Definování analýzy hrozeb
Kybernetická analýza hrozeb (CTI) může pocházet z mnoha zdrojů. Mezi zdroje patří opensourcové datové kanály, komunity pro sdílení analýzy hrozeb, placené informační kanály inteligentních funkcí a šetření zabezpečení v organizacích. CTI může být různé od psaných zpráv o motivaci, infrastruktuře a technikách herce hrozeb až po konkrétní pozorování IP adres, domén a hodnot hash souborů. CTI poskytuje základní kontext pro neobvyklou činnost, takže pracovníci zabezpečení mohou rychle jednat za účelem ochrany osob a prostředků.
Nejužitenější CTI v řešeních SIEM, jako je Microsoft Sentinel, jsou data indikátorů hrozeb, někdy označovaná jako Indikátory ohrožení zabezpečení (IoCS). Indikátory hrozeb přidružují adresy URL, hodnoty hash souborů, IP adresy a další data se známými aktivitami hrozeb, jako jsou phishing, botnety nebo malware. Tato forma analýzy hrozeb se často označuje jako taktická analýza hrozeb, protože bezpečnostní produkty a automatizace ji mohou používat ve velkém měřítku k ochraně a detekci potenciálních hrozeb. Microsoft Sentinel může pomoct detekovat, reagovat na ně a poskytovat kontext CTI pro škodlivou kybernetickou aktivitu.
Analýzu hrozeb (TI) můžete integrovat do Microsoft Sentinelu prostřednictvím následujících aktivit:
Pomocí datových konektorů můžete na různých platformách TI importovat analýzu hrozeb do Microsoft Sentinelu.
Zobrazení a správa importovaných inteligentních informací o hrozbách v protokolech a nové oblasti analýzy hrozeb v Microsoft Sentinelu
Pomocí předdefinovaných šablon pravidel Analytics můžete generovat výstrahy zabezpečení a incidenty pomocí importované analýzy hrozeb.
Vizualizace důležitých informací o inteligenci hrozeb v Microsoft Sentinelu pomocí sešitu Analýzy hrozeb
Proaktivní vyhledávání hrozeb můžete provádět s importovanými analýzami hrozeb.
