Introducción
Microsoft Sentinel proporciona una tabla para almacenar los datos de los indicadores accesibles en las consultas del lenguaje de consulta Kusto (KQL). La página de inteligencia sobre amenazas de Microsoft Sentinel proporciona las opciones de administración para mantener los indicadores.
Usted es un analista de operaciones de seguridad que trabaja en una empresa que ha implementado Microsoft Sentinel. Ha recibido indicadores de amenazas de los proveedores de inteligencia sobre amenazas y del equipo de búsqueda de amenazas. Los indicadores incluyen direcciones IP, dominios y hash de archivo que pueden usar muchos componentes de Microsoft Sentinel.
Los indicadores de los proveedores de inteligencia sobre amenazas se importan automáticamente en el área de trabajo mediante conectores. Le han encargado la tarea de agregar los indicadores del equipo de búsqueda de amenazas. Usará la página de inteligencia sobre amenazas para agregar los indicadores que se utilizarán en las consultas de KQL de detección.
Después de completar este módulo, podrá:
- Administrar indicadores de amenazas en Microsoft Sentinel
- Usar KQL para acceder a los indicadores de amenazas en Microsoft Sentinel
Requisitos previos
Conocimientos básicos de conceptos operativos como supervisión, registro y creación de alertas.