Zarządzanie wskaźnikami zagrożeń
W obszarze Analiza zagrożeń dostępna z menu usługi Microsoft Sentinel możesz również wyświetlać, sortować, filtrować i przeszukiwać zaimportowane wskaźniki zagrożeń, nawet nie pisząc zapytania Dzienniki. Ten obszar umożliwia również tworzenie wskaźników zagrożeń bezpośrednio w interfejsie usługi Microsoft Sentinel i wykonywanie codziennych zadań administracyjnych analizy zagrożeń. Te zadania obejmują tagowanie wskaźników i tworzenie nowych wskaźników związanych z badaniami zabezpieczeń. Przyjrzyjmy się dwóm z najczęściej używanych zadań, tworząc nowe wskaźniki zagrożeń i wskaźniki tagowania w celu łatwego grupowania i dokumentacji.
Otwórz witrynę Azure Portal i przejdź do usługi Microsoft Sentinel.
Wybierz obszar roboczy, do którego zaimportowaliśmy wskaźniki zagrożeń przy użyciu łącznika danych analizy zagrożeń.
Wybierz pozycję Analiza zagrożeń w sekcji Zarządzanie zagrożeniami w menu usługi Microsoft Sentinel.
Wybierz przycisk Dodaj nowy z górnego menu strony.
Wybierz typ wskaźnika, a następnie wypełnij wymagane pola oznaczone czerwoną gwiazdką (*) na panelu Nowy wskaźnik. Wybierz Zastosuj.
Tagowanie wskaźników zagrożeń jest łatwym sposobem grupowania ich w celu ułatwienia ich znalezienia. Zazwyczaj można zastosować tag do wskaźników związanych z konkretnym zdarzeniem lub wskaźnikami reprezentującymi zagrożenia ze strony znanego aktora lub dobrze znanej kampanii ataku. Wskaźniki zagrożeń można tagować pojedynczo lub wskaźniki wielokrotnego wyboru i oznaczać je jednocześnie. Ponieważ tagowanie jest wolne, zalecaną praktyką jest utworzenie standardowych konwencji nazewnictwa tagów wskaźników zagrożeń. Do każdego wskaźnika można zastosować wiele tagów.