Definición de Inteligencia sobre amenazas
La inteligencia sobre amenazas cibernéticas (CTI) puede provenir de muchos orígenes. Los orígenes incluyen fuentes de distribución de datos de código abierto, comunidades de uso compartido de inteligencia sobre amenazas, fuentes de inteligencia de pago e investigaciones de seguridad en las organizaciones. La CTI puede abarcar desde informes escritos sobre las motivaciones, la infraestructura y las técnicas de un actor de amenaza hasta observaciones específicas sobre direcciones IP, dominios y hash de archivo. La CTI proporciona un contexto esencial para actividades inusuales a fin de que el personal de seguridad pueda actuar rápidamente para proteger las personas y los recursos.
La CTI más utilizada en soluciones SIEM como Microsoft Sentinel son los datos indicadores de amenazas, a veces denominados indicadores de riesgo (IOC). Los indicadores de amenazas asocian direcciones URL, hash de archivo, direcciones IP y otros datos con una actividad de amenaza conocida, como el phishing, las redes de bots (botnets) o el malware. Esta forma de inteligencia sobre amenazas suele llamarse inteligencia sobre amenazas táctica porque los productos de seguridad y automatización pueden usarla a gran escala para proteger y detectar posibles amenazas. Microsoft Sentinel puede ayudar a detectar ciberactividades maliciosas, responder a ellas y proporcionar el contexto de CTI.
Puede integrar inteligencia sobre amenazas (TI) en Microsoft Sentinel mediante las actividades siguientes:
Use conectores de datos a varias plataformas de TI para importar inteligencia sobre amenazas en Microsoft Sentinel.
Vea y administre la inteligencia sobre amenazas importada en Registros y en la nueva área Inteligencia sobre amenazas de Microsoft Sentinel.
Use las plantillas de reglas de análisis integradas para generar alertas e incidentes de seguridad mediante la inteligencia sobre amenazas importada.
Visualice información clave sobre la inteligencia sobre amenazas en Microsoft Sentinel con el libro de inteligencia sobre amenazas.
Lleve a cabo la búsqueda de amenazas con la inteligencia sobre amenazas importada.
