管理威脅指標
透過可從 Microsoft Sentinel 功能表存取的威脅情報區域,您甚至也可以在不需撰寫記錄查詢的情況下,檢視、排序、篩選及搜尋已匯入的威脅指標。 此區域也讓您可以直接在 Microsoft Sentinel 介面內建立威脅指標,並執行日常威脅情報管理工作。 這些工作包括指標標記及建立與安全性調查相關的新指標。 讓我們來看看兩項最常見的工作:建立新的威脅指標和標記指標以便分組和參考。
開啟 Azure 入口網站,然後瀏覽至 Microsoft Sentinel 服務。
使用威脅情報資料連接器,選擇您已將威脅指標匯入的工作區。
從 [Microsoft Sentinel] 功能表的 [威脅管理] 區段,選取 [威脅情報]。
在頁面頂端的功能表中,選取 [新增] 按鈕。
選擇指標類型,然後在新的指標窗格上完成標示紅色星號 ( * ) 的必要欄位。 選取套用。
標記威脅指標即可將輕鬆分組以更容易尋找指標。 一般來說,您可能會將標記套用至與特定事件相關的指標,或代表來自已知執行者或已知攻擊活動的威脅指標。 您可以個別標記威脅指標,或多重選取指標再一次完成標記。 由於標記是自由格式,建議的作法是為威脅指標標記建立標準命名慣例。 您可以將多個標記套用到各個指標。