Definir threat intelligence
A inteligência de ameaças cibernéticas (CTI) pode vir de muitas fontes. As fontes incluem feeds de dados de código aberto, comunidades de compartilhamento de informações sobre ameaças, feeds de inteligência pagos e investigações de segurança dentro das organizações. A CTI pode variar de relatórios escritos sobre as motivações, infraestrutura e técnicas de um agente de ameaças a observações específicas de endereços IP, domínios e hashes de arquivos. A CTI fornece contexto essencial para atividades incomuns, para que o pessoal de segurança possa agir rapidamente para proteger pessoas e bens.
A CTI mais utilizada em soluções SIEM como o Microsoft Sentinel são os dados de indicadores de ameaça, às vezes chamados de Indicadores de Comprometimento (IoCs). Os indicadores de ameaça associam URLs, hashes de ficheiros, endereços IP e outros dados a atividades de ameaças conhecidas, como phishing, botnets ou malware. Essa forma de inteligência de ameaças é frequentemente chamada de inteligência tática contra ameaças, porque os produtos de segurança e automação podem usá-la em grande escala para proteger e detetar ameaças potenciais. O Microsoft Sentinel pode ajudar a detetar, responder e fornecer contexto CTI para atividades cibernéticas maliciosas.
Você pode integrar inteligência contra ameaças (TI) ao Microsoft Sentinel por meio das seguintes atividades:
Use conectores de dados para várias plataformas de TI para importar informações sobre ameaças para o Microsoft Sentinel.
Visualize e gerencie a inteligência de ameaças importada em Logs e na nova área de Inteligência de Ameaças do Microsoft Sentinel.
Use os modelos de regras do Google Analytics integrados para gerar alertas e incidentes de segurança usando sua inteligência de ameaças importada.
Visualize informações críticas sobre sua inteligência de ameaças no Microsoft Sentinel com a pasta de trabalho Threat Intelligence.
Execute a caça a ameaças com sua inteligência de ameaças importada.
