Introduction
Vous connectez les indicateurs de renseignement sur les menaces à l’espace de travail Microsoft Sentinel à l’aide des connecteurs de données fournis.
Vous êtes un analyste des opérations de sécurité travaillant dans une entreprise ayant mis en œuvre Microsoft Sentinel. Votre entreprise a des abonnements aux services de renseignement sur les menaces qui fournissent des indicateurs sur les activités malveillantes connues pour vos règles de détection.
Vous devez configurer Microsoft Sentinel pour importer automatiquement les indicateurs à partir de ces services. Le premier service utilise un serveur TAXIi pour permettre l’extraction des indicateurs. Vous configurez le connecteur de données TAXII pour récupérer des indicateurs du service.
Le fournisseur de services suivant n’utilise pas de serveur TAXII, mais a créé des capacités d’intégration push pour Microsoft Sentinel. Suivez les instructions pour configurer le connecteur de renseignement sur les menaces. Maintenant que les connecteurs sont fonctionnels vers Microsoft Sentinel, les équipes SecOps peuvent utiliser les indicateurs dans le cadre de leurs requêtes de détection.
À la fin de ce module, vous serez en mesure de connecter des indicateurs de renseignement sur les menaces à l’espace de travail Microsoft Sentinel à l’aide du connecteur de données fourni.
À l’issue de ce module, vous pourrez :
- Configurer le connecteur TAXII dans Microsoft Sentinel
- Configurer le connecteur de la plateforme de renseignement sur les menaces dans Microsoft Sentinel
- Afficher les indicateurs de menace dans Microsoft Sentinel
Prérequis
Expérience de base avec les services Azure