Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Microsoft Sentinel é uma solução de gestão de informações e eventos de segurança (SIEM) nativa da cloud que pode ingerir, organizar e gerir informações sobre ameaças a partir de várias origens.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Introdução às informações sobre ameaças
As informações sobre ameaças cibernéticas (CTI) são informações que descrevem ameaças existentes ou potenciais a sistemas e utilizadores. Esta inteligência assume muitas formas, como relatórios escritos que detalham as motivações, infraestruturas e técnicas de um determinado ator de ameaças. Também pode ser observações específicas de endereços IP, domínios, hashes de ficheiros e outros artefactos associados a ameaças cibernéticas conhecidas.
As organizações utilizam o CTI para fornecer contexto essencial a atividades invulgares para que o pessoal de segurança possa tomar medidas rapidamente para proteger as suas pessoas, informações e recursos. Pode obter CTI de vários locais, tais como:
- Feeds de dados open source
- Comunidades de partilha de informações sobre ameaças
- Feeds de inteligência comercial
- Informações locais recolhidas no decurso de investigações de segurança dentro de uma organização
Para soluções SIEM como Microsoft Sentinel, as formas mais comuns de CTI são indicadores de ameaças, também conhecidos como indicadores de compromisso (IOCs) ou indicadores de ataque. Os indicadores de ameaças são dados que associam artefactos observados, como URLs, hashes de ficheiros ou endereços IP a atividades de ameaças conhecidas, como phishing, botnets ou software maligno. Esta forma de informações sobre ameaças é frequentemente chamada de inteligência táctica sobre ameaças. É aplicado a produtos de segurança e automatização em grande escala para detetar potenciais ameaças a uma organização e protegê-las.
Outra faceta das informações sobre ameaças representa os atores de ameaças, as suas técnicas, tácticas e procedimentos (TTPs), a sua infraestrutura e as identidades das suas vítimas. Microsoft Sentinel suporta a gestão destas facetas juntamente com IOCs, expressas com o padrão open source para trocar CTI conhecido como expressão de informações sobre ameaças estruturadas (STIX). As informações sobre ameaças expressas como objetos STIX melhoram a interoperabilidade e capacitam as organizações a investigar de forma mais eficiente. Utilize objetos STIX de informações sobre ameaças no Microsoft Sentinel para detetar atividades maliciosas observadas no seu ambiente e fornecer o contexto completo de um ataque para informar as decisões de resposta.
A tabela seguinte descreve as atividades necessárias para aproveitar ao máximo a integração de informações sobre ameaças (TI) no Microsoft Sentinel:
| Ação | Descrição |
|---|---|
| Armazenar informações sobre ameaças na área de trabalho do Microsoft Sentinel |
|
| Gerir informações sobre ameaças |
|
| Utilizar informações sobre ameaças |
|
As informações sobre ameaças também fornecem contexto útil noutras experiências Microsoft Sentinel, como blocos de notas. Para obter mais informações, veja Introdução aos blocos de notas e ao MSTICPy.
Nota
Para obter informações sobre a disponibilidade de funcionalidades nas clouds do Governo norte-americano, veja as tabelas de Microsoft Sentinel na disponibilidade de funcionalidades da Cloud para clientes do Governo norte-americano.
Importar e ligar informações sobre ameaças
A maioria das informações sobre ameaças é importada através de conectores de dados ou de uma API. Configure regras de ingestão para conectores de dados para reduzir o ruído e garantir que os feeds de inteligência estão otimizados. Eis as soluções disponíveis para Microsoft Sentinel.
- Informações sobre Ameaças do Microsoft Defender conector de dados para ingerir informações sobre ameaças da Microsoft
- Threat Intelligence - Conector de dados TAXII para feeds STIX/TAXII padrão da indústria
- API de carregamento de Informações sobre Ameaças para feeds TI integrados e organizados com uma API REST para ligar (não requer um conector de dados)
- O conector de dados da Plataforma de Informações sobre Ameaças também liga feeds TI através de uma API REST legada, mas está no caminho para a descontinuação
Utilize estas soluções em qualquer combinação, dependendo de onde a sua organização fornece informações sobre ameaças. Todos estes conectores de dados estão disponíveis no Hub de conteúdos como parte da solução informações sobre ameaças . Para obter mais informações sobre esta solução, veja a entrada Azure Marketplace Threat Intelligence.
Além disso, veja este catálogo de integrações de informações sobre ameaças que estão disponíveis com Microsoft Sentinel.
Adicionar informações sobre ameaças a Microsoft Sentinel com o conector de dados das Informações sobre Ameaças do Defender
Traga IOCs públicos, open source e de alta fidelidade gerados pelo Defender Threat Intelligence para a sua área de trabalho Microsoft Sentinel com os conectores de dados do Defender Threat Intelligence. Com uma configuração simples de um clique, utilize as informações sobre ameaças dos conectores de dados standard e premium do Defender Threat Intelligence para monitorizar, alertar e investigar.
Estão disponíveis duas versões do conector de dados: standard e premium. Existe também uma regra de análise de ameaças do Defender Threat Intelligence livremente disponível que lhe dá uma amostra do que o conector de dados premium do Defender Threat Intelligence fornece. No entanto, com a análise correspondente, apenas os indicadores que correspondem à regra são ingeridos no seu ambiente.
O conector de dados premium do Defender Threat Intelligence ingere informações de open source melhoradas pela Microsoft e IOCs organizadas pela Microsoft. Estas funcionalidades premium permitem análises em mais origens de dados com maior flexibilidade e compreensão dessas informações sobre ameaças. Eis uma tabela que mostra o que esperar quando licencia e ativa a versão premium.
| Gratuito | Premium |
|---|---|
| IOCs Públicos | |
| Inteligência open source (OSINT) | |
| Microsoft IOCs | |
| OSINT enriquecido pela Microsoft |
Para mais informações, consulte os seguintes artigos:
- Para saber como obter uma licença premium e explorar todas as diferenças entre as versões standard e premium, veja Explorar licenças do Defender Threat Intelligence.
- Para saber mais sobre a experiência gratuita do Defender Threat Intelligence, veja Introducing Defender Threat Intelligence free experience for Microsoft Defender XDR (Introdução à experiência gratuita das Informações sobre Ameaças do Defender para Microsoft Defender XDR).
- Para saber como ativar as Informações sobre Ameaças do Defender e os conectores de dados premium do Defender Threat Intelligence, consulte Ativar o conector de dados do Defender Threat Intelligence.
- Para saber mais sobre análises correspondentes, veja Utilizar análises correspondentes para detetar ameaças.
Adicionar informações sobre ameaças a Microsoft Sentinel com a API de carregamento
Muitas organizações utilizam soluções de plataforma de informações sobre ameaças (TIP) para agregar feeds de indicadores de ameaças de várias origens. A partir do feed agregado, os dados são organizados para serem aplicados a soluções de segurança, como dispositivos de rede, soluções EDR/XDR ou SIEMs, como Microsoft Sentinel. Ao utilizar a API de carregamento, pode utilizar estas soluções para importar objetos STIX de informações sobre ameaças para Microsoft Sentinel.
A nova API de carregamento não requer um conector de dados e oferece as seguintes melhorias:
- Os campos do indicador de ameaça baseiam-se no formato padronizado STIX.
- A aplicação Microsoft Entra requer a função contribuidor Microsoft Sentinel.
- O ponto final do pedido de API está no âmbito ao nível da área de trabalho. As permissões necessárias Microsoft Entra aplicação permitem a atribuição granular ao nível da área de trabalho.
Para obter mais informações, veja Ligar a plataforma de informações sobre ameaças através da API de carregamento.
Adicionar informações sobre ameaças a Microsoft Sentinel com o conector de dados da Plataforma de Informações sobre Ameaças
Nota
Este conector de dados está a ser preterido.
Tal como a API de carregamento, o conector de dados da Plataforma de Informações sobre Ameaças utiliza uma API que permite que a sua SUGESTÃO ou solução personalizada envie informações sobre ameaças para Microsoft Sentinel. No entanto, este conector de dados está limitado apenas a indicadores e está a ser preterido. Tire partido das otimizações que a API de carregamento tem para oferecer.
O conector de dados TIP utiliza a API tiIndicators de Segurança do Microsoft Graph que não suporta outros objetos STIX. Utilize-a com qualquer SUGESTÃO personalizada que comunique com a API tiIndicators para enviar indicadores para Microsoft Sentinel (e para outras soluções de segurança da Microsoft, como Defender XDR).
Para obter mais informações sobre as soluções TIP integradas com Microsoft Sentinel, veja Produtos integrados da plataforma de informações sobre ameaças. Para obter mais informações, consulte Ligar a plataforma de informações sobre ameaças ao Microsoft Sentinel.
Adicionar informações sobre ameaças a Microsoft Sentinel com o conector de dados TAXII – Informações sobre Ameaças
O padrão da indústria mais amplamente adotado para a transmissão de informações sobre ameaças é uma combinação do formato de dados STIX e do protocolo TAXII. Se a sua organização obtiver informações sobre ameaças a partir de soluções que suportem a versão atual de STIX/TAXII (2.0 ou 2.1), utilize o conector de dados Informações sobre Ameaças – TAXII para colocar as suas informações sobre ameaças em Microsoft Sentinel. Ao utilizar o conector de dados TAXII – Informações sobre Ameaças, Microsoft Sentinel tem um cliente TAXII incorporado que importa informações sobre ameaças de servidores TAXII 2.x.
Para importar informações sobre ameaças formatadas com STIX para Microsoft Sentinel a partir de um servidor TAXII:
- Obtenha a raiz da API do servidor TAXII e o ID de coleção.
- Ative o conector de dados Threat Intelligence - TAXII no Microsoft Sentinel.
Para obter mais informações, consulte Ligar Microsoft Sentinel a feeds de informações sobre ameaças STIX/TAXII.
Criar e gerir informações sobre ameaças
As informações sobre ameaças fornecidas por Microsoft Sentinel são geridas junto ao Informações sobre Ameaças do Microsoft Defender (MDTI) e ao Threat Analytics no portal do Microsoft Defender.
Nota
Continua a aceder às informações sobre ameaças no portal do Azure a partir de Microsoft Sentinel>At management>Informações sobre ameaças.
Duas das tarefas mais comuns de informações sobre ameaças são a criação de novas informações sobre ameaças relacionadas com investigações de segurança e a adição de etiquetas. A interface de gestão simplifica o processo manual de curadoria de informações de ameaças individuais com algumas funcionalidades importantes.
- Configure regras de ingestão para otimizar as informações sobre ameaças a partir de origens de conectores de dados.
- Defina relações à medida que cria novos objetos STIX.
- Organize o TI existente com o construtor de relações.
- Copie metadados comuns de um objeto TI novo ou existente com a funcionalidade duplicada.
- Adicione etiquetas de forma livre a objetos através de seleção múltipla.
Os seguintes objetos STIX estão disponíveis no Microsoft Sentinel: 
| Objeto STIX | Descrição |
|---|---|
| Ator de ameaças | Desde crianças de script a estados-nação, os objetos de ator de ameaças descrevem motivações, sofisticação e níveis de reabastecimento. |
| Padrão de ataque | Também conhecidos como técnicas, táticas e procedimentos, os padrões de ataque descrevem um componente específico de um ataque e a fase MITRE ATT&CK em que é utilizado. |
| Indicador |
Domain name, URL, IPv4 address, IPv6 addresseFile hashesX509 certificates são utilizados para autenticar a identidade de dispositivos e servidores para uma comunicação segura através da Internet.
JA3 as impressões digitais são identificadores exclusivos gerados a partir do processo de handshake TLS/SSL. Ajudam a identificar aplicações e ferramentas específicas utilizadas no tráfego de rede, facilitando a deteção de impressões digitais de atividadesJA3S maliciosas, expandindo as capacidades do JA3 ao incluir também características específicas do servidor no processo de impressão digital. Esta extensão fornece uma vista mais abrangente do tráfego de rede e ajuda a identificar ameaças do lado do cliente e do servidor.
User agents forneça informações sobre o software de cliente que faz pedidos a um servidor, como o browser ou o sistema operativo. São úteis na identificação e criação de perfis de dispositivos e aplicações que acedem a uma rede. |
| Identidade | Descreva as vítimas, organizações e outros grupos ou indivíduos, juntamente com os setores empresariais mais estreitamente associados às mesmas. |
| Relação | Os threads que ligam informações sobre ameaças, ajudando a estabelecer ligações entre sinais diferentes e pontos de dados, são descritos com relações. |
Configurar regras de ingestão
Pode otimizar as informações sobre ameaças a partir de conectores de dados ao filtrar e melhorar objetos antes de serem entregues na sua área de trabalho. As regras de ingestão aplicam-se apenas aos conectores de dados e não afetam as informações sobre ameaças adicionadas através da API de carregamento ou criadas manualmente. As regras de ingestão atualizam os atributos ou filtram completamente os objetos. A tabela seguinte lista alguns casos de utilização:
| Caso de utilização da regra de ingestão | Descrição |
|---|---|
| Reduzir o ruído | Filtre informações sobre ameaças antigas não atualizadas durante seis meses que também têm pouca confiança. |
| Prolongar data de validade | Promova IOCs de alta fidelidade a partir de fontes fidedignas ao prolongar os seus Valid until IOCs por 30 dias. |
| Memorizar os velhos tempos | A nova taxonomia do ator de ameaças é óptima, mas alguns dos analistas querem ter a certeza de marcar os nomes antigos. |
Tenha em atenção as seguintes sugestões ao utilizar regras de ingestão:
- Todas as regras se aplicam por ordem. Os objetos de informações sobre ameaças que estão a ser ingeridos serão processados por cada regra até que seja tomada uma
Deleteação. Se não for efetuada nenhuma ação num objeto, este é ingerido a partir da origem tal como está. - A
Deleteação significa que o objeto de informações sobre ameaças é ignorado para ingestão, o que significa que foi removido do pipeline. As versões anteriores do objeto já ingerido não são afetadas. - As regras novas e editadas demoram até 15 minutos a entrar em vigor.
Para obter mais informações, veja Trabalhar com regras de ingestão de informações sobre ameaças.
Criar relações
Pode melhorar a deteção e resposta de ameaças ao estabelecer ligações entre objetos com o construtor de relações. A tabela seguinte lista alguns dos respetivos casos de utilização:
| Caso de utilização da relação | Descrição |
|---|---|
| Ligar um ator de ameaças a um padrão de ataque | O ator de APT29 ameaças Utiliza o padrão de Phishing via Email ataque para obter acesso inicial. |
| Ligar um indicador a um ator de ameaças | Um indicador allyourbase.contoso.com de domínio é Atribuído ao ator de APT29ameaças . |
| Associar uma identidade (vítima) a um padrão de ataque | O padrão de Phishing via Email ataque destina-se à FourthCoffee organização. |
A imagem seguinte mostra como o construtor de relações liga todos estes casos de utilização.
Organizar informações sobre ameaças
Configure os objetos TI que pode partilhar com audiências adequadas ao designar um nível de confidencialidade denominado Protocolo de Semáforo (TLP).
| Cor TLP | Sensibilidade |
|---|---|
| Branco | As informações podem ser partilhadas de forma livre e pública sem quaisquer restrições. |
| Verde | As informações podem ser partilhadas com colegas e organizações parceiras dentro da comunidade, mas não publicamente. Destina-se a um público mais vasto dentro da comunidade. |
| Âmbar | As informações podem ser partilhadas com membros da organização, mas não publicamente. Destina-se a ser utilizado na organização para proteger informações confidenciais. |
| Vermelho | As informações são altamente confidenciais e não devem ser partilhadas fora do grupo ou reunião específico onde foram originalmente divulgadas. |
Defina valores TLP para objetos TI na IU quando os criar ou editar. Definir o TLP através da API é menos intuitivo e requer a escolha de um dos quatro marking-definition GUIDs de objeto. Para obter mais informações sobre como configurar o TLP através da API, veja object_marking_refs nas Propriedades comuns da API de carregamento.
Outra forma de organizar o TI é através de etiquetas. A identificação de informações sobre ameaças é uma forma rápida de agrupar objetos para facilitar a sua localização. Normalmente, pode aplicar etiquetas relacionadas com um incidente específico. No entanto, se um objeto representar ameaças de um ator conhecido ou de uma campanha de ataque bem conhecida, considere criar uma relação em vez de uma etiqueta. Depois de procurar e filtrar as informações sobre ameaças com as quais pretende trabalhar, identifique-as individualmente ou de forma múltipla e identifique-as todas de uma só vez. Uma vez que a etiquetagem é de forma livre, crie convenções de nomenclatura padrão para etiquetas de informações sobre ameaças.
Para obter mais informações, veja Trabalhar com informações sobre ameaças no Microsoft Sentinel.
Ver as informações sobre ameaças
Veja as informações sobre ameaças a partir da interface de gestão ou através de consultas:
Na interface de gestão, utilize a pesquisa avançada para ordenar e filtrar os objetos de informações sobre ameaças sem escrever uma consulta do Log Analytics.
Utilize consultas para ver informações sobre ameaças de Registos no portal do Azure ou Investigação avançada no portal do Defender.
De qualquer forma, a
ThreatIntelligenceIndicatortabela sob o esquema Microsoft Sentinel armazena todos os seus indicadores de ameaças Microsoft Sentinel. Esta tabela é a base para consultas de informações sobre ameaças realizadas por outras funcionalidades de Microsoft Sentinel, como análises, consultas de investigação e livros.
Importante
A 3 de abril de 2025, pré-visualizamos publicamente duas novas tabelas para suportar esquemas de objetos e indicadores STIX: ThreatIntelIndicators e ThreatIntelObjects. Microsoft Sentinel irão ingerir todas as informações sobre ameaças nestas novas tabelas, continuando a ingerir os mesmos dados na tabela legada ThreatIntelligenceIndicator até 31 de julho de 2025.
Certifique-se de que atualiza as suas consultas personalizadas, regras de análise e deteção, livros e automatização para utilizar as novas tabelas até 31 de julho de 2025. Após esta data, Microsoft Sentinel deixarão de ingerir dados para a tabela legadaThreatIntelligenceIndicator. Estamos a atualizar todas as soluções de informações sobre ameaças no Hub de conteúdos para tirar partido das novas tabelas. Para obter mais informações sobre os novos esquemas de tabela, veja ThreatIntelIndicators e ThreatIntelObjects.
Para obter informações sobre como utilizar e migrar para as novas tabelas, veja Trabalhar com objetos STIX para melhorar a investigação de ameaças e informações sobre ameaças no Microsoft Sentinel (Pré-visualização).
Ciclo de vida das informações sobre ameaças
Microsoft Sentinel armazena dados de informações sobre ameaças nas suas tabelas de informações sobre ameaças e reesteste automaticamente todos os dados a cada sete a 10 dias para otimizar a eficiência das consultas.
Quando um indicador é criado, atualizado ou eliminado, Microsoft Sentinel cria uma nova entrada nas tabelas. Apenas o indicador mais atual aparece na interface de gestão. Microsoft Sentinel elimina de duplicados indicadores com base na Id propriedade (a IndicatorId propriedade no legadoThreatIntelligenceIndicator) e escolhe o indicador com o mais recente TimeGenerated[UTC].
A Id propriedade é uma concatenação do valor codificado SourceSystem em base64 ( --- três traços) e do stixId (que é o Data.Id valor).
Ver os melhoramentos de dados de GeoLocation e WhoIs (pré-visualização pública)
A Microsoft melhora os indicadores de IP e domínio com dados adicionais GeoLocation e WhoIs para fornecer mais contexto para investigações onde o COI selecionado é encontrado.
Veja GeoLocation e WhoIs dados no painel Informações sobre Ameaças para esses tipos de indicadores de ameaças importados para Microsoft Sentinel.
Por exemplo, utilize GeoLocation dados para encontrar informações como a organização, o país ou a região para um indicador IP. Utilize WhoIs dados para localizar dados como dados de criação de registos e registos a partir de um indicador de domínio.
Detetar ameaças com a análise de indicadores de ameaças
O caso de utilização mais importante das informações sobre ameaças em soluções SIEM, como Microsoft Sentinel, consiste em regras de análise de energia para deteção de ameaças. Estas regras baseadas em indicadores comparam eventos não processados das origens de dados com os indicadores de ameaças para detetar ameaças de segurança na sua organização. No Microsoft Sentinel Analytics, cria regras de análise com tecnologia de consultas que são executadas com base numa agenda e geram alertas de segurança. Juntamente com as configurações, determinam a frequência com que a regra deve ser executada, que tipo de resultados de consulta devem gerar alertas de segurança e incidentes e, opcionalmente, quando acionar uma resposta automatizada.
Embora possa sempre criar novas regras de análise de raiz, Microsoft Sentinel fornece um conjunto de modelos de regras incorporados, criados por engenheiros de segurança da Microsoft, para tirar partido dos seus indicadores de ameaça. Estes modelos baseiam-se no tipo de indicadores de ameaça (domínio, e-mail, hash de ficheiro, endereço IP ou URL) e eventos de origem de dados que pretende corresponder. Cada modelo lista as origens necessárias que são necessárias para a regra funcionar. Estas informações facilitam a determinação se os eventos necessários já estão importados no Microsoft Sentinel.
Por predefinição, quando estas regras incorporadas são acionadas, é criado um alerta. No Microsoft Sentinel, os alertas gerados a partir de regras de análise também geram incidentes de segurança. No menu Microsoft Sentinel, em Gestão de ameaças, selecione Incidentes. Os incidentes são o que as equipas de operações de segurança triagem e investigam para determinar as ações de resposta adequadas. Para obter mais informações, veja Tutorial: Investigar incidentes com Microsoft Sentinel.
Para obter mais informações sobre como utilizar indicadores de ameaças nas regras de análise, veja Utilizar informações sobre ameaças para detetar ameaças.
A Microsoft fornece acesso às informações sobre ameaças através da regra de análise do Defender Threat Intelligence. Para obter mais informações sobre como tirar partido desta regra, que gera alertas e incidentes de alta fidelidade, veja Utilizar análises correspondentes para detetar ameaças.
Os livros fornecem informações sobre as informações sobre ameaças
Os livros fornecem dashboards interativos avançados que lhe dão informações sobre todos os aspetos da Microsoft Sentinel e as informações sobre ameaças não são exceção. Utilize o livro incorporado das Informações sobre Ameaças para visualizar informações importantes sobre as suas informações sobre ameaças. Personalize o livro de acordo com as suas necessidades empresariais. Crie novos dashboards ao combinar muitas origens de dados para o ajudar a visualizar os seus dados de formas exclusivas.
Uma vez que Microsoft Sentinel livros são baseados em livros do Azure Monitor, já estão disponíveis documentação extensa e muitos mais modelos. Para obter mais informações, veja Criar relatórios interativos com livros do Azure Monitor.
Também existe um recurso avançado para Azure Monitorizar livros no GitHub, onde pode transferir mais modelos e contribuir com os seus próprios modelos.
Para obter mais informações sobre como utilizar e personalizar o livro informações sobre ameaças , veja Visualizar informações sobre ameaças com livros.
Conteúdos relacionados
Neste artigo, ficou a conhecer as capacidades de informações sobre ameaças com tecnologia Microsoft Sentinel. Para mais informações, consulte os seguintes artigos: