Definir a inteligência contra ameaças

  • 3 minutos

A CTI (inteligência contra ameaças cibernéticas) pode vir de várias fontes, como feeds de dados de código aberto, comunidades de compartilhamento de inteligência contra ameaças, feeds de inteligência paga e investigações de segurança nas organizações. A CTI pode abranger desde relatórios escritos sobre as motivações, a infraestrutura e as técnicas de um autor de ameaças, a observações específicas de endereços IP, domínios e hashes de arquivo. A CTI fornece um contexto essencial para atividades incomuns, portanto, a equipe de segurança pode agir rapidamente para proteger pessoas e ativos.

A CTI mais utilizada em soluções de SIEM como o Microsoft Sentinel são dados de indicador de ameaça, às vezes chamados de IoCs (indicadores de comprometimento). Os indicadores de ameaça associam URLs, hashes de arquivo, endereços IP e outros dados com atividade de ameaça conhecida, como phishing, botnets ou malware. Essa forma de inteligência contra ameaças é geralmente chamada de inteligência tática contra ameaças, porque os produtos de segurança e a automação podem usá-la em grande escala para proteger e detectar possíveis ameaças. O Microsoft Sentinel pode ajudar a detectar, responder a e fornecer contexto de CTI para atividades cibernéticas mal-intencionadas.

A TI (inteligência contra ameaças) pode ser integrada ao Microsoft Azure Sentinel por meio das seguintes atividades:

  • Uso de conectores de dados para várias plataformas de TI para importar a inteligência contra ameaças para o Azure Sentinel.

  • Exibição e gerenciamento da inteligência contra ameaças importada nos logs e a nova área de inteligência contra ameaças do Microsoft Azure Sentinel.

  • Use os modelos internos de regra de análise para gerar alertas de segurança e incidentes usando a inteligência contra ameaças importada.

  • Visualização das informações críticas sobre a inteligência contra ameaças no Microsoft Azure Sentinel com a pasta de trabalho de Inteligência contra Ameaças.

  • Execute a busca de ameaças com a inteligência contra ameaças importada.

Screenshot of Threat Intelligence uses in Microsoft Sentinel.