Comprendere l'intelligence sulle minacce in Microsoft Sentinel
Microsoft Sentinel è una soluzione SIEM (gestione delle informazioni e degli eventi di sicurezza) nativa del cloud, in grado di estrarre rapidamente intelligence sulle minacce da numerose fonti.
Importante
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Introduzione all'intelligence sulle minacce
L'intelligence sulle minacce informatiche (CTI) è l'informazione che descrive minacce esistenti o potenziali per sistemi e utenti. Questa intelligence può manifestarsi in molteplici forme, come report scritti che dettagliano le motivazioni, le infrastrutture e le tecniche di specifici attori della minaccia. Può includere anche osservazioni specifiche su indirizzi IP, domini, hash dei file e altri artefatti associati a minacce informatiche note.
Le organizzazioni utilizzano la CTI per fornire un contesto essenziale alle attività insolite, consentendo al personale di sicurezza di agire rapidamente per proteggere persone, informazioni e risorse. È possibile ottenere CTI da molte fonti, come:
- Flussi di dati open-source.
- Comunità di condivisione di intelligence sulle minacce.
- Flussi di intelligence commerciale.
- Intelligence locale raccolta nel corso di indagini di sicurezza all'interno di un'organizzazione.
Per soluzioni SIEM come Microsoft Sentinel, le forme più comuni di CTI sono gli indicatori di minaccia, noti anche come indicatori di compromissione (IOC) o indicatori di attacco. Gli indicatori delle minacce sono dati che associano artefatti osservati, ad esempio URL, hash di file o indirizzi IP, ad attività di minaccia note come phishing, botnet o malware. Questa forma di intelligence sulle minacce è spesso definita intelligence tattica sulle minacce. Questa forma di intelligence sulle minacce viene applicata su larga scala ai prodotti di sicurezza e all'automazione per rilevare potenziali minacce per un'organizzazione e proteggerla da esse.
Utilizzare indicatori di minaccia in Microsoft Sentinel per rilevare attività malevole osservata nell'ambiente e fornire contesto agli investigatori della sicurezza per supportare le decisioni di risposta.
È possibile integrare l'intelligence sulle minacce in Microsoft Sentinel attraverso le seguenti attività:
- Importare l'intelligence sulle minacce in Microsoft Sentinel abilitando i connettori dati per diverse piattaforme e feed di intelligence sulle minacce.
- Visualizzare e gestire l'intelligence sulle minacce importata in log e nel riquadro intelligence sulle minacce di Microsoft Sentinel.
- Rilevare le minacce e generare avvisi di sicurezza e eventi imprevisti usando i modelli di regole di analisi predefiniti basati sull'intelligence sulle minacce importata.
- Visualizza informazioni chiave relative all'intelligence sulle minacce importata in Microsoft Sentinel usando la cartella di lavoro Intelligence sulle minacce.
Microsoft arricchisce tutti gli indicatori di intelligence sulle minacce importati con dati di GeoLocation e WhoIs, che vengono visualizzati insieme ad altre informazioni sugli indicatori.
L'intelligence sulle minacce fornisce anche un contesto utile all'interno di altre esperienze di Microsoft Sentinel, come la caccia e i notebook. Per ulteriori informazioni, vedere Notebook Jupyter in Microsoft Sentinel e Esercitazione: Iniziare con i notebook Jupyter e MSTICPy in Microsoft Sentinel.
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.
Importare l'intelligence sulle minacce con i connettori dati
Gli indicatori di minaccia vengono importati utilizzando connettori dati, proprio come tutti gli altri dati sugli eventi in Microsoft Sentinel. Ecco i connettori dati in Microsoft Sentinel forniti specificamente per gli indicatori di minaccia:
- Connettore dati di Microsoft Defender Threat Intelligence: utilizzato per importare gli indicatori di minaccia di Microsoft.
- Connettore dati di Premium Defender Threat Intelligence: utilizzato per importare il feed di intelligence sulle minacce premium di Defender.
- Threat Intelligence - TAXII: utilizzato per i feed STIX/TAXII standard del settore.
- API degli indicatori di caricamento di intelligence sulle minacce: utilizzato per feed di intelligence sulle minacce integrati e curati utilizzando un'API REST per la connessione.
- Connettore dati di Threat Intelligence Platform (TIP): utilizzato per collegare feed di intelligence sulle minacce utilizzando un'API REST, ma è in fase di dismissione.
Utilizzare qualsiasi combinazione di questi connettori dati a seconda della provenienza degli indicatori di minaccia nella propria organizzazione. Tutti e tre questi connettori sono disponibili nell'Hub contenuti come parte della soluzione di intelligence sulle minacce. Per ulteriori informazioni su questa soluzione, vedere la voce Intelligence sulle minacce di Azure Marketplace.
Inoltre, consultare questo catalogo di integrazioni di intelligence sulle minacce disponibili con Microsoft Sentinel.
Aggiungere indicatori di minaccia a Microsoft Sentinel con il connettore dati di Defender Threat Intelligence
Importare IOC pubblici, open-source e ad alta fedeltà generati da Defender Threat Intelligence nella propria area di lavoro di Microsoft Sentinel utilizzando i connettori dati di Defender Threat Intelligence. Con una semplice configurazione con un clic, utilizzare l'intelligence sulle minacce dai connettori dati standard e premium di Defender Threat Intelligence per monitorare, avvisare e indagare.
La regola di analisi delle minacce di Defender Threat Intelligence gratuita fornisce un campione di ciò che il connettore dati premium di Defender Threat Intelligence offre. Tuttavia, con le analisi corrispondenti, solo gli indicatori che corrispondono alla regola vengono importati nell'ambiente. Il connettore dati di Defender Threat Intelligence Premium fornisce intelligence sulle minacce di livello superiore e consente analisi su più fonti di dati con maggiore flessibilità e comprensione di tale intelligence. Ecco una tabella che mostra cosa aspettarsi quando si acquisisce e si abilita il connettore dati di Defender Threat Intelligence Premium.
| Gratuito | Premium |
|---|---|
| IOC pubblici | |
| Intelligence open-source (OSINT) | |
| IOC Microsoft | |
| Microsoft-enriched OSINT |
Per altre informazioni, vedere gli articoli seguenti:
- Per scoprire come ottenere una licenza premium e esplorare tutte le differenze tra la versione standard e quella premium, consultare la pagina del prodotto Microsoft Defender Threat Intelligence.
- Per scoprire di più sull’esperienza gratuita di Defender Threat Intelligence, consultare il documento Introduzione all’esperienza gratuita di Defender Threat Intelligence per Microsoft Defender XDR.
- Per sapere come abilitare i connettori dei dati di Defender Threat Intelligence e di Defender Threat Intelligence Premium, vedere Abilitare il connettore dei dati di Defender Threat Intelligence.
- Per informazioni sulle analisi di corrispondenza, consultare Usare le analisi di corrispondenza per rilevare le minacce.
Aggiungere indicatori di minaccia a Microsoft Sentinel con il connettore dei dati dell’API di caricamento degli indicatori di Threat Intelligence
Molte organizzazioni usano soluzioni della piattaforma di intelligence sulle minacce (TIP) per aggregare feed di indicatori di minaccia da varie origini. Dal feed aggregato, i dati vengono curati per essere applicati a soluzioni di sicurezza come dispositivi di rete, soluzioni EDR/XDR o SIEM come Microsoft Sentinel. Usando il connettore dei dati dell’API di caricamento degli indicatori di Threat Intelligence, è possibile importare indicatori di minaccia in Microsoft Sentinel.
Questo connettore dati utilizza una nuova API e offre i seguenti miglioramenti:
- I campi degli indicatori di minaccia sono basati sul formato standardizzato STIX.
- L'applicazione Microsoft Entra richiede solo il ruolo di collaboratore di Microsoft Sentinel.
- Il punto di accesso delle richieste API è limitato al livello di area di lavoro. Le autorizzazioni richieste per l'applicazione Microsoft Entra consentono un'assegnazione granulare a livello di area di lavoro.
Per altre informazioni, vedere Connettere la piattaforma di intelligence sulle minacce usando l'API degli indicatori di caricamento.
Aggiungere indicatori sulle minacce a Microsoft Sentinel con il connettore dati per Piattaforme di intelligence sulle minacce
Proprio come il connettore dati API di caricamento indicatori esistente, il connettore dati della piattaforma di intelligence sulle minacce utilizza un'API che consente alla piattaforma di intelligence sulle minacce (TIP) o alla soluzione personalizzata di inviare indicatori in Microsoft Sentinel. Tuttavia, questo connettore dati è ora in fase di deprecazione. Si consiglia di sfruttare le ottimizzazioni offerte dall'API di caricamento indicatori.
Il connettore TIP funziona con l'API tiIndicators di Microsoft Graph Security. Può anche essere utilizzato con qualsiasi TIP personalizzata che comunica con l'API per inviare indicatori a Microsoft Sentinel (e ad altre soluzioni di sicurezza Microsoft come Defender XDR).
Per ulteriori informazioni sulle soluzioni TIP integrate con Microsoft Sentinel, vedere Prodotti delle piattaforme di intelligence sulle minacce integrati. Per altre informazioni, vedere Connettere la piattaforma di intelligence sulle minacce a Microsoft Sentinel.
Aggiungere indicatori di minaccia a Microsoft Sentinel utilizzando il connettore dati Threat Intelligence - TAXII
Lo standard di settore più ampiamente adottato per la trasmissione dell'intelligence sulle minacce è una combinazione del formato dati STIX e del protocollo TAXII. Se l'organizzazione ottiene indicatori di minaccia da soluzioni che supportano la versione corrente di STIX/TAXII (2.0 o 2.1), è possibile usare il connettore dati Intelligence per le minacce - TAXII per inserire gli indicatori di minaccia in Microsoft Sentinel. Il connettore dati Threat Intelligence - TAXII consente a un client TAXII di Microsoft Sentinel di importare l'intelligence sulle minacce dai server TAXII 2.x.
Per importare indicatori di minacce formattati in STIX in Microsoft Sentinel da un server TAXII:
- Ottenere la radice dell'API del server TAXII e l'ID della raccolta.
- Abilitare il connettore dati Intelligence sulle minacce - TAXII in Microsoft Sentinel.
Per ulteriori informazioni, vedere Connettere Microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII.
Visualizzare e gestire i tuoi indicatori di minaccia
Visualizzare e gestire gli indicatori nella pagina Intelligence sulle minacce. Ordinare, filtrare e cercare gli indicatori di minaccia importati senza nemmeno scrivere una query di Log Analytics.
Due dei compiti più comuni relativi all'intelligence sulle minacce sono l'etichettatura degli indicatori e la creazione di nuovi indicatori legati alle indagini sulla sicurezza. Creare o modificare gli indicatori di minaccia direttamente nella pagina Intelligence sulle minacce quando è necessario gestirne rapidamente solo alcuni.
L'assegnazione di tag agli indicatori di minaccia è un modo semplice per raggrupparli per renderli più facili da trovare. In genere, è possibile applicare tag a un indicatore correlato a un evento imprevisto specifico oppure se l'indicatore rappresenta minacce provenienti da un attore noto o da una campagna di attacco ben nota. Dopo aver cercato gli indicatori con cui si desidera lavorare, è possibile etichettarli singolarmente. È possibile selezionare più indicatori e etichettarli tutti in una volta con uno o più tag. Poiché l'etichettatura è libera, si consiglia di creare convenzioni di denominazione standard per i tag degli indicatori di minaccia.
Convalidare gli indicatori e visualizzare gli indicatori sulle minacce importati con successo dall'area di lavoro di Log Analytics abilitato per Microsoft Sentinel. La tabella ThreatIntelligenceIndicator sotto lo schema di Microsoft Sentinel è dove sono memorizzati tutti gli indicatori sulle minacce di Microsoft Sentinel. Questa tabella è la base per le query di intelligence sulle minacce eseguite da altre funzionalità di Microsoft Sentinel, come analisi e cartelle di lavoro.
Ecco un esempio di visualizzazione di una query di base per gli indicatori sulle minacce.
Gli indicatori di intelligence sulle minacce vengono importati nella tabella ThreatIntelligenceIndicator dell'area di lavoro Log Analytics come sola lettura. Ogni volta che un indicatore viene aggiornato, viene creata una nuova voce nella tabella ThreatIntelligenceIndicator. Solo l'indicatore più recente appare nella pagina Intelligence sulle minacce. Microsoft Sentinel deduplica gli indicatori basandosi sulle proprietà IndicatorId e SourceSystem e seleziona l'indicatore con il TimeGenerated[UTC] più recente.
La proprietà IndicatorId viene generata utilizzando l'ID dell'indicatore STIX. Quando gli indicatori vengono importati o creati da fonti non STIX, l'IndicatorId viene generato dalla fonte e dal modello dell'indicatore.
Per ulteriori informazioni su come visualizzare e gestire gli indicatori di minacce, consultare Usare con gli indicatori di minacce in Microsoft Sentinel.
Visualizzare i dati di arricchimento GeoLocation e WhoIs (anteprima pubblica)
Microsoft arricchisce gli indicatori IP e di dominio con dati aggiuntivi di GeoLocation e WhoIs per fornire ulteriore contesto per le indagini in cui viene trovato l'IOC selezionato.
Visualizzare i dati di GeoLocation e WhoIs nella scheda Intelligence sulle minacce per i tipi di indicatori di minacce importati in Microsoft Sentinel.
Ad esempio, usare GeoLocation i dati per trovare informazioni come l'organizzazione o il paese/area geografica per un indicatore IP. Utilizzare i dati WhoIs per trovare informazioni come il registrar e la data di creazione del record di un indicatore di dominio.
Rilevare minacce con l'analisi degli indicatori di minacce
Il caso d'uso più importante per gli indicatori di minacce nelle soluzioni SIEM come Microsoft Sentinel è quello di alimentare le regole di analisi per la rilevazione delle minacce. Queste regole basate sugli indicatori confrontano gli eventi grezzi provenienti dalle sorgenti di dati con gli indicatori di minacce per rilevare minacce alla sicurezza nella propria organizzazione. In Microsoft Sentinel Analytics, è possibile creare regole di analisi che vengono eseguite secondo un programma e generano avvisi di sicurezza. Le regole sono guidate da query. Insieme alle configurazioni, determinano la frequenza di esecuzione della regola, il tipo di risultati delle query che devono generare avvisi di sicurezza e incidenti e, facoltativamente, quando attivare una risposta automatizzata.
Sebbene sia sempre possibile creare nuove regole di analisi da zero, Microsoft Sentinel fornisce un insieme di modelli di regole predefiniti, creati dagli ingegneri della sicurezza Microsoft, per sfruttare gli indicatori di minacce. Questi modelli si basano sul tipo di indicatori di minacce (dominio, email, hash di file, indirizzo IP o URL) e sugli eventi delle sorgenti di dati che si desidera abbinare. Ogni modello elenca le sorgenti richieste necessarie per il funzionamento della regola. Queste informazioni facilitano la determinazione se gli eventi necessari sono già importati in Microsoft Sentinel.
Per impostazione predefinita, quando queste regole predefinite vengono attivate, viene creato un avviso. In Microsoft Sentinel, gli avvisi generati dalle regole di analisi generano anche eventi imprevisti relativi alla sicurezza. Nel menu di Microsoft Sentinel, in Gestione delle minacce, selezionare Eventi imprevisti. I team delle operazioni di sicurezza esaminano e analizzano gli eventi imprevisti per determinare le azioni di risposta appropriate. Per altre informazioni, vedere Esercitazione: Analizzare gli eventi imprevisti con Microsoft Sentinel.
Per maggiori informazioni sull'utilizzo degli indicatori di minacce nelle regole di analisi, vedere Usare l'intelligence sulle minacce per rilevare minacce.
Microsoft fornisce accesso alla sua intelligence sulle minacce tramite la regola di analisi Defender Threat Intelligence. Per ulteriori informazioni su come sfruttare questa regola, che genera avvisi e incidenti ad alta fedeltà, vedere Usare l'analisi abbinata per rilevare minacce.
Le cartelle di lavoro forniscono informazioni dettagliate sull'intelligence sulle minacce
Le cartelle di lavoro offrono dashboard interattivi potenti che contengono informazioni dettagliate su tutti gli aspetti di Microsoft Sentinel, e l'intelligence sulle minacce non fa eccezione. Usare la cartella di lavoro integrata per l'intelligence sulle minacce per visualizzare le informazioni chiave riguardanti la tua intelligence sulle minacce. È possibile personalizzare facilmente la cartella di lavoro in base alle esigenze aziendali. Creare nuovi dashboard combinando molte fonti di dati per aiutare a visualizzare i dati in modi unici.
Poiché le cartelle di lavoro di Microsoft Sentinel sono basate sulle cartelle di lavoro di Azure Monitor, sono già disponibili documentazione estesa e molti altri modelli. Per ulteriori informazioni, vedere Creare report interattivi con le cartelle di lavoro di Azure Monitor.
È anche disponibile una risorsa dettagliata di cartelle di lavoro di Monitoraggio di Azure in GitHub, dove è possibile scaricare altri modelli e contribuire con i propri modelli.
Per ulteriori informazioni sull’uso e la personalizzazione della cartella di lavoro per l'intelligence sulle minacce, vedere Usare gli indicatori di minaccia in Microsoft Sentinel.
Contenuto correlato
In questo articolo, sono state esplorate le capacità di intelligence sulle minacce di Microsoft Sentinel, incluso il riquadro Intelligence sulle minacce. Per indicazioni pratiche sull'uso delle capacità di intelligence sulle minacce di Microsoft Sentinel, consultare i seguenti articoli:
- Connettere Microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII.
- Connettere piattaforme di intelligence sulle minacce a Microsoft Sentinel.
- Vedere quali piattaforme TIP, feed TAXII e arricchimenti possono essere facilmente integrati con Microsoft Sentinel.
- Lavorare con gli indicatori di minacce in tutta l'esperienza di Microsoft Sentinel.
- Rilevare le minacce con regole di analisi predefinite o personalizzate in Microsoft Sentinel.
- Analizzare gli eventi imprevisti in Microsoft Sentinel.