Använda matchande analys för att identifiera hot

Dra nytta av hotinformation som produceras av Microsoft för att generera aviseringar och incidenter med hög återgivning med Microsoft Defender Threat Intelligence Analytics-regeln . Den här inbyggda regeln i Microsoft Sentinel matchar indikatorer med CEF-loggar (Common Event Format), Windows DNS-händelser med domän- och IPv4-hotindikatorer, syslog-data med mera.

Förutsättningar

Du måste installera en eller flera av de dataanslutningar som stöds för att skapa aviseringar och incidenter med hög återgivning. En premium-Microsoft Defender Hotinformation-licens krävs inte. Installera lämpliga lösningar från innehållshubben för att ansluta dessa datakällor:

• Common Event Format (CEF) via äldre agent
• Windows DNS via äldre agent (förhandsversion)
• Syslog via äldre agent
• Microsoft 365 (tidigare Office 365)
• Azure-aktivitetsloggar
• Windows DNS via AMA
• ASIM-nätverkssessioner

Beroende på din datakälla kan du till exempel använda följande lösningar och dataanslutningar:

Konfigurera matchande analysregel

Matchande analys konfigureras när du aktiverar Microsoft Defender Threat Intelligence Analytics-regeln .

1. Under avsnittet Konfiguration väljer du menyn Analys .

2. Välj fliken Regelmallar .

3. I sökfönstret anger du hotinformation.

4. Välj regelmallen Microsoft Defender Threat Intelligence Analytics .

5. Välj Skapa regel. Regelinformationen är skrivskyddad och standardstatusen för regeln är aktiverad.

6. Välj Granska>Skapa.

Datakällor och indikatorer

Microsoft Defender Hotinformation Analytics matchar dina loggar med domän-, IP- och URL-indikatorer på följande sätt:

• sv-SE: CEF-loggar som matas in i Log Analytics-tabellen CommonSecurityLog matchar URL- och domänindikatorer om de är angivna i fältet RequestURL, och IPv4-indikatorer i fältet DestinationIP.
• Windows DNS-loggar, där SubType == "LookupQuery" inmatade i DnsEvents tabellen matchar domänindikatorer i Name fältet och IPv4-indikatorer i IPAddresses fältet.
• Syslog-händelser, där Facility == "cron" inmatade i Syslog tabellen matchar domän- och IPv4-indikatorer direkt från fältet SyslogMessage .
• Office-aktivitetsloggar som matas in i OfficeActivity tabellen matchar IPv4-indikatorer direkt från fältet ClientIP .
• Azure-aktivitetsloggar som matas in i AzureActivity tabellen matchar IPv4-indikatorer direkt från fältet CallerIpAddress .
• ASIM DNS-loggar som matas in i ASimDnsActivityLogs tabellen matchar domänindikatorer som finns i DnsQuery fältet och IPv4-indikatorer i DnsResponseName fältet.
• ASIM-nätverkssessioner som matas in i ASimNetworkSessionLogs tabellen matchar IPv4-indikatorer om de fylls i i ett eller flera av följande fält: DstIpAddr, DstNatIpAddr, SrcNatIpAddr, SrcIpAddr, DvcIpAddr.

Sortera en incident som genereras av matchande analys

Om Microsofts analys hittar en matchning grupperas alla aviseringar som genereras i incidenter.

Använd följande steg för att gå igenom de incidenter som genereras av Microsoft Defender Threat Intelligence Analytics-regeln :

1. På Microsoft Sentinel-arbetsytan där du har aktiverat Microsoft Defender Threat Intelligence Analytics-regeln väljer du Incidenter och söker efter Microsoft Defender Threat Intelligence Analytics.

   Alla incidenter som hittas visas i rutnätet.

2. Välj Visa fullständig information för att visa entiteter och annan information om incidenten, till exempel specifika aviseringar.

   Här följer ett exempel.

   

3. Observera allvarlighetsgraden som tilldelats aviseringarna och incidenten. Beroende på hur indikatorn matchas tilldelas en lämplig allvarlighetsgrad till en avisering från Informational till High. Om indikatorn till exempel matchas med brandväggsloggar som tillät trafiken genereras en varning med hög allvarlighetsgrad. Om samma indikator matchades med brandväggsloggar som blockerade trafiken är den genererade aviseringen låg eller medelhög.

   Aviseringar grupperas sedan per observerbar bas av indikatorn. Till exempel grupperas alla aviseringar som genereras under en tidsperiod på 24 timmar som matchar domänen contoso.com i en enskild incident med en allvarlighetsgrad tilldelad baserat på den högsta allvarlighetsgraden för aviseringar.

4. Observera indikatorinformationen. När en matchning hittas publiceras indikatorn i Log Analytics-tabellen ThreatIntelligenceIndicators och den visas på sidan Hotinformation . För alla indikatorer som publiceras från den här regeln definieras källan som Microsoft Threat Intelligence Analytics.

Här är ett exempel på ThreatIntelligenceIndicators tabellen.

Här är ett exempel på att söka efter indikatorerna i hanteringsgränssnittet.

Hämta mer kontext från Microsoft Defender Hotinformation

Tillsammans med aviseringar och incidenter med hög återgivning innehåller vissa Microsoft Defender Hotinformation indikatorer en länk till en referensartikel i Intel Explorer.

Mer information finns i Söka och pivotera med Intel Explorer.

Relaterat innehåll

I den här artikeln har du lärt dig hur du ansluter hotinformation som skapats av Microsoft för att generera aviseringar och incidenter. Mer information om hotinformation i Microsoft Sentinel finns i följande artiklar:

• Arbeta med hotindikatorer i Microsoft Sentinel.
• Anslut Microsoft Sentinel till STIX/TAXII-hotinformationsflöden.
• Ansluta plattformar för hotinformation till Microsoft Sentinel.
• Se vilka TIP-plattformar, TAXII-feeds och berikningar som enkelt kan integreras med Microsoft Sentinel.