Uw bedreigingsindicatoren beheren
Met het gebied Bedreigingsinformatie, toegankelijk vanuit het microsoft Sentinel-menu, kunt u ook uw geïmporteerde bedreigingsindicatoren bekijken, sorteren, filteren en doorzoeken zonder zelfs een logboekquery te schrijven. Op dit gebied kunt u ook rechtstreeks in de Microsoft Sentinel-interface bedreigingsindicatoren maken en dagelijkse beheertaken voor bedreigingsinformatie uitvoeren. Deze taken omvatten indicatortags en het maken van nieuwe indicatoren met betrekking tot beveiligingsonderzoeken. Laten we eens kijken naar twee van de meest voorkomende taken, het maken van nieuwe bedreigingsindicatoren en tagindicatoren voor eenvoudige groepering en verwijzing.
Open Azure Portal en navigeer naar de Microsoft Sentinel-service.
Kies de werkruimte waarnaar u bedreigingsindicatoren hebt geïmporteerd met behulp van een gegevensconnector voor bedreigingsinformatie.
Selecteer Bedreigingsinformatie in de sectie Bedreigingsbeheer van het menu Microsoft Sentinel.
Selecteer de knop Nieuwe toevoegen in het bovenste menu van de pagina.
Kies het indicatortype en vul vervolgens de vereiste velden in die zijn gemarkeerd met een rood sterretje (*) in het deelvenster Nieuwe indicator. Selecteer Toepassen.
Het taggen van bedreigingsindicatoren is een eenvoudige manier om ze te groeperen om ze gemakkelijker te vinden. Normaal gesproken kunt u een tag toepassen op indicatoren met betrekking tot een bepaald incident of indicatoren die bedreigingen van een bekende actor of een bekende aanvalscampagne vertegenwoordigen. U kunt bedreigingsindicatoren afzonderlijk of meervoudige indicatoren taggen en ze allemaal tegelijk taggen. Omdat taggen vrij is, is het raadzaam om standaard naamconventies te maken voor bedreigingsindicatortags. U kunt meerdere tags toepassen op elke indicator.