Planifier les connecteurs de renseignement sur les menaces
Microsoft Sentinel vous permet d’importer les indicateurs de menace que votre organisation utilise, ce qui peut améliorer la capacité de vos analystes de sécurité à détecter et hiérarchiser les menaces connues. Plusieurs fonctionnalités de Microsoft Sentinel deviennent alors disponibles ou sont améliorées :
L’analytique comprend un ensemble de modèles de règles planifiées que vous pouvez activer pour générer des alertes et des incidents basés sur des correspondances d’événements de journal de vos indicateurs de menace.
Les classeurs fournissent des informations résumées sur les indicateurs de menace importés dans Microsoft Sentinel et toutes les alertes générées à partir des règles analytiques qui correspondent à vos indicateurs de menace.
Les requêtes de chasse permettent aux investigateurs de sécurité d’utiliser des indicateurs de menace dans le cadre de scénarios de chasse courants.
Les notebooks peuvent utiliser des indicateurs de menace lorsque vous enquêtez sur des anomalies et recherchez des comportements malveillants.
Vous pouvez envoyer en streaming les indicateurs de menace à Microsoft Sentinel en utilisant l’un des produits TIP (plateforme de renseignement sur les menaces) intégrés, en vous connectant aux serveurs TAXII ou en effectuant une intégration directe avec l’API des indicateurs de sécurité Microsoft Graph.
Il existe deux connecteurs de renseignement sur les menaces. Le connecteur TAXII et le connecteur des plateformes de renseignement sur les menaces. Les deux connecteurs écrivent dans la table ThreatIntelligenceIndicator. Les deux connecteurs ont des procédures de configuration différentes.