Gerenciar os indicadores de ameaça
Com a área de Inteligência contra Ameaças, acessível no menu do Microsoft Azure Sentinel, também é possível exibir, classificar, filtrar e pesquisar os indicadores de ameaça importados sem sequer gravar uma consulta de logs. Essa área também permite criar indicadores de ameaça diretamente na interface do Microsoft Sentinel e realizar tarefas administrativas rotineiras de inteligência contra ameaças, como marcação de indicadores e criação de indicadores relacionados a investigações de segurança. Vamos examinar duas das tarefas mais comuns, criar novos indicadores de ameaça e indicadores de marcação para facilitar o agrupamento e a referência.
Abra o portal do Azure e navegue até o serviço Microsoft Azure Sentinel.
Escolha o workspace para o qual você importou indicadores de ameaça usando o conector de dados da inteligência contra ameaças.
Selecione Inteligência contra ameaças na seção Gerenciamento de ameaças do menu do Microsoft Azure Sentinel.
Selecione o botão Adicionar novo no menu superior da página.
Escolha o tipo de indicador e preencha os campos obrigatórios marcados com um asterisco vermelho (*) no painel Novo indicador. Escolha Aplicar.
A marcação de indicadores de ameaça é uma maneira fácil de agrupá-los para facilitar a localização. Normalmente, você pode aplicar uma marca a indicadores relacionados a determinado incidente ou indicadores que representam ameaças de um ator conhecido ou uma campanha de ataque bem conhecida. Você pode marcar indicadores de ameaça individualmente ou selecionar vários indicadores e marcá-los todos de uma só vez. Como a marcação é de forma livre, a melhor prática é criar convenções de nomenclatura padrão para as marcas de indicadores de ameaça. Você pode aplicar várias marcas a cada indicador.