstyp Beschreibung
    Duplikat von
    Abgeleitet von
    Im Zusammenhang mit    		 Allgemeine Beziehungen, die für jedes STIX-Domänenobjekt (SDO) definiert sind
    Weitere Informationen finden Sie unter STIX 2.1-Referenz zu allgemeinen Beziehungen.
    Ziele Attack pattern oder Threat actor Ziele Identity
    Verwendung Threat actor Verwendet Attack pattern
    Attribut zu Threat actor Attribut zu Identity
    Angibt IndicatorGibt oder an Attack patternThreat actor
    Identität Threat actor Identität Identity

  4. Verwenden Sie die folgende Abbildung als Beispiel für die Verwendung des Beziehungs-Generators. In diesem Beispiel wird veranschaulicht, wie sie mithilfe des Beziehungs-Generators im Defender-Portal eine Verbindung zwischen einem Bedrohungsakteur und einem Angriffsmuster, einem Indikator und einer Identität herstellen.

    Screenshot: Beziehungs-Generator

  5. Schließen Sie die Beziehung ab, indem Sie allgemeine Eigenschaften konfigurieren.

Anzeigen Ihrer Threat Intelligence in der Verwaltungsschnittstelle

Verwenden Sie die Verwaltungsschnittstelle, um Ihre Threat Intelligence aus der Quelle zu sortieren, zu filtern und zu durchsuchen, aus der sie erfasst wurden, ohne eine Log Analytics-Abfrage schreiben zu müssen.

  1. Erweitern Sie auf der Verwaltungsoberfläche das Menü Was möchten Sie durchsuchen? .

  2. Wählen Sie einen STIX-Objekttyp aus, oder übernehmen Sie die Standardeinstellung Alle Objekttypen.

  3. Wählen Sie Bedingungen mithilfe logischer Operatoren aus.

  4. Wählen Sie das Objekt aus, zu dem Sie weitere Informationen anzeigen möchten.

In der folgenden Abbildung wurden mehrere Quellen für die Suche verwendet, indem sie in einer OR Gruppe platziert wurden, während mehrere Bedingungen mit dem AND Operator gruppiert wurden.

Screenshot: Or-Operator in Kombination mit mehreren AND-Bedingungen zum Durchsuchen von Threat Intelligence

Microsoft Sentinel zeigt in dieser Ansicht nur die aktuellste Version Ihres Threat Intel an. Weitere Informationen zum Aktualisieren von Objekten finden Sie unter Threat Intelligence-Lebenszyklus.

Ip- und Domänennamenindikatoren werden mit zusätzlichen GeoLocation Daten und WhoIs angereichert, sodass Sie mehr Kontext für alle Untersuchungen bereitstellen können, bei denen ein Indikator gefunden wird.

Im Folgenden sehen Sie ein Beispiel.

Screenshot: Seite

Wichtig

GeoLocation und WhoIs Anreicherung befinden sich derzeit in der Vorschauphase. Die ergänzenden Azure-Vorschaubedingungen enthalten weitere rechtliche Bestimmungen, die für Azure Features gelten, die sich in der Betaversion, Vorschauversion oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.

Markieren und Bearbeiten von Threat Intelligence

Das Markieren von Threat Intelligence ist eine schnelle Möglichkeit, Objekte zu gruppieren, um sie leichter zu finden. In der Regel können Sie Tags anwenden, die sich auf einen bestimmten Incident beziehen. Wenn ein Objekt jedoch Bedrohungen durch einen bestimmten bekannten Akteur oder eine bekannte Angriffskampagne darstellt, sollten Sie anstelle eines Tags eine Beziehung erstellen.

  1. Verwenden Sie die Verwaltungsschnittstelle, um Ihre Threat Intelligence zu sortieren, zu filtern und danach zu suchen.
  2. Nachdem Sie die Objekte gefunden haben, mit denen Sie arbeiten möchten, wählen Sie sie mehrfach aus, und wählen Sie ein oder mehrere Objekte desselben Typs aus.
  3. Wählen Sie Tags hinzufügen aus, und markieren Sie sie alle gleichzeitig mit einem oder mehreren Tags.
  4. Da tagging frei ist, empfiehlt es sich, Standardbenennungskonventionen für Tags in Ihrem organization zu erstellen.

Bearbeiten Sie Threat Intelligence jeweils ein Objekt nach dem anderen, unabhängig davon, ob sie direkt in Microsoft Sentinel oder aus Partnerquellen wie TIP- und TAXII-Servern erstellt wurde. Für Bedrohungen, die in der Verwaltungsschnittstelle erstellt wurden, können alle Felder bearbeitet werden. Für Bedrohungen, die von Partnerquellen erfasst werden, können nur bestimmte Felder bearbeitet werden, einschließlich Tags, Ablaufdatum, Zuverlässigkeit und Widerrufen. In beiden Richtungen wird nur die neueste Version des Objekts in der Verwaltungsschnittstelle angezeigt.

Weitere Informationen zur Aktualisierung von Threat Intel finden Sie unter Anzeigen Ihrer Threat Intelligence.

Suchen und Anzeigen von Threat Intelligence mit Abfragen

In diesem Verfahren wird beschrieben, wie Sie Ihre Threat Intelligence mit Abfragen anzeigen, unabhängig vom Quellfeed oder der Methode, die Sie für die Erfassung verwendet haben.

Bedrohungsindikatoren werden in der Microsoft Sentinel ThreatIntelligenceIndicator Tabelle gespeichert. Diese Tabelle ist die Grundlage für Threat Intelligence-Abfragen, die von anderen Microsoft Sentinel Features wie Analysen, Hunting und Arbeitsmappen ausgeführt werden.

  1. Wählen Sie für Microsoft Sentinel im Defender-PortalUntersuchung & Antwort>Hunting>Erweiterte Suche aus.

  2. Die ThreatIntelligenceIndicator Tabelle befindet sich unter der gruppe Microsoft Sentinel.

Screenshot: Option

Weitere Informationen finden Sie unter Anzeigen Ihrer Threat Intelligence.

Visualisieren Ihrer Threat Intelligence mit Arbeitsmappen

Verwenden Sie eine speziell erstellte Microsoft Sentinel Arbeitsmappe, um wichtige Informationen zu Ihrer Threat Intelligence in Microsoft Sentinel zu visualisieren und die Arbeitsmappe an Ihre geschäftlichen Anforderungen anzupassen.

Hier erfahren Sie, wie Sie die in Microsoft Sentinel bereitgestellte Threat Intelligence-Arbeitsmappe finden und wie Sie die Arbeitsmappe bearbeiten, um sie anzupassen.

  1. Wechseln Sie im Azure-Portal zu Microsoft Sentinel.

  2. Wählen Sie den Arbeitsbereich aus, in den Sie Bedrohungsindikatoren mithilfe eines Threat Intelligence-Datenconnectors importiert haben.

  3. Wählen Sie im Menü Microsoft Sentinel im Abschnitt Bedrohungsverwaltung die Option Arbeitsmappen aus.

  4. Suchen Sie die Arbeitsmappe mit dem Titel Threat Intelligence. Vergewissern Sie sich, dass in der ThreatIntelligenceIndicator Tabelle Daten enthalten sind.

    Screenshot, der zeigt, ob Sie über Daten verfügen.

  5. Wählen Sie Speichern und dann einen Azure Speicherort aus, an dem die Arbeitsmappe gespeichert werden soll. Dieser Schritt ist erforderlich, wenn Sie beabsichtigen, die Arbeitsmappe in irgendeiner Weise zu ändern und Ihre Änderungen zu speichern.

  6. Wählen Sie nun Gespeicherte Arbeitsmappe anzeigen aus, um die Arbeitsmappe zum Anzeigen und Bearbeiten zu öffnen.

  7. Nun sollten die von der Vorlage bereitgestellten Standarddiagramme angezeigt werden. Wählen Sie zum Ändern eines Diagramms oben auf der Seite Bearbeiten aus, um den Bearbeitungsmodus für die Arbeitsmappe zu starten.

  8. Fügen Sie ein neues Diagramm mit Bedrohungsindikatoren nach Bedrohungstyp hinzu. Scrollen Sie zum unteren Rand der Seite, und wählen Sie Abfrage hinzufügen aus.

  9. Fügen Sie dem Textfeld Protokollabfrage des Log Analytics-Arbeitsbereichs den folgenden Text hinzu:

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

    Weitere Informationen zu den folgenden Elementen, die im vorherigen Beispiel verwendet wurden, finden Sie in der Kusto-Dokumentation:

  10. Wählen Sie im Dropdownmenü Visualisierung die Option Balkendiagramm aus.

  11. Wählen Sie Bearbeitung abgeschlossen aus, und zeigen Sie das neue Diagramm für Ihre Arbeitsmappe an.

    Screenshot: Balkendiagramm für die Arbeitsmappe

Arbeitsmappen bieten leistungsstarke interaktive Dashboards, die Ihnen Einblicke in alle Aspekte von Microsoft Sentinel bieten. Sie können viele Aufgaben mit Arbeitsmappen ausführen, und die bereitgestellten Vorlagen sind ein guter Ausgangspunkt. Passen Sie die Vorlagen an, oder erstellen Sie neue Dashboards, indem Sie viele Datenquellen kombinieren, sodass Sie Ihre Daten auf einzigartige Weise visualisieren können.

Microsoft Sentinel Arbeitsmappen basieren auf Azure Monitor-Arbeitsmappen, sodass eine umfangreiche Dokumentation und viele weitere Vorlagen verfügbar sind. Weitere Informationen finden Sie unter Erstellen interaktiver Berichte mit Azure Monitor-Arbeitsmappen.

Es gibt auch eine umfangreiche Ressource für Azure Monitor-Arbeitsmappen auf GitHub, in der Sie weitere Vorlagen herunterladen und Ihre eigenen Vorlagen beitragen können.

Exportieren von Threat Intelligence

mit Microsoft Sentinel können Sie Threat Intelligence an andere Ziele exportieren. Wenn Sie beispielsweise Threat Intelligence mithilfe des Datenconnectors Threat Intelligence – TAXII erfasst haben, können Sie Threat Intelligence zurück auf die Quellplattform exportieren, um bidirektionale Intelligenz zu teilen. Das Exportfeature reduziert den Bedarf an manuellen Prozessen oder benutzerdefinierten Playbooks zum Verteilen von Threat Intelligence.

Wichtig

Berücksichtigen Sie sorgfältig sowohl die Von Ihnen exportierten Threat Intelligence-Daten als auch deren Ziel, die sich möglicherweise in einer anderen geografischen oder regulatorischen Region befinden. Der Datenexport kann nicht rückgängig werden. Stellen Sie sicher, dass Sie besitzer der Daten sind oder über eine ordnungsgemäße Autorisierung verfügen, bevor Sie Threat Intelligence exportieren oder an Dritte weitergeben.

So exportieren Sie Threat Intelligence:

  1. Wählen Sie für Microsoft Sentinel im Defender-PortalThreat Intelligence > Intel-Verwaltung aus. Wählen Sie für Microsoft Sentinel im Azure-PortalThreat Management > Threat Intelligence aus.

  2. Wählen Sie mindestens ein STIX-Objekt aus, und klicken Sie dann auf der Symbolleiste oben auf der Seite auf Exportieren . Zum Beispiel:

  3. Wählen Sie im Bereich Exportieren in der Dropdownliste EXPORT TI den Server aus, auf den Sie Ihre Threat Intelligence exportieren möchten.

    Wenn kein Server aufgeführt ist, müssen Sie zuerst einen Server für den Export konfigurieren, wie unter Aktivieren des Datenconnectors "Threat Intelligence – TAXII Export" beschrieben. Microsoft Sentinel unterstützt derzeit nur den Export auf TAXII 2.1-basierte Plattformen.

  4. Klicken Sie auf Exportieren.

    Wichtig

    Wenn Sie Threat Intelligence-Objekte exportieren, führt das System einen Massenvorgang aus. Es besteht ein bekanntes Problem, bei dem dieser Massenvorgang manchmal fehlschlägt. In diesem Fall wird beim Öffnen des Seitenbereichs Exportieren eine Warnung angezeigt, in der Sie aufgefordert werden, die fehlgeschlagene Aktion aus der Verlaufsansicht für Massenvorgänge zu entfernen. Das System hält nachfolgende Vorgänge an, bis Sie den fehlgeschlagenen Vorgang entfernen.

So greifen Sie auf den Exportverlauf zu:

  1. Navigieren Sie entweder auf der Intel-Verwaltung (Defender-Portal) oder auf der Seite Threat Intelligence (Azure-Portal) zum exportierten Element.
  2. Wählen Sie in der Spalte Exporte die Option Exportverlauf anzeigen aus, um den Exportverlauf für dieses Element anzuzeigen.

Verwandte Inhalte

Weitere Informationen finden Sie in den folgenden Artikeln:

Weitere Informationen zu KQL finden Sie unter übersicht über Kusto-Abfragesprache (KQL).

Weitere Ressourcen:

  • Last updated on