Introdução
O Microsoft Azure Sentinel fornece uma tabela para o armazenamento de dados de indicador acessíveis para consultas KQL (Kusto Query Language). A página Inteligência contra Ameaças no Microsoft Azure Sentinel fornece as opções de gerenciamento para manter os indicadores.
Você é um analista de operações de segurança que trabalha em uma empresa que implementou o Microsoft Sentinel. Você recebe os indicadores de ameaça dos provedores de inteligência contra ameaças e da equipe de busca de ameaças. Os indicadores incluem endereços IP, domínios e hashes de arquivo que podem ser utilizados por vários componentes no Microsoft Azure Sentinel.
Os indicadores dos provedores de inteligência contra ameaças são importados automaticamente para o workspace usando conectores. Você tem a tarefa de adicionar os indicadores da equipe de busca de ameaças. Use a página Inteligência contra Ameaças para adicionar os indicadores a serem usados pelas consultas KQL de detecção.
Depois de concluir este módulo, você poderá:
- Gerenciar os indicadores de ameaça no Microsoft Azure Sentinel
- Usar a KQL para acessar os indicadores de ameaça no Microsoft Azure Sentinel
Pré-requisitos
Conhecimento básico de conceitos operacionais, como monitoramento, registro em log e alertas.