Administrar los indicadores de amenazas
Con la nueva área de inteligencia sobre amenazas, accesible desde el menú de Microsoft Sentinel, también puede ver, ordenar, filtrar y buscar los indicadores de amenazas importados sin ni siquiera escribir una consulta de Registros. Esta nueva área también permite crear indicadores de amenazas directamente dentro de la interfaz de Microsoft Sentinel y realizar tareas administrativas de inteligencia sobre amenazas comunes. Estas tareas incluyen el etiquetado de indicadores y la creación de nuevos indicadores relacionados con las investigaciones de seguridad. Echemos un vistazo a dos de las tareas más comunes: la creación de indicadores de amenazas y el etiquetado de indicadores para facilitar la agrupación y la consulta.
Abra Azure Portal y vaya al servicio Microsoft Sentinel.
Elija el área de trabajo al que ha importado indicadores de amenazas mediante el conector de datos de inteligencia sobre amenazas.
Seleccione Inteligencia sobre amenazas en la sección Administración de amenazas del menú de Microsoft Sentinel.
Seleccione el botón Agregar nuevo en el menú superior de la página.
Elija el tipo de indicador y, a continuación, complete los campos obligatorios marcados con un asterisco rojo (*) en el panel Nuevo indicador. Seleccione Aplicar.
El etiquetado de indicadores de amenazas es una forma sencilla de agruparlos para que sean más fáciles de encontrar. Normalmente, podría aplicar una etiqueta a los indicadores relacionados con un incidente concreto, o bien a aquellos que representan amenazas de un actor conocido o una campaña de ataques conocida. Puede etiquetar indicadores de amenazas de forma individual o realizar una selección múltiple de los indicadores y etiquetarlos todos a la vez. Dado que el etiquetado es de forma libre, una práctica recomendada es crear convenciones de nomenclatura estándar para las etiquetas del indicador de amenazas. Puede aplicar varias etiquetas a cada indicador.