Bedreigingsinformatie definiëren
CTI (Cyber Threat Intelligence) kan afkomstig zijn uit veel bronnen. Bronnen zijn onder andere opensource-gegevensfeeds, community's voor het delen van bedreigingsinformatie, feeds voor betaalde intelligentie en beveiligingsonderzoeken binnen organisaties. CTI kan variëren van geschreven rapporten over de motivaties, infrastructuur en technieken van een bedreigingsacteur tot specifieke waarnemingen van IP-adressen, domeinen en bestands-hashes. CTI biedt essentiële context voor ongebruikelijke activiteiten, zodat beveiligingspersoneel snel kan handelen om mensen en assets te beschermen.
De meest gebruikte CTI in SIEM-oplossingen zoals Microsoft Sentinel zijn bedreigingsindicatorgegevens, ook wel Indicators of Compromise (IoCs) genoemd. Bedreigingsindicatoren koppelen URL's, bestands-hashes, IP-adressen en andere gegevens aan bekende bedreigingsactiviteiten, zoals phishing, botnets of malware. Deze vorm van bedreigingsinformatie wordt vaak tactische bedreigingsinformatie genoemd, omdat beveiligingsproducten en automatisering deze op grote schaal kunnen gebruiken om potentiële bedreigingen te beschermen en te detecteren. Microsoft Sentinel kan helpen bij het detecteren, reageren en bieden van CTI-context voor schadelijke cyberactiviteit.
U kunt bedreigingsinformatie (TI) integreren in Microsoft Sentinel via de volgende activiteiten:
Gegevensconnectors gebruiken voor verschillende TI-platforms om bedreigingsinformatie te importeren in Microsoft Sentinel.
Bekijk en beheer de geïmporteerde bedreigingsinformatie in Logboeken en het nieuwe gebied Bedreigingsinformatie van Microsoft Sentinel.
Gebruik de ingebouwde analyseregelsjablonen om beveiligingswaarschuwingen en incidenten te genereren met behulp van uw geïmporteerde bedreigingsinformatie.
Visualiseer kritieke informatie over uw bedreigingsinformatie in Microsoft Sentinel met de werkmap Bedreigingsinformatie.
Voer bedreigingsjacht uit met uw geïmporteerde bedreigingsinformatie.
