Analýza hrozeb v Microsoft Sentinelu

Microsoft Sentinel je řešení pro správu událostí a informací o zabezpečení nativních pro cloud, které dokáže ingestovat, kurátorovat a spravovat analýzy hrozeb z mnoha zdrojů.

Důležité

Po 31. březnu 2027 už Microsoft Sentinel nebude podporován na webu Azure Portal a bude dostupný jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel na webu Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender.

Úvod do analýzy hrozeb

Cyber threat intelligence (CTI) je informace, které popisují stávající nebo potenciální hrozby pro systémy a uživatele. Toto zpravodajství má mnoho forem, jako jsou psané zprávy, které podrobně uvádějí motivaci, infrastrukturu a techniky určitého aktéra hrozby. Může to být také konkrétní pozorování IP adres, domén, hodnot hash souborů a dalších artefaktů spojených se známými kybernetickými hrozbami.

Organizace používají CTI k zajištění základního kontextu neobvyklé aktivity, aby pracovníci zabezpečení mohli rychle podniknout opatření k ochraně svých lidí, informací a prostředků. CTI můžete získat z mnoha míst, například:

• Datové kanály otevřeného zdrojového kódu
• Komunity pro sdílení informací o hrozbách
• Zpravodajské kanály obchodního zpravodajství
• Místní inteligence shromážděná v průběhu vyšetřování zabezpečení v rámci organizace

U řešení SIEM, jako je Microsoft Sentinel, jsou nejběžnějšími formami CTI indikátory hrozeb, které se označují také jako indikátory ohrožení (IOC) nebo indikátory útoku. Indikátory hrozeb jsou data, která přidružují zjištěné artefakty, jako jsou adresy URL, hodnoty hash souborů nebo IP adresy se známými aktivitami hrozeb, jako jsou phishing, botnety nebo malware. Tato forma analýzy hrozeb se často označuje jako taktická analýza hrozeb. Používá se u bezpečnostních produktů a automatizace ve velkém měřítku, aby bylo možné detekovat potenciální hrozby pro organizaci a chránit před nimi.

Další omezující vlastnost analýzy hrozeb představuje aktéry hrozeb, jejich techniky, taktiky a postupy (TTPS), jejich infrastrukturu a identity obětí. Microsoft Sentinel podporuje správu těchto aspektů společně s indikátory kompromitace, vyjádřenými pomocí opensourcového standardu pro výměnu CTI označovaného jako strukturovaný výraz pro informace o hrozbách (STIX). Analýza hrozeb vyjádřená jako objekty STIX zlepšuje interoperabilitu a organizacím umožňuje efektivněji lovit. Pomocí objektů STIX analýzy hrozeb v Microsoft Sentinelu můžete detekovat škodlivou aktivitu ve vašem prostředí a poskytnout úplný kontext útoku, abyste mohli informovat rozhodnutí o reakci.

Následující tabulka popisuje aktivity potřebné k zajištění většiny integrace analýzy hrozeb (TI) v Microsoft Sentinelu:

Akce	Popis
Ukládejte informace o hrozbách v pracovním prostoru Microsoft Sentinel	Importujte zpravodajství o hrozbách do služby Microsoft Sentinel aktivací datových konektorů pro různé platformy a kanály zpravodajství o hrozbách. Připojte analýzu hrozeb k Microsoft Sentinelu pomocí rozhraní API pro nahrávání a připojte různé platformy TI nebo vlastní aplikace. Vytvářejte analýzu hrozeb pomocí zjednodušeného rozhraní pro správu.
Správa zpravodajství o hrozbách	Umožňuje zobrazit importované analýzy hrozeb pomocí dotazů nebo rozšířeného vyhledávání. Kurátorování analýzy hrozeb pomocí relací, pravidel příjmu dat nebo značek Vizualizujte klíčové informace o vašem TI pomocí pracovních listů.
Použití analýzy hrozeb	Detekujte hrozby a vygenerujte výstrahy zabezpečení a incidenty pomocí předdefinovaných šablon analytických pravidel na základě analýzy hrozeb. Pronásledujte hrozby pomocí informací o hrozbách a položte správné otázky týkající se signálů zachycených pro vaši organizaci.

Analýza hrozeb také poskytuje užitečný kontext v rámci jiných prostředí Microsoft Sentinelu, jako jsou poznámkové bloky. Další informace naleznete v tématu Začínáme s poznámkovými bloky a MSTICPy.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Import a propojení analýzy hrozeb

Většina analýz hrozeb se importuje prostřednictvím datových konektorů nebo rozhraní API. Nakonfigurujte pravidla příjmu dat pro konektory dat, abyste snížili šum a zajistili optimalizaci informačních kanálů. Tady jsou dostupná řešení pro Microsoft Sentinel.

• Datový konektor Microsoft Defender Threat Intelligence k ingestování inteligence hrozeb od Microsoftu
• Analýza hrozeb – datový konektor TAXII pro standardní informační kanály STIX/TAXII
• Rozhraní API pro nahrání analýzy hrozeb pro integrované a kurátorované informační kanály TI pomocí rozhraní REST API pro připojení (nevyžaduje datový konektor)
• Datový konektor Threat Intelligence Platform také připojuje informační kanály TI pomocí staršího rozhraní REST API, ale je na cestě k vyřazení.

Tato řešení používejte v libovolné kombinaci v závislosti na tom, kde vaše organizace využívá analýzu hrozeb. Všechny tyto datové konektory jsou k dispozici v centru obsahu jako součást řešení Analýza hrozeb . Další informace o tomto řešení najdete v položce Analýzy hrozeb na Webu Azure Marketplace.

Podívejte se také na tento katalog integrací analýzy hrozeb , které jsou k dispozici v Microsoft Sentinelu.

Přidejte informace o hrozbách do Microsoft Sentinelu pomocí datového konektoru Defender Threat Intelligence.

Přineste do pracovního prostoru Microsoft Sentinel veřejné, open-source a vysoké přesnosti indikátory kompromitace vygenerované službou Defender Threat Intelligence pomocí datových konektorů Defender Threat Intelligence. Pomocí jednoduchého nastavení jedním kliknutím můžete pomocí inteligentních informací o hrozbách ze standardních a prémiových datových konektorů Defender Threat Intelligence monitorovat, upozorňovat a proaktivně hledat.

K dispozici jsou dvě verze datového konektoru: Standard a Premium. K dispozici je také volně dostupné pravidlo analýzy hrozeb programu Defender Threat Intelligence, které vám poskytne ukázku toho, co poskytuje prémiový datový konektor služby Defender Threat Intelligence. S odpovídající analýzou se ale do vašeho prostředí ingestují jenom indikátory, které odpovídají pravidlu.

Datový konektor Premium Defender Threat Intelligence integruje Microsoftem obohacené otevřené zpravodajské informace a Microsoftem kurátorované indikátory kompromitace. Tyto prémiové funkce umožňují analýzu více zdrojů dat s větší flexibilitou a porozuměním této inteligenci hrozeb. Tady je tabulka, která ukazuje, co očekávat při licencování a povolení verze Premium.

Free	Premium
Veřejné vstupně-výstupní operace
Zpravodajství z otevřených zdrojů (OSINT)
	Vstupně-výstupní operace Microsoftu
	OSINT obohacený společností Microsoft

Další informace najdete v následujících článcích:

• Informace o tom, jak získat licenci Premium a prozkoumat všechny rozdíly mezi verzemi Standard a Premium, najdete v tématu Prozkoumání licencí Analýzy hrozeb v programu Defender.
• Další informace o bezplatném prostředí analýzy hrozeb v programu Defender najdete v tématu Představení bezplatného prostředí analýzy hrozeb pro Microsoft Defender XDR.
• Informace o tom, jak povolit Defender Threat Intelligence a prémiové datové konektory Defender Threat Intelligence, najdete v tématu Povolení datového konektoru Defender Threat Intelligence.
• Další informace o shodných analytických možnostech najdete v tématu Použití odpovídající analýzy k detekci hrozeb.

Přidání analýzy hrozeb do Microsoft Sentinelu pomocí rozhraní API pro nahrávání

Mnoho organizací používá řešení platformy pro analýzu hrozeb (TIP) k agregaci informačních kanálů indikátorů hrozeb z různých zdrojů. Z agregovaného informačního kanálu se data zpracovávají a využívají pro bezpečnostní řešení, jako jsou síťová zařízení, řešení EDR/XDR nebo SIEM, například Microsoft Sentinel. Pomocí rozhraní API pro nahrávání můžete tato řešení použít k importu objektů STIX analýzy hrozeb do Služby Microsoft Sentinel.

Nové rozhraní API pro nahrávání nevyžaduje datový konektor a nabízí následující vylepšení:

• Pole indikátoru hrozby jsou založená na standardizovaném formátu STIX.
• Aplikace Microsoft Entra vyžaduje roli Přispěvatel do Microsoft Sentinel.
• Koncový bod požadavku rozhraní API je vymezen na úrovni pracovního prostoru. Požadovaná oprávnění aplikace Microsoft Entra umožňují podrobné přiřazení na úrovni pracovního prostoru.

Další informace najdete v tématu Připojení platformy analýzy hrozeb pomocí rozhraní API pro nahrávání.

Přidání analýzy hrozeb do Microsoft Sentinelu pomocí datového konektoru Threat Intelligence Platform

Poznámka:

Tento datový konektor je zastaralý.

Podobně jako API pro nahrávání, využívá datový konektor platformy Threat Intelligence API, které umožňuje vašemu TIP nebo vlastnímu řešení posílat analýzu hrozeb do Microsoft Sentinelu. Tento datový konektor je však omezen pouze na indikátory a je zastaralý. Využijte optimalizace, které rozhraní API pro nahrávání nabízí.

Datový konektor TIP používá rozhraní MICROSOFT Graph Security tiIndicators API , které nepodporuje jiné objekty STIX. Použijte ho s libovolným vlastním TIP (Threat Intelligence Platform), který komunikuje s rozhraním API tiIndicators k odesílání indikátorů do Microsoft Sentinelu (a do jiných řešení zabezpečení Microsoftu, jako je Microsoft Defender XDR).

Další informace o řešeních TIP integrovaných s Microsoft Sentinelem najdete v tématu Integrované produkty platformy analýzy hrozeb. Další informace najdete v tématu Připojení platformy analýzy hrozeb k Microsoft Sentinelu.

Přidání analýzy hrozeb do Microsoft Sentinelu pomocí datového konektoru TAXII

Nejrozšířenější oborový standard pro přenos analýzy hrozeb je kombinace datového formátu STIX a protokolu TAXII. Pokud vaše organizace získá analýzu hrozeb z řešení, která podporují aktuální verzi STIX/TAXII (2.0 nebo 2.1), pomocí datového konektoru Threat Intelligence – TAXII můžete přenést analýzu hrozeb do Microsoft Sentinelu. Pomocí datového konektoru Analýza hrozeb – TAXII má Microsoft Sentinel integrovaný klient TAXII, který importuje analýzu hrozeb ze serverů TAXII 2.x.

Import analýzy hrozeb ve formátu STIX do Microsoft Sentinelu ze serveru TAXII:

1. Získejte ID kořenového rozhraní API serveru TAXII a ID kolekce.
2. Povolení datového konektoru Threat Intelligence – TAXII v Microsoft Sentinelu

Další informace najdete v tématu Připojení Microsoft Sentinelu ke zpravodajským kanálům hrozeb STIX/TAXII.

Vytvoření a správa analýzy hrozeb

Analýzy hrozeb založené na službě Microsoft Sentinel se spravují vedle analýzy hrozeb v programu Microsoft Defender (MDTI) a Analýzy hrozeb na portálu Microsoft Defender.

Poznámka:

Stále máte přístup k informacím o hrozbách v Azure portálu prostřednictvím Microsoft Sentinel>Správa hrozebInteligence hrozeb>.

Dvě z nejběžnějších úloh analýzy hrozeb vytvářejí nové inteligentní funkce hrozeb související s vyšetřováním zabezpečení a přidáváním značek. Rozhraní pro správu zjednodušuje ruční proces kurátorování jednotlivých informací o hrozbách pomocí několika klíčových funkcí.

• Nakonfigurujte pravidla příjmu dat pro optimalizaci informací o hrozbách ze zdrojů datových konektorů.
• Definujte relace při vytváření nových objektů STIX.
• Kurátorujte existující TI pomocí tvůrce relací.
• Pomocí duplicitní funkce zkopírujte běžná metadata z nového nebo existujícího objektu TI.
• Pomocí vícenásobného výběru přidejte do objektů volné značky.

V Microsoft Sentinelu jsou k dispozici následující objekty STIX:

Objekt STIX	Popis
Aktér hrozby	Od amatérských hackerů po národní státy, objekty kyberútočníků popisují motivaci, sofistikovanost a úrovně zdrojů.
Model útoku	Známé také jako techniky, taktiky a postupy, vzory útoku popisují konkrétní komponentu útoku a fázi MITRE ATT&CK, na které se používá.
Indikátor	Domain name, URL, IPv4 address, IPv6 addressaFile hashes X509 certificates slouží k ověření identity zařízení a serverů pro zabezpečenou komunikaci přes internet. JA3 otisky prstů jsou jedinečné identifikátory generované procesem handshake PROTOKOLU TLS/SSL. Pomáhají identifikovat konkrétní aplikace a nástroje používané v síťovém provozu, což usnadňuje detekci škodlivých aktivit. Otisky prstů rozšiřují možnosti JA3 také zahrnutím charakteristik specifických pro server v procesu fingerprintingu. Toto rozšíření poskytuje komplexnější pohled na síťový provoz a pomáhá identifikovat hrozby na straně klienta i serveru. User agents poskytnout informace o klientském softwaru provádějícím požadavky na server, jako je prohlížeč nebo operační systém. Jsou užitečné při identifikaci a profilaci zařízení a aplikací, které přistupují k síti.
Identita	Popis obětí, organizací a dalších skupin nebo jednotlivců spolu s obchodními sektory, které s nimi nejvíce souvisejí.
Vztah	Vlákna, která propojují zpravodajství o hrozbách a pomáhají vytvářet vazby mezi různorodými signály a datovými body, jsou vyjádřena pomocí vztahů.

Konfigurace pravidel příjmu dat

Analýzu hrozeb z datových konektorů můžete optimalizovat filtrováním a vylepšením objektů před jejich doručením do vašeho pracovního prostoru. Pravidla příjmu dat se vztahují jenom na datové konektory a neovlivňují analýzu hrozeb přidanou prostřednictvím rozhraní API pro nahrávání nebo vytvořené ručně. Pravidla příjmu dat aktualizují atributy nebo filtrují objekty úplně. Následující tabulka uvádí některé případy použití:

Případ použití pravidla ingestování	Popis
Snížení šumu	Vyfiltrujte staré analýzy hrozeb, které se neaktualizují po dobu šesti měsíců, které mají také nízkou spolehlivost.
Prodlužte datum platnosti	Podpořte vysoce přesné indikátory kompromitace z důvěryhodných zdrojů prodloužením jejich Valid until o 30 dnů.
Pamatovat si staré dny	Nová taxonomie hrozebných aktérů je skvělá, ale někteří analytici chtějí mít jistotu o označení starých názvů.

Při používání pravidel příjmu dat mějte na paměti následující tipy:

• Všechna pravidla platí v pořadí. Objekty analýzy hrozeb, které jsou přijímány, budou zpracovávány jednotlivými pravidly, dokud nebude provedena akce Delete. Pokud u objektu není provedena žádná akce, přijímá se ze zdroje tak, jak je.
• Akce Delete znamená, že se objekt zpravodajské informace o hrozbách vynechá při zpracování, tím se odebere z kanálu. Všechny předchozí verze objektu, které už byly ingestované, nejsou ovlivněny.
• Platnost nových a upravených pravidel trvá až 15 minut.

Další informace najdete v tématu Práce s pravidly příjmu analýzy hrozeb.

Vytvoření vztahů

Detekci hrozeb a odpověď můžete vylepšit vytvořením připojení mezi objekty pomocí tvůrce relací. V následující tabulce jsou uvedeny některé případy použití:

Případ použití vztahu	Popis
Připojit hrozebného aktéra ke vzoru útoku	Útočník APT29používá vzorec Phishing via Email útoku k získání počátečního přístupu.
Propojte indikátor s aktérem hrozeb	Doménový ukazatel allyourbase.contoso.com je přiřazen hrozebnému herci APT29.
Přidružení identity (oběti) k vzoru útoku	Model Phishing via Email útoku cílí na FourthCoffee organizaci.

Následující obrázek ukazuje, jak tvůrce vztahů spojuje všechny tyto případy použití.

Spravovat zpravodajství o hrozbách

Nakonfigurujte objekty TI, které můžete sdílet s příslušnými cílovými skupinami, tak, že navrhnete úroveň citlivosti s názvem TLP (Traffic Light Protocol).

Barva TLP	Citlivost
Bílá	Informace lze volně a veřejně sdílet bez jakýchkoli omezení.
Zelený	Informace se dají sdílet s kolegy a partnerskými organizacemi v rámci komunity, ale ne veřejně. Je určen pro širší publikum v rámci komunity.
Jantar	Informace se dají sdílet s členy organizace, ale ne veřejně. Účelem je použít v rámci organizace k ochraně citlivých informací.
Červený	Informace jsou vysoce citlivé a neměly by být sdíleny mimo konkrétní skupinu nebo schůzku, kde byly původně zpřístupněny.

Při vytváření nebo úpravách nastavte hodnoty TLP pro objekty TI v uživatelském rozhraní. Nastavení TLP prostřednictvím rozhraní API je méně intuitivní a vyžaduje volbu jednoho ze čtyř marking-definition identifikátorů GUID objektů. Další informace o konfiguraci TLP prostřednictvím rozhraní API najdete v tématu object_marking_refs v běžných vlastnostech rozhraní API pro nahrávání.

Dalším způsobem, jak kurátorovat TI, je použití značek. Označování inteligentních hrozeb je rychlý způsob, jak seskupit objekty dohromady, aby bylo snazší je najít. Obvykle můžete použít značky související s konkrétním incidentem. Pokud ale objekt představuje hrozby od určitého známého subjektu nebo dobře známé útokové kampaně, zvažte vytvoření vztahu místo značky. Jakmile vyhledáte a vyfiltrujete analýzu hrozeb, se kterou chcete pracovat, označte je jednotlivě nebo vícenásobným výběrem a označte je všechny najednou. Vzhledem k tomu, že označování je bezplatné, vytvořte standardní zásady vytváření názvů pro značky analýzy hrozeb.

Další informace najdete v tématu Práce s analýzou hrozeb v Microsoft Sentinelu.

Zobrazení analýzy hrozeb

Zobrazení analýzy hrozeb z rozhraní pro správu nebo pomocí dotazů:

• V rozhraní pro správu můžete pomocí rozšířeného vyhledávání řadit a filtrovat objekty analýzy hrozeb bez psaní dotazu Log Analytics.

  

• Pomocí dotazů můžete zobrazit analýzu hrozeb z protokolů na webu Azure Portal nebo rozšířené proaktivní vyhledávání na portálu Defender.

  V obou směrech se v ThreatIntelligenceIndicator tabulce pod schématem Microsoft Sentinelu ukládají všechny indikátory hrozeb Microsoft Sentinelu. Tato tabulka je základem pro dotazy analýzy hrozeb prováděné jinými funkcemi Microsoft Sentinelu, jako jsou analýzy, dotazy proaktivního vyhledávání a sešity.

Důležité

Dne 3. dubna 2025 jsme veřejně náhledovali dvě nové tabulky, které podporují indikátory STIX a schémata objektů: ThreatIntelIndicators a ThreatIntelObjects. Microsoft Sentinel bude ingestovat všechny inteligentní informace o hrozbách do těchto nových tabulek a zároveň bude dál ingestovat stejná data do starší ThreatIntelligenceIndicator tabulky až do 31. července 2025. Nezapomeňte aktualizovat vlastní dotazy, pravidla analýzy a detekce, sešity a automatizaci tak, aby nové tabulky používaly do 31. července 2025. Po tomto datu přestane Microsoft Sentinel ingestovat data do starší ThreatIntelligenceIndicator tabulky. Aktualizujeme všechna předem hotová řešení analýzy hrozeb v centru obsahu, aby využívaly nové tabulky. Další informace o nových schématech tabulek naleznete v tématu ThreatIntelIndicators a ThreatIntelObjects. Informace o používání a migraci do nových tabulek najdete v tématu Práce s objekty STIX za účelem vylepšení analýzy hrozeb a proaktivního vyhledávání hrozeb v Microsoft Sentinelu (Preview).

Životní cyklus analýzy hrozeb

Microsoft Sentinel ukládá data analýzy hrozeb do tabulek analýzy hrozeb a každých 7 až 10 dnů automaticky reingestuje všechna data, aby se optimalizovala efektivita dotazů.

Když se vytvoří, aktualizuje nebo odstraní indikátor, Vytvoří Microsoft Sentinel v tabulkách novou položku. V rozhraní pro správu se zobrazí pouze nejaktuálnější indikátor. Microsoft Sentinel deduplikuje indikátory na základě vlastnosti Id (vlastnost IndicatorId ve starší ThreatIntelligenceIndicator) a zvolí indikátor s nejnovějším TimeGenerated[UTC].

Vlastnost Id je zřetězením base64-kódované hodnoty SourceSystem, --- (tři pomlčky) a stixId, což je hodnota Data.Id.

Prohlédněte si obohacení dat GeoLocation a WhoIs (veřejná ukázka)

Microsoft obohacuje indikátory IP adres a domén o další data GeoLocation a WhoIs a tím poskytuje více kontextu pro šetření, kde se vybraný IOC nachází.

Zobrazení GeoLocation a WhoIs data v podokně Analýza hrozeb pro tyto typy indikátorů hrozeb importovaných do Microsoft Sentinelu

Pomocí GeoLocation dat můžete například najít informace, jako je organizace nebo země nebo oblast pro indikátor IP adresy. Můžete použít data WhoIs k vyhledání informací, jako jsou údaje o registrátorovi a vytváření záznamů z indikátoru domény.

Detekce hrozeb pomocí analýzy indikátorů hrozeb

Nejdůležitějším případem použití inteligence o hrozbách v řešeních SIEM, jako je Microsoft Sentinel, je posílení analytických pravidel pro detekci hrozeb. Tato pravidla založená na ukazatelích porovnávají nezpracované události z vašich zdrojů dat s indikátory hrozeb a detekují bezpečnostní hrozby ve vaší organizaci. V Microsoft Sentinel Analytics vytvoříte analytická pravidla založená na dotazech, které běží podle plánu a generují výstrahy zabezpečení. Spolu s konfiguracemi určují, jak často se má pravidlo spouštět, jaký druh výsledků dotazů by měl generovat výstrahy zabezpečení a incidenty a volitelně kdy aktivovat automatizovanou odpověď.

I když můžete vždy vytvářet nová analytická pravidla úplně od začátku, Microsoft Sentinel poskytuje sadu předdefinovaných šablon pravidel, které vytvořili technici zabezpečení Microsoftu, a využívají tak indikátory hrozeb. Tyto šablony jsou založené na typu indikátorů hrozeb (doména, e-mail, hodnota hash souboru, IP adresa nebo adresa URL) a událostech zdroje dat, které chcete spárovat. Každá šablona obsahuje seznam požadovaných zdrojů, které jsou potřeba pro fungování pravidla. Tyto informace usnadňují určení, jestli se v Microsoft Sentinelu už naimportují potřebné události.

Ve výchozím nastavení se při aktivaci těchto předdefinovaných pravidel vytvoří upozornění. Výstrahy vygenerované z analytických pravidel v Microsoft Sentinelu generují také incidenty zabezpečení. V nabídce Microsoft Sentinel v části Správa hrozeb vyberte Incidenty. Incidenty jsou to, co týmy provozu zabezpečení zjišťují a prošetřují, aby určily příslušné akce reakce. Další informace najdete v tématu Kurz: Zkoumání incidentů pomocí služby Microsoft Sentinel.

Další informace o používání indikátorů hrozeb v analytických pravidlech najdete v tématu Použití analýzy hrozeb k detekci hrozeb.

Microsoft poskytuje přístup ke své analýze hrozeb prostřednictvím analytického pravidla Analýzy hrozeb v programu Defender. Další informace o tom, jak toto pravidlo využít, které generuje výstrahy a incidenty s vysokou věrností, najdete v tématu Použití odpovídající analýzy k detekci hrozeb.

Sešity poskytují přehledy o vaší analýze hrozeb

Sešity poskytují výkonné interaktivní řídicí panely, které poskytují přehled o všech aspektech Microsoft Sentinel, a analýza hrozeb není výjimkou. Pomocí integrovaného sešitu analýzy hrozeb můžete vizualizovat klíčové informace o vaší analýze hrozeb. Přizpůsobte si sešit podle potřeb vaší firmy. Vytvořte nové řídicí panely kombinací mnoha zdrojů dat, které vám pomůžou data vizualizovat jedinečnými způsoby.

Vzhledem k tomu, že sešity Služby Microsoft Sentinel jsou založené na sešitech služby Azure Monitor, jsou již k dispozici rozsáhlá dokumentace a mnoho dalších šablon. Další informace najdete v tématu Vytváření interaktivních sestav pomocí sešitů Azure Monitoru.

Existuje také bohatý prostředek pro sešity Azure Monitoru na GitHubu, kde si můžete stáhnout další šablony a přispívat vlastními šablonami.

Další informace o použití a přizpůsobení sešitu analýzy hrozeb najdete v tématu Vizualizace analýzy hrozeb pomocí sešitů.

Související obsah

V tomto článku jste se dozvěděli o možnostech analýzy hrozeb využívajících Microsoft Sentinel. Další informace najdete v následujících článcích:

• Nové objekty STIX v Microsoft Sentinelu
• Odkrytí nežádoucích uživatelů pomocí analýzy hrozeb na portálu Defender
• Proaktivní vyhledávání na portálu Defender