Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Sentinel est une solution SIEM (Security Information and Event Management) native cloud qui peut ingérer, organiser et gérer le renseignement sur les menaces à partir de nombreuses sources.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Présentation du renseignement sur les menaces
Le renseignement sur les cybermenaces (CTI) est une information qui décrit les menaces existantes ou potentielles pour les systèmes et les utilisateurs. Ces renseignements prennent de nombreuses formes, comme des rapports écrits qui détaillent les motivations, l’infrastructure et les techniques d’un acteur de menace particulier. Il peut également s’agir d’observations spécifiques d’adresses IP, de domaines, de hachages de fichiers et d’autres artefacts associés aux cybermenaces connues.
Les organisations utilisent CTI pour fournir un contexte essentiel aux activités inhabituelles afin que le personnel de sécurité puisse rapidement prendre des mesures pour protéger leurs personnes, leurs informations et leurs ressources. Vous pouvez sourcer CTI à partir de nombreux endroits, tels que :
- Flux de données open source
- Communautés de partage de renseignements sur les menaces
- Flux d’intelligence commerciale
- Renseignements locaux recueillis au cours d’enquêtes de sécurité au sein d’un organization
Pour les solutions SIEM comme Microsoft Sentinel, les formes les plus courantes de CTI sont les indicateurs de menace, également appelés indicateurs de compromission (ICS) ou indicateurs d’attaque. Les indicateurs de menace sont des données qui associent des artefacts observés tels que des URL, des hachages de fichiers ou des adresses IP à une activité de menace connue, comme le hameçonnage, les botnets ou les programmes malveillants. Cette forme de renseignement sur les menaces est souvent appelée renseignement tactique sur les menaces. Il est appliqué aux produits de sécurité et à l’automatisation à grande échelle pour détecter les menaces potentielles pour un organization et vous protéger contre ces menaces.
Une autre facette du renseignement sur les menaces représente les acteurs des menaces, leurs techniques, tactiques et procédures (TTPs), leur infrastructure et l’identité de leurs victimes. Microsoft Sentinel prend en charge la gestion de ces facettes avec les ICS, exprimées à l’aide de la norme open source pour l’échange de CTI appelée STIX (Structured Threat Information Expression). Le renseignement sur les menaces exprimé sous forme d’objets STIX améliore l’interopérabilité et permet aux organisations de chasser plus efficacement. Utilisez des objets STIX de renseignement sur les menaces dans Microsoft Sentinel pour détecter les activités malveillantes observées dans votre environnement et fournir le contexte complet d’une attaque pour éclairer les décisions de réponse.
Le tableau suivant décrit les activités requises pour tirer le meilleur parti de l’intégration du renseignement sur les menaces (TI) dans Microsoft Sentinel :
| Opération | Description |
|---|---|
| Stocker le renseignement sur les menaces dans l’espace de travail de Microsoft Sentinel |
|
| Gérer le renseignement sur les menaces |
|
| Utiliser les renseignements sur les menaces |
|
Le renseignement sur les menaces fournit également un contexte utile dans d’autres expériences Microsoft Sentinel, telles que les notebooks. Pour plus d’informations, consultez Prise en main des notebooks et MSTICPy.
Remarque
Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du gouvernement des États-Unis, consultez les tables Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du gouvernement des États-Unis.
Importer et connecter le renseignement sur les menaces
La plupart des informations sur les menaces sont importées via des connecteurs de données ou une API. Configurez des règles d’ingestion pour les connecteurs de données afin de réduire le bruit et de vous assurer que vos flux d’intelligence sont optimisés. Voici les solutions disponibles pour Microsoft Sentinel.
- Microsoft Defender Threat Intelligence connecteur de données pour ingérer le renseignement sur les menaces de Microsoft
- Threat Intelligence - Connecteur de données TAXII pour les flux STIX/TAXII standard
- API de chargement Threat Intelligence pour les flux TI intégrés et organisés à l’aide d’une API REST pour se connecter (ne nécessite pas de connecteur de données)
- Le connecteur de données Threat Intelligence Platform connecte également des flux TI à l’aide d’une API REST héritée, mais il est sur le chemin d’accès pour la dépréciation
Utilisez ces solutions dans n’importe quelle combinaison, selon l’endroit où votre organization sources de renseignement sur les menaces. Tous ces connecteurs de données sont disponibles dans le hub de contenu dans le cadre de la solution Threat Intelligence . Pour plus d’informations sur cette solution, consultez l’entrée Azure Marketplace Threat Intelligence.
Consultez également ce catalogue d’intégrations de renseignement sur les menaces disponibles avec Microsoft Sentinel.
Ajouter le renseignement sur les menaces à Microsoft Sentinel avec le connecteur de données Defender Threat Intelligence
Intégrez des E/S publiques, open source et haute fidélité générées par Defender Threat Intelligence dans votre espace de travail Microsoft Sentinel à l’aide des connecteurs de données Defender Threat Intelligence. Avec une configuration simple en un clic, utilisez le renseignement sur les menaces des connecteurs de données Defender Threat Intelligence standard et premium pour surveiller, alerter et chasser.
Deux versions du connecteur de données sont disponibles : standard et premium. Il existe également une règle d’analyse des menaces Defender Threat Intelligence disponible gratuitement qui vous donne un exemple de ce que fournit le connecteur de données Premium Defender Threat Intelligence. Toutefois, avec l’analytique de correspondance, seuls les indicateurs qui correspondent à la règle sont ingérés dans votre environnement.
Le connecteur de données Premium Defender Threat Intelligence ingère l’intelligence open source enrichie par Microsoft et les E/S organisés de Microsoft. Ces fonctionnalités Premium permettent d’analyser davantage de sources de données avec une plus grande flexibilité et une meilleure compréhension de ce renseignement sur les menaces. Voici un tableau qui indique à quoi vous devez vous attendre lorsque vous attribuez une licence et activez la version Premium.
| Gratuit | Premium |
|---|---|
| ICS publics | |
| Intelligence open source (OSINT) | |
| ICS Microsoft | |
| OSINT enrichi par Microsoft |
Si vous souhaitez en savoir plus, consultez les articles suivants :
- Pour savoir comment obtenir une licence Premium et explorer toutes les différences entre les versions standard et Premium, consultez Explorer les licences Defender Threat Intelligence.
- Pour en savoir plus sur l’expérience gratuite de Defender Threat Intelligence, consultez Présentation de l’expérience gratuite Defender Threat Intelligence pour Microsoft Defender XDR.
- Pour savoir comment activer Defender Threat Intelligence et les connecteurs de données Premium Defender Threat Intelligence, consultez Activer le connecteur de données Defender Threat Intelligence.
- Pour en savoir plus sur l’analytique de correspondance, consultez Utiliser l’analytique de correspondance pour détecter les menaces.
Ajouter le renseignement sur les menaces à Microsoft Sentinel avec l’API de chargement
De nombreuses organisations utilisent des solutions de plateforme de renseignement sur les menaces (TIP) pour agréger des flux d’indicateurs de menace provenant de différentes sources. À partir du flux agrégé, les données sont organisées pour s’appliquer à des solutions de sécurité telles que des appareils réseau, des solutions EDR/XDR ou des SIM tels que Microsoft Sentinel. À l’aide de l’API de chargement, vous pouvez utiliser ces solutions pour importer des objets STIX de renseignement sur les menaces dans Microsoft Sentinel.
La nouvelle API de chargement ne nécessite pas de connecteur de données et offre les améliorations suivantes :
- Les champs d’indicateur de menace sont basés sur le format standardisé STIX.
- L’application Microsoft Entra nécessite le rôle Contributeur Microsoft Sentinel.
- Le point de terminaison de demande d’API est étendu au niveau de l’espace de travail. Les autorisations d’application Microsoft Entra requises permettent une attribution granulaire au niveau de l’espace de travail.
Pour plus d’informations, consultez Connecter votre plateforme de renseignement sur les menaces à l’aide de l’API de chargement.
Ajouter le renseignement sur les menaces à Microsoft Sentinel avec le connecteur de données Threat Intelligence Platform
Remarque
Ce connecteur de données est déconseillé.
Tout comme l’API de chargement, le connecteur de données Threat Intelligence Platform utilise une API qui permet à votre tip ou à votre solution personnalisée d’envoyer des informations sur les menaces dans Microsoft Sentinel. Toutefois, ce connecteur de données est limité aux indicateurs et est déprécié. Tirez parti des optimisations proposées par l’API de chargement.
Le connecteur de données TIP utilise l’API Microsoft Graph Security tiIndicators qui ne prend pas en charge les autres objets STIX. Utilisez-le avec n’importe quel TIP personnalisé qui communique avec l’API tiIndicators pour envoyer des indicateurs à Microsoft Sentinel (et à d’autres solutions de sécurité Microsoft comme Defender XDR).
Pour plus d’informations sur les solutions TIP intégrées à Microsoft Sentinel, consultez Produits de plateforme de renseignement sur les menaces intégrées. Pour plus d’informations, consultez Connecter votre plateforme de renseignement sur les menaces à Microsoft Sentinel.
Ajouter le renseignement sur les menaces à Microsoft Sentinel avec le connecteur de données Renseignement sur les menaces - TAXII
La norme industrielle la plus largement adoptée pour la transmission du renseignement sur les menaces est une combinaison du format de données STIX et du protocole TAXII. Si votre organization obtient des informations sur les menaces à partir de solutions qui prennent en charge la version actuelle de STIX/TAXII (2.0 ou 2.1), utilisez le connecteur de données Threat Intelligence - TAXII pour mettre votre renseignement sur les menaces en Microsoft Sentinel. En utilisant le connecteur de données Threat Intelligence - TAXII, Microsoft Sentinel dispose d’un client TAXII intégré qui importe le renseignement sur les menaces à partir de serveurs TAXII 2.x.
Pour importer le renseignement sur les menaces au format STIX dans Microsoft Sentinel à partir d’un serveur TAXII :
- Obtenez la racine et l’ID de collection de l’API du serveur TAXII.
- Activez le connecteur de données Renseignement sur les menaces - TAXII dans Microsoft Sentinel.
Pour plus d’informations, consultez Connecter Microsoft Sentinel aux flux de renseignement sur les menaces STIX/TAXII.
Créer et gérer le renseignement sur les menaces
Le renseignement sur les menaces alimenté par Microsoft Sentinel est géré en regard de Microsoft Defender Threat Intelligence (MDTI) et Threat Analytics dans le portail Microsoft Defender.
Remarque
Vous accédez toujours au renseignement sur les menaces dans le Portail Azure à partir de Microsoft Sentinel> Gestion du renseignement sur les>menaces.
Deux des tâches de renseignement sur les menaces les plus courantes sont la création de nouvelles informations sur les menaces liées aux enquêtes de sécurité et l’ajout d’étiquettes. L’interface de gestion simplifie le processus manuel d’organisation des informations sur les menaces individuelles à l’aide de quelques fonctionnalités clés.
- Configurez des règles d’ingestion pour optimiser l’intelligence des menaces à partir de sources de connecteur de données.
- Définissez des relations lorsque vous créez des objets STIX.
- Organisez l’ti existant à l’aide du générateur de relations.
- Copiez les métadonnées courantes à partir d’un objet TI nouveau ou existant à l’aide de la fonctionnalité dupliquée.
- Ajoutez des balises de forme libre aux objets à l’aide de la sélection multiple.
Les objets STIX suivants sont disponibles dans Microsoft Sentinel : 
| Objet STIX | Description |
|---|---|
| Acteur de menace | Des kiddies de script aux États-nations, les objets d’acteur de menace décrivent les motivations, la sophistication et les niveaux de ressources. |
| Modèle d’attaque | Également appelés techniques, tactiques et procédures, les modèles d’attaque décrivent un composant spécifique d’une attaque et l’étape MITRE ATT&CK sur laquelle il est utilisé. |
| Indicateur |
Domain name, URL, IPv4 address, IPv6 address, et File hashesX509 certificates sont utilisés pour authentifier l’identité des appareils et des serveurs pour une communication sécurisée sur Internet.
JA3 les empreintes digitales sont des identificateurs uniques générés à partir du processus d’établissement d’une liaison TLS/SSL. Ils aident à identifier des applications et des outils spécifiques utilisés dans le trafic réseau, ce qui facilite la détection des activitésJA3S malveillantes par les empreintes digitales et étend les fonctionnalités de JA3 en incluant également des caractéristiques spécifiques au serveur dans le processus d’empreinte digitale. Cette extension fournit une vue plus complète du trafic réseau et permet d’identifier les menaces côté client et côté serveur.
User agents fournissent des informations sur le logiciel client qui adresse des requêtes à un serveur, tel que le navigateur ou le système d’exploitation. Ils sont utiles pour identifier et profiler les appareils et les applications qui accèdent à un réseau. |
| Identity | Décrire les victimes, les organisations et d’autres groupes ou individus ainsi que les secteurs d’activité les plus étroitement associés. |
| Relation | Les threads qui connectent le renseignement sur les menaces, ce qui permet d’établir des connexions entre des signaux et des points de données disparates, sont décrits avec des relations. |
Configurer des règles d’ingestion
Vous pouvez optimiser le renseignement sur les menaces à partir des connecteurs de données en filtrant et en améliorant les objets avant qu’ils ne soient remis à votre espace de travail. Les règles d’ingestion s’appliquent uniquement aux connecteurs de données et n’affectent pas le renseignement sur les menaces ajouté via l’API de chargement ou créé manuellement. Les règles d’ingestion mettent à jour les attributs ou filtrent complètement les objets. Le tableau suivant répertorie certains cas d’usage :
| Cas d’utilisation de la règle d’ingestion | Description |
|---|---|
| Réduire le bruit | Filtrez les anciennes informations sur les menaces qui ne sont pas mises à jour pendant six mois et qui ont également un niveau de confiance faible. |
| Étendre la date de validité | Promouvez les ICS haute fidélité à partir de sources approuvées en étendant leurs Valid until de 30 jours. |
| Rappelez-vous les anciens jours | La nouvelle taxonomie d’acteur de menace est excellente, mais certains analystes veulent être sûrs de baliser les anciens noms. |
Gardez à l’esprit les conseils suivants lors de l’utilisation de règles d’ingestion :
- Toutes les règles s’appliquent dans l’ordre. Les objets de renseignement sur les menaces ingérés sont traités par chaque règle jusqu’à ce qu’une
Deleteaction soit effectuée. Si aucune action n’est effectuée sur un objet, il est ingéré à partir de la source telle quelle. - L’action
Deletesignifie que l’objet threat intelligence est ignoré pour l’ingestion, ce qui signifie qu’il est supprimé du pipeline. Les versions précédentes de l’objet déjà ingéré ne sont pas affectées. - Les règles nouvelles et modifiées prennent jusqu’à 15 minutes.
Pour plus d’informations, consultez Utiliser des règles d’ingestion threat intelligence.
Créer des relations
Vous pouvez améliorer la détection et la réponse aux menaces en établissant des connexions entre les objets à l’aide du générateur de relations. Le tableau suivant répertorie certains de ses cas d’usage :
| Cas d’usage de relation | Description |
|---|---|
| Connecter un acteur de menace à un modèle d’attaque | L’acteur de APT29 menace utilise le modèle Phishing via Email d’attaque pour obtenir l’accès initial. |
| Lier un indicateur à un acteur de menace | Un indicateur allyourbase.contoso.com de domaine est Attribué à l’acteur APT29de menace . |
| Associer une identité (victime) à un modèle d’attaque | Le modèle d’attaque Phishing via Emailcible le FourthCoffee organization. |
L’image suivante montre comment le générateur de relations connecte tous ces cas d’usage.
Organiser le renseignement sur les menaces
Configurez les objets TI que vous pouvez partager avec les audiences appropriées en désignant un niveau de sensibilité appelé TLP (Traffic Light Protocol).
| Couleur TLP | Niveau de confidentialité |
|---|---|
| Blanc | Les informations peuvent être partagées librement et publiquement sans aucune restriction. |
| Vert | Les informations peuvent être partagées avec des pairs et des organisations partenaires au sein de la communauté, mais pas publiquement. Il est destiné à un public plus large au sein de la communauté. |
| Ambre | Les informations peuvent être partagées avec les membres du organization, mais pas publiquement. Il est destiné à être utilisé dans le organization pour protéger les informations sensibles. |
| Rouge | Les informations sont très sensibles et ne doivent pas être partagées en dehors du groupe ou de la réunion où elles ont été divulguées à l’origine. |
Définissez des valeurs TLP pour les objets TI dans l’interface utilisateur lorsque vous les créez ou les modifiez. La définition de TLP via l’API est moins intuitive et nécessite de choisir l’un des quatre marking-definition GUID d’objet. Pour plus d’informations sur la configuration de TLP via l’API, consultez object_marking_refs dans les propriétés communes de l’API de chargement.
Une autre façon d’organiser ti consiste à utiliser des balises. L’étiquetage du renseignement sur les menaces est un moyen rapide de regrouper des objets afin de faciliter leur recherche. En règle générale, vous pouvez appliquer des balises liées à un incident particulier. Toutefois, si un objet représente des menaces provenant d’un acteur connu particulier ou d’une campagne d’attaque connue, envisagez de créer une relation au lieu d’une balise. Après avoir recherché et filtré le renseignement sur les menaces que vous souhaitez utiliser, étiquetez-les individuellement ou multisélectionnez et étiquetez-les toutes à la fois. Étant donné que le balisage est de forme libre, créez des conventions d’affectation de noms standard pour les balises de renseignement sur les menaces.
Pour plus d’informations, consultez Utiliser le renseignement sur les menaces dans Microsoft Sentinel.
Afficher vos informations sur les menaces
Affichez votre renseignement sur les menaces à partir de l’interface de gestion ou à l’aide de requêtes :
À partir de l’interface de gestion, utilisez la recherche avancée pour trier et filtrer vos objets de renseignement sur les menaces sans écrire de requête Log Analytics.
Utilisez des requêtes pour afficher le renseignement sur les menaces à partir des journaux dans le Portail Azure ou de la chasse avancée dans le portail Defender.
Dans les deux cas, la
ThreatIntelligenceIndicatortable sous le schéma Microsoft Sentinel stocke tous vos indicateurs de menace Microsoft Sentinel. Ce tableau est la base des requêtes de renseignement sur les menaces effectuées par d’autres fonctionnalités Microsoft Sentinel, telles que l’analytique, les requêtes de chasse et les classeurs.
Importante
Le 3 avril 2025, nous avons affiché un aperçu public de deux nouvelles tables pour prendre en charge les schémas d’objets et d’indicateurs STIX : ThreatIntelIndicators et ThreatIntelObjects. Microsoft Sentinel ingérera tous les renseignements sur les menaces dans ces nouvelles tables, tout en continuant à ingérer les mêmes données dans la table héritée ThreatIntelligenceIndicator jusqu’au 31 juillet 2025.
Veillez à mettre à jour vos requêtes personnalisées, vos règles d’analyse et de détection, vos classeurs et votre automatisation pour utiliser les nouvelles tables avant le 31 juillet 2025. Après cette date, Microsoft Sentinel cessera d’ingérer des données dans la table héritéeThreatIntelligenceIndicator. Nous mettons à jour toutes les solutions prêtes à l’emploi de renseignement sur les menaces dans le hub de contenu pour tirer parti des nouvelles tables. Pour plus d’informations sur les nouveaux schémas de table, consultez ThreatIntelIndicators et ThreatIntelObjects.
Pour plus d’informations sur l’utilisation et la migration vers les nouvelles tables, consultez Utiliser des objets STIX pour améliorer le renseignement sur les menaces et la chasse aux menaces dans Microsoft Sentinel (préversion) .
Cycle de vie du renseignement sur les menaces
Microsoft Sentinel stocke les données de renseignement sur les menaces dans vos tables de renseignement sur les menaces et réinscrit automatiquement toutes les données tous les sept à 10 jours pour optimiser l’efficacité des requêtes.
Lorsqu’un indicateur est créé, mis à jour ou supprimé, Microsoft Sentinel crée une entrée dans les tables. Seul l’indicateur le plus actuel apparaît sur l’interface de gestion. Microsoft Sentinel déduplique les indicateurs en fonction de la Id propriété (propriété IndicatorId dans l’ancien ThreatIntelligenceIndicator) et choisit l’indicateur avec le plus TimeGenerated[UTC]récent.
La Id propriété est une concaténation de la valeur codée SourceSystem en base64 ( --- trois tirets) et du stixId (qui est la Data.Id valeur).
Afficher vos enrichissements de données GeoLocation et WhoIs (préversion publique)
Microsoft enrichit les indicateurs ip et de domaine avec des données et WhoIs supplémentaires GeoLocation pour fournir plus de contexte pour les enquêtes où le CIO sélectionné est trouvé.
Affichez GeoLocation les données du WhoIs volet Renseignement sur les menaces pour les types d’indicateurs de menace importés dans Microsoft Sentinel.
Par exemple, utilisez des GeoLocation données pour rechercher des informations telles que le organization ou le pays ou la région d’un indicateur IP. Utilisez des WhoIs données pour rechercher des données telles que le bureau d’enregistrement et enregistrer des données de création à partir d’un indicateur de domaine.
Détecter les menaces avec l’analytique des indicateurs de menace
Le cas d’usage le plus important pour le renseignement sur les menaces dans les solutions SIEM comme Microsoft Sentinel consiste à alimenter les règles d’analyse pour la détection des menaces. Ces règles basées sur des indicateurs comparent les événements bruts de vos sources de données à vos indicateurs de menace pour détecter les menaces de sécurité dans votre organization. Dans Microsoft Sentinel Analytics, vous créez des règles d’analyse basées sur des requêtes qui s’exécutent selon une planification et génèrent des alertes de sécurité. En plus des configurations, ils déterminent la fréquence d’exécution de la règle, le type de résultats de requête qui doit générer des alertes de sécurité et des incidents et, éventuellement, quand déclencher une réponse automatisée.
Bien que vous puissiez toujours créer de nouvelles règles d’analyse à partir de zéro, Microsoft Sentinel fournit un ensemble de modèles de règles intégrés, créés par les ingénieurs de sécurité Microsoft, pour tirer parti de vos indicateurs de menace. Ces modèles sont basés sur le type d’indicateurs de menace (domaine, e-mail, hachage de fichier, adresse IP ou URL) et les événements de source de données que vous souhaitez faire correspondre. Chaque modèle répertorie les sources nécessaires au fonctionnement de la règle. Ces informations permettent de déterminer facilement si les événements nécessaires sont déjà importés dans Microsoft Sentinel.
Par défaut, lorsque ces règles intégrées sont déclenchées, une alerte est créée. Dans Microsoft Sentinel, les alertes générées à partir des règles d’analyse génèrent également des incidents de sécurité. Dans le menu Microsoft Sentinel, sous Gestion des menaces, sélectionnez Incidents. Les incidents sont les éléments que vos équipes des opérations de sécurité trient et examinent pour déterminer les actions de réponse appropriées. Pour plus d’informations, consultez Tutoriel : Examiner les incidents avec Microsoft Sentinel.
Pour plus d’informations sur l’utilisation d’indicateurs de menace dans vos règles d’analyse, consultez Utiliser le renseignement sur les menaces pour détecter les menaces.
Microsoft fournit l’accès à ses informations sur les menaces par le biais de la règle d’analytique Defender Threat Intelligence. Pour plus d’informations sur la façon de tirer parti de cette règle, qui génère des alertes et des incidents haute fidélité, consultez Utiliser l’analytique de correspondance pour détecter les menaces.
Les classeurs fournissent des insights sur votre renseignement sur les menaces
Les classeurs fournissent des tableaux de bord interactifs puissants qui vous donnent des insights sur tous les aspects de Microsoft Sentinel, et le renseignement sur les menaces ne fait pas exception. Utilisez le classeur Threat Intelligence intégré pour visualiser les informations clés sur votre renseignement sur les menaces. Personnalisez le classeur en fonction des besoins de votre entreprise. Créez des tableaux de bord en combinant de nombreuses sources de données pour vous aider à visualiser vos données de manière unique.
Étant donné que Microsoft Sentinel classeurs sont basés sur des classeurs Azure Monitor, une documentation complète et de nombreux autres modèles sont déjà disponibles. Pour plus d’informations, consultez Créer des rapports interactifs avec des classeurs Azure Monitor.
Il existe également une ressource enrichie pour Azure les classeurs Monitor sur GitHub, où vous pouvez télécharger d’autres modèles et contribuer à vos propres modèles.
Pour plus d’informations sur l’utilisation et la personnalisation du classeur Threat Intelligence , consultez Visualiser le renseignement sur les menaces avec des classeurs.
Contenu connexe
Dans cet article, vous avez découvert les fonctionnalités de renseignement sur les menaces optimisées par Microsoft Sentinel. Si vous souhaitez en savoir plus, consultez les articles suivants :