Implementace Microsoft Defender Threat Intelligence pro analýzu hrozeb

Implementace Microsoft Defender Threat Intelligence pro analýzu hrozeb

06.01.2025

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při implementaci a používání Microsoft Defender Threat Intelligence (MDTI) ke zlepšení analýzy hrozeb a zabezpečení jejich organizací. Ve stále propracovanějším a vyvíjejícím se prostředí kybernetických hrozeb je pro efektivní detekci, vyšetřování a reakci na útoky zásadní mít přístup k aktuálním informacím o hrozbách, které lze uplatnit v praxi. MDTI poskytuje robustní úložiště dat hrozeb, což bezpečnostním týmům umožňuje lépe porozumět protivníkům a jejich taktice [1].

Úvod

Threat Intelligence (IT) je znalost založená na důkazech, včetně kontextu, mechanismů, indikátorů, důsledků a použitelných rad o existující nebo nově vznikající hrozbě, které lze použít k informování při rozhodování o reakci na incidenty. Bez efektivního zpravodajství o hrozbách fungují bezpečnostní týmy v nevýhodě a reagují na útoky spíše než předvídají a předcházejí jim. IT může pomoci identifikovat indikátory kompromisu (IoC), pochopit motivace útočníků a proaktivně posílit obranu [2].

Microsoft Defender Threat Intelligence (MDTI) je komplexní platforma, která konsoliduje rozsáhlé zpravodajství o hrozbách společnosti Microsoft shromážděné z miliard signálů po celém světě. Poskytuje hluboký pohled na protivníky, zákeřnou infrastrukturu a zranitelnosti a umožňuje bezpečnostním profesionálům zefektivnit třídění, reakci na incidenty, vyhledávání hrozeb a správu zranitelnosti. MDTI se integruje s dalšími řešeními Microsoft Defender a Microsoft Sentinel a poskytuje jednotné zobrazení a možnosti automatizace pro odolnější bezpečnostní ekosystém [3].

Tato praktická příručka pokryje předpoklady, koncepty hrozeb, jak používat portály a rozhraní API MDTI, jak se integrovat s jinými řešeními společnosti Microsoft, jak provádět analýzu hrozeb, interpretovat indikátory kompromisu (IoC) a používat osvědčené postupy. Budou poskytnuty podrobné pokyny, praktické příklady a stručná vysvětlení, aby čtenář mohl tyto funkce implementovat, testovat a ověřovat. Kromě toho budou probrány bezpečnostní tipy, kontroly souladu a osvědčené postupy, aby bylo zajištěno, že informace o hrozbách budou využívány autonomně, profesionálně a spolehlivě.

Proč je Microsoft Defender Threat Intelligence zásadní pro analýzu hrozeb?

  • Komplexní viditelnost hrozeb: Přístup k jedné z největších databází informací o hrozbách na světě, která pokrývá širokou škálu IoC, infrastrukturu pro útočníky a škodlivé kampaně.
  • Hloubkový kontext: Poskytuje bohatý kontext o hrozbách, včetně informací o aktérech hrozeb, taktikách, technikách a postupech (TTP) a souvisejících zranitelnostech.
  • Integrace s ekosystémem Microsoft: Nativní integrace s Microsoft Defender XDR, Microsoft Sentinel a dalšími řešeními umožňující koordinovanou a automatizovanou odezvu.
  • Accelerated Incident Response: Pomáhá bezpečnostním týmům rychle identifikovat hlavní příčinu incidentů, stanovit priority hrozeb a implementovat účinná protiopatření.
  • Proaktivní lov hrozeb: Umožňuje lovcům hrozeb identifikovat škodlivou aktivitu v jejich prostředí dříve, než způsobí značné škody.
  • Vylepšená správa zranitelnosti: Poskytuje přehled o zranitelnostech zneužitých útočníky a umožňuje organizacím upřednostnit nápravu.

Předpoklady

Chcete-li používat Microsoft Defender Threat Intelligence, budete potřebovat následující položky:

  1. Microsoft 365 E5 nebo Defender for Cloud Licensing: MDTI je součástí některých licencí Microsoft 365 E5 a jako součást Microsoft Defender for Cloud, nebo jej lze zakoupit samostatně [4].
  2. Microsoft Defender Portal Access: Účet s příslušnými oprávněními pro přístup k portálu Microsoft Defender (https://security.microsoft.com).
  3. Microsoft Defender Threat Intelligence Portal Access: Specializovaný portál pro zkoumání dat MDTI (https://ti.defender.microsoft.com).
  4. Základní znalostio Kybernetická bezpečnost: Znalost konceptů hrozeb, IoC a bezpečnostních operací.

Krok za krokem: Implementace a používání Microsoft Defender Threat Intelligence

Pojďme prozkoumat portál MDTI, hledat IoC a integrovat se s Microsoft Sentinel.

1. Přístup k portálu Microsoft Defender Threat Intelligence Portal

Portál MDTI je ústředním bodem pro přístup k informacím o hrozbách a jejich zkoumání.

  1. Otevřete prohlížeč a přejděte na portál Microsoft Defender Threat Intelligence: https://ti.defender.microsoft.com.
  2. Přihlaste se pomocí svého účtu Microsoft, který má potřebné licence a oprávnění.

  3. Prozkoumejte domovskou stránku, která obvykle zobrazuje řídicí panel s nejnovějšími zprávami o hrozbách, výzkumnými články a doporučenými IoC.

    • Vysvětlení: Portál poskytuje intuitivní rozhraní pro procházení rozsáhlých souborů dat hrozeb, včetně výzkumných článků, indikátorů kompromisu, dat infrastruktury a dalších.

2. Výzkum a analýza indikátorů kompromisu (IoC)

Můžete vyhledávat konkrétní IoC (IP adresy, domény, hash souborů), abyste získali kontext a přehled.

  1. Na portálu MDTI použijte vyhledávací lištu nahoře k zadání IoC. Vyhledejte například podezřelou IP adresu (např. 192.0.2.1).

  2. Stránka s výsledky zobrazí podrobné informace o IoC, včetně:

    • Pověst: Zda je IoC známo, že je škodlivý nebo podezřelý.
    • Asociace: Jiné IoC, domény, hash nebo certifikáty spojené s tímto IoC.
    • Historie: Změny v infrastruktuře nebo chování IoC v průběhu času.
    • Výzkumné články: Články MDTI, které zmiňují tento IoC a poskytují kontext o útočných kampaních nebo aktérech hrozeb.

    • Služby a porty: Které služby a porty jsou na této IP otevřené nebo sledované.

    • Vysvětlení: Analýza IoC v MDTI umožňuje bezpečnostním analytikům rychle porozumět povaze hrozby, její infrastruktuře a jak souvisí s jinou škodlivou aktivitou. To je zásadní při třídění a vyšetřování incidentů.

3. Zkoumání výzkumných prací a hrozeb

MDTI publikuje podrobné výzkumné články o aktérech hrozeb, jejich TTP a konkrétních kampaních.

  1. V levém navigačním panelu portálu MDTI vyberte Research Articles nebo Threat Actors.
  2. Procházejte články a vyhledejte informace o hrozbách relevantní pro vaši organizaci nebo odvětví.

  3. Každý článek obsahuje podrobnou analýzu, včetně IoC, TTP, doporučení ke zmírnění a odkazů na další zdroje.

    • Vysvětlení: Tyto články jsou cenným zdrojem strategických a taktických zpravodajských informací, které pomáhají bezpečnostním týmům porozumět prostředí hrozeb a rozvíjet proaktivní obranu.

4. Integrace MDTI s Microsoft Sentinel

Integrace s Microsoft Sentinel vám umožňuje ingestovat data MDTI přímo do vašeho SIEM a SOAR, korelovat je s dalšími protokoly zabezpečení a automatizovat reakce.

  1. Otevřete Azure Portal a přejděte na Microsoft Sentinel.
  2. V levém navigačním panelu vyberte Datové konektory.
  3. Do vyhledávacího pole zadejte „Microsoft Defender Threat Intelligence“.
  4. Vyberte datový konektor Microsoft Defender Threat Intelligence a klikněte na Otevřít stránku konektoru.

  5. Klikněte na Připojit.

    • Vysvětlení: Toto připojení umožňuje Sentinelu automaticky přijímat data IoC a další informace o hrozbách z MDTI, která lze použít v pravidlech detekce, seznamech sledování a příručkách automatizace.

5. Použití dat MDTI v pravidlech detekce Sentinel Azure

Pomocí dat MDTI v aplikaci Sentinel můžete vytvořit vlastní pravidla detekce k identifikaci škodlivé aktivity.

  1. V Azure Sentinel přejděte na Analytics > Pravidla plánování.
  2. Klikněte na +Vytvořit > Pravidlo naplánovaného dotazu.

  3. Nakonfigurujte pravidlo a v sekci Query Logic můžete použít data MDTI. Chcete-li například zjistit, zda některá IP adresa ve vašich protokolech brány firewall komunikuje se škodlivou IP známou MDTI: ```kusto let maliciousIPs = ThreatIntelligenceIndicator | kde Active == true a NetworkIP != "" | shrnout seznam make_list(NetworkIP) podle ThreatType;

    CommonSecurityLog| kde DestinationIP in (maliciousIPs) | sumarizovat count() podle DestinationIP, DeviceVendor, DeviceProduct ``` * Vysvětlení: Tento dotaz Kusto prohledává vaše protokoly zabezpečení (např. firewall) a hledá komunikaci s IP adresami označenými jako škodlivé podle MDTI hrozeb. Dotaz můžete upřesnit tak, aby zahrnoval další typy IoC nebo zdroje protokolů.

Validace a testování

Je důležité ověřit, že MDTI poskytuje relevantní informace o hrozbách a že integrace fungují.

1. Ověření příjmu dat v Azure Sentinel

  1. Scénář: Po připojení MDTI k Azure Sentinel ověřte, že jsou zpracovávána data o hrozbách.
  2. Očekávaná akce: Data MDTI by se měla objevit v tabulce ThreatIntelligenceIndicator v Log Analytics.
  3. Ověření:
    • V aplikaci Microsoft Sentinel přejděte na Protokoly.
    • Spusťte dotaz `ThreatIntelligenceIndicator | vzít 10'.
    • Zkontrolujte výsledky, které indikují, že jsou data zpracovávána.

2. Testování detekce IoC pomocí MDTI

Upozornění: Tento test provádějte v izolovaném testovacím prostředí nebo s příslušným oprávněním a dohledem.

  1. Scénář: Použijte IoC, o kterém je známo, že je škodlivý (např. známý malwarový příkaz a kontrolní IP), a pokuste se k němu získat přístup ze zařízení monitorovaného Sentinelem (např. testovací virtuální počítač).
  2. Očekávaná akce: Pokud je pravidlo detekce nakonfigurováno správně, Sentinel by měl vygenerovat incident na základě komunikace se škodlivým IoC.
  3. Ověření:
    • V aplikaci Microsoft Sentinel přejděte na Incidenty.
    • Vyhledejte nový incident, který odpovídá vaší testovací aktivitě.

Bezpečnostní tipy a doporučené postupy

  • Nepřetržitá spotřeba IT: Udržujte si aktuální informace o výzkumných článcích a nejnovějších hrozbách vydaných MDTI, abyste pochopili neustále se měnící prostředí hrozeb.
  • Komplexní integrace: Integrujte MDTI se všemi svými bezpečnostními řešeními společnosti Microsoft (Defender for Endpoint, Defender for Cloud Apps, Defender for Identity) a Microsoft Sentinel, abyste maximalizovali viditelnost a odezvu.
  • Automatizace s Playbooks: Použijte playbooky v Microsoft Sentinel k automatizaci reakcí na incidenty vyvolané MDTI IoC, jako je blokování škodlivých IP adres ve firewallu nebo izolace ohrožených zařízení.
  • Proaktivní vyhledávání hrozeb: Použijte data MDTI ve svých dotazech na vyhledávání hrozeb v aplikaci Microsoft Sentinel k proaktivnímu hledání škodlivé aktivity ve vašich protokolech.
  • Pravidelné ověřování: Pravidelně testujte svá pravidla detekce založená na IT, abyste se ujistili, že fungují podle očekávání a že IoC jsou aktuální.
  • Kontextualizace IoC: Nespoléhejte se pouze na izolované IoC. Použijte kontext poskytnutý MDTI k pochopení útočné kampaně, TTP a aktérů hrozeb za IoC.

Běžné odstraňování problémů

  • Data MDTI se v Sentinelu nezobrazují:
    • Ověřte, zda je v Azure Sentinel povolený datový konektor MDTI.
    • Potvrďte, že vaše licence Microsoft podporuje integraci MDTI s Sentinel.
    • V počátečním zpracování dat může dojít ke zpoždění. Počkejte několik hodin.
    • Zkontrolujte protokoly auditu Azure, zda neobsahují chyby související s datovým konektorem.
  • Pravidla detekce založená na MDTI negenerují výstrahy:
    • Zkontrolujte syntaxi vašeho dotazu Kusto. Ujistěte se, že se na tabulku ThreatIntelligenceIndicator odkazuje správně.
    • Potvrďte, že testovací aktivita skutečně odpovídá kritériím vašeho pravidla.
    • Zkontrolujte nastavení pravidel analýzy (práh výstrah, plánování).
  • IoC na portálu MDTI nejsou aktualizovány:
    • MDTI je neustále aktualizováno. Pokud si všimnete zastaralých dat, může to být problém s mezipamětí prohlížeče nebo dočasné zpoždění služby.
    • Zkontrolujte stav služby MDTI na stránce stavu Azure.
  • Problémy s přístupem na portál MDTI:
    • Ověřte, že váš účet má správné licence a oprávnění pro přístup k MDTI.
    • Vymažte mezipaměť prohlížeče nebo k ní zkuste přistupovat v anonymním režimu.

Závěr

Microsoft Defender Threat Intelligence je nepostradatelným nástrojem pro posílení kybernetické obrany každé organizace. Poskytnutím přístupu k obrovskému a bohatémuje zdrojem informací o hrozbách, umožňuje bezpečnostním týmům přejít z reaktivního k proaktivnímu postoji a rychleji a přesněji detekovat hrozby a reagovat na ně. Integrace MDTI s ekosystémem Microsoft Defender a Microsoft Sentinel vytváří výkonné, jednotné bezpečnostní řešení schopné chránit před nejsofistikovanějšími hrozbami. Díky této praktické příručce budou odborníci na zabezpečení a správci IT dobře vybaveni ke konfiguraci, ověřování a správě Microsoft Defender Threat Intelligence, čímž posílí odolnost jejich organizací proti kybernetickým útokům.

Reference:

[1] Zabezpečení společnosti Microsoft. Microsoft Defender Threat Intelligence. Dostupné na: https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-defender-threat-intelligence [2] Microsoft Learn. Co je Microsoft Defender Threat Intelligence (Defender IT)?. Dostupné na: [https://learn.microsoft.com/pt-br/defender/threat-intelligence/what-is-microsoft-defender-threat-intelligence-defender-ti](https://learn.microsoft.com/pt-br/defender/threat-intelligence/what-is-microsoft-defender-defender-intelti [3] Microsoft Learn. Analýza hrozeb v Microsoft Defender XDR. Dostupné na: https://learn.microsoft.com/pt-br/defender-xdr/threat-analytics [4] Microsoft Learn. Povolte datový konektor Microsoft Threat Intelligence. Dostupné na: https://learn.microsoft.com/pt-br/azure/sentinel/connect-mdti-data-connector [5] Microsoft Learn. Integrace Microsoft Defender XDR s Microsoft Sentinel. Dostupné na: https://learn.microsoft.com/pt-br/azure/sentinel/microsoft-365-defender-sentinel-integration [6] Microsoft Learn. Používejte Microsoft Graph API pro Microsoft Defender Threat Intelligence. Dostupné na: https://learn.microsoft.com/pt-br/graph/api/resources/security-threatintelligence-overview?view=graph-rest-1.0 [7] Microsoft Learn. Microsoft Sentinel na portálu Microsoft Defender. Dostupné na: https://learn.microsoft.com/pt-br/azure/sentinel/microsoft-sentinel-defender-portal