簡介
Microsoft Sentinel 提供資料表來儲存可供 Kusto 查詢語言 (KQL) 查詢存取的指標資料。 Microsoft Sentinel 中的 [威脅情報] 頁面提供維護指標的管理選項。
您在一家實作 Microsoft Sentinel 的公司擔任安全性作業分析師。 您會收到來自威脅情報提供者和威脅搜捕團隊的威脅指標。 指標包含 IP 位址、網域和檔案雜湊,可供 Microsoft Sentinel 內的許多元件使用。
來自威脅情報提供者的指標會透過連接器自動匯入工作區。 您的工作是新增來自威脅搜捕小組的指標。 您要使用威脅情報分頁來新增指標,以供偵測 KQL 查詢使用。
完成本單元後,您將能夠:
- 在 Microsoft Sentinel 中管理威脅指示器
- 使用 KQL 存取 Microsoft Sentinel 中的威脅指示器
必要條件
操作概念的基本知識,例如監視、記錄及警示。