脅威インテリジェンスを定義する
サイバー脅威インテリジェンス (CTI) は、さまざまなソースから得ることができます。 オープンソースのデータ フィード、脅威インテリジェンスを共有するコミュニティ、有料のインテリジェンス フィード、組織内でのセキュリティ調査などのソースです。 CTI は、脅威アクターの動機、インフラストラクチャ、手法に関する書面によるレポートから、IP アドレス、ドメイン、ファイル ハッシュに関する特定の観察まで多岐に及びます。 CTI では、通常とは異なるアクティビティに関する重要なコンテキストが提供されるため、セキュリティ担当者は迅速に行動して、人と資産を保護することができます。
Microsoft Sentinel などの SIEM ソリューションで最も使用されている CTI は、脅威インジケーター データであり、侵害インジケーター (IoC) と呼ばれることもあります。 脅威インジケーターは、URL、ファイル ハッシュ、IP アドレス、およびその他のデータを、フィッシング、ボットネット、マルウェアなどの既知の脅威アクティビティと関連付けます。 この形式の脅威インテリジェンスは、セキュリティ製品と自動化では、潜在的な脅威に対する保護および検出を行うために大規模に使用できるため、"戦術的脅威インテリジェンス" と呼ばれることがよくあります。 Microsoft Sentinel は、悪意のあるサイバー アクティビティの検出、対応、および CTI コンテキストの提供に役立ちます。
次のようにして、脅威インテリジェンス (TI) を Microsoft Sentinel に統合できます。
さまざまな TI プラットフォームにデータ コネクタを使用して、脅威インテリジェンスを Microsoft Sentinel にインポートします。
インポートした脅威インテリジェンスを Microsoft Sentinel の [ログ] および新しい [脅威インテリジェンス] の領域に表示し、管理します。
組み込みの分析ルール テンプレートを使用して、インポートした脅威インテリジェンスを利用したセキュリティのアラートとインシデントを生成します。
脅威インテリジェンス ブックを使用して、Microsoft Sentinel で脅威インテリジェンスに関する重要な情報を視覚化します。
インポートされた脅威インテリジェンスを使用して脅威ハンティングを実行します。
