Správa indikátorů hrozeb
Díky oblasti Analýza hrozeb, která je dostupná z nabídky Microsoft Sentinelu, můžete také zobrazit, řadit, filtrovat a prohledávat importované indikátory hrozeb, aniž byste museli psát dotaz protokolů. Tato oblast také umožňuje vytvářet indikátory hrozeb přímo v rozhraní Microsoft Sentinelu a provádět každodenní úlohy správy analýzy hrozeb. Mezi tyto úlohy patří označování indikátorů a vytváření nových indikátorů souvisejících s vyšetřováním zabezpečení. Pojďme se podívat na dva z nejběžnějších úkolů a vytvořit nové indikátory hrozeb a indikátory označování pro snadné seskupení a referenci.
Otevřete Azure Portal a přejděte do služby Microsoft Sentinel.
Zvolte pracovní prostor, do kterého jste importovali indikátory hrozeb pomocí datového konektoru analýzy hrozeb.
V nabídce Microsoft Sentinel vyberte analýzu hrozeb v části Správa hrozeb.
V horní nabídce stránky vyberte tlačítko Přidat nový.
Zvolte typ ukazatele a potom vyplňte požadovaná pole označená červenou hvězdičkou (*) na panelu Nový indikátor. Vyberte Použít.
Označení indikátorů hrozeb je snadný způsob, jak je seskupit, aby bylo snazší je najít. Obvykle můžete použít značku na indikátory týkající se konkrétního incidentu nebo indikátory představující hrozby od známého aktéra nebo dobře známé kampaně útoku. Indikátory hrozeb můžete označit jednotlivě nebo vícenásobně vybrat a označit je všechny najednou. Vzhledem k tomu, že označování je bezplatné, doporučuje se vytvořit standardní zásady vytváření názvů pro značky indikátorů hrozeb. Pro každý indikátor můžete použít více značek.