Inleiding
Microsoft Sentinel biedt een tabel voor het opslaan van indicatorgegevens die toegankelijk zijn voor KQL-query's (Kusto-querytaal). De pagina Bedreigingsinformatie in Microsoft Sentinel biedt de beheeropties voor het onderhouden van de indicatoren.
U bent een Security Operations-analist die werkt bij een bedrijf dat Microsoft Sentinel heeft geïmplementeerd. U ontvangt bedreigingsindicatoren van bedreigingsinformatieproviders en uw opsporingsteam voor bedreigingen. De indicatoren omvatten IP-adressen, domeinen en bestands-hashes die door veel onderdelen in Microsoft Sentinel kunnen worden gebruikt.
De indicatoren van de bedreigingsinformatieproviders worden automatisch geïmporteerd in de werkruimte met behulp van connectors. U moet de indicatoren van het opsporingsteam voor bedreigingen toevoegen. U gebruikt de pagina Bedreigingsinformatie om de indicatoren toe te voegen voor gebruik door de KQL-detectiequery's.
Als u deze module hebt voltooid, kunt u het volgende:
- Bedreigingsindicatoren beheren in Microsoft Sentinel
- KQL gebruiken voor toegang tot bedreigingsindicatoren in Microsoft Sentinel
Vereisten
Basiskennis van operationele concepten, zoals controle, logboekregistratie en waarschuwingen.