Introdução
O Microsoft Sentinel fornece uma tabela para armazenar dados de indicadores acessíveis a consultas KQL (Kusto Query Language). A página Inteligência de ameaças no Microsoft Sentinel fornece as opções de gerenciamento para manter os indicadores.
Você é um analista de operações de segurança que trabalha em uma empresa que implementou o Microsoft Sentinel. Você recebe indicadores de ameaças de provedores de inteligência de ameaças e sua equipe de caça a ameaças. Os indicadores incluem endereços IP, domínios e hashes de arquivo que podem ser utilizados por muitos componentes no Microsoft Sentinel.
Os indicadores dos provedores de inteligência de ameaças são automaticamente importados para o espaço de trabalho usando conectores. Você tem a tarefa de adicionar os indicadores da equipe de caça a ameaças. Use a página Threat Intelligence para adicionar os indicadores para uso pelas consultas KQL de deteção.
Depois de concluir este módulo, conseguirá:
- Gerenciar indicadores de ameaças no Microsoft Sentinel
- Use o KQL para acessar indicadores de ameaça no Microsoft Sentinel
Pré-requisitos
Conhecimento básicos dos conceitos operacionais, como monitorização, registos e alertas.