Introduction
Microsoft Azure Sentinel fournit une table pour stocker les données d’indicateur accessibles aux requêtes KQL (Kusto Query Language). La page Threat Intelligence dans Microsoft Azure Sentinel inclut diverses options pour la gestion des indicateurs.
Vous êtes un analyste des opérations de sécurité travaillant dans une entreprise ayant mis en œuvre Microsoft Sentinel. Vous recevez des indicateurs de menace des fournisseurs de renseignements sur les menaces et votre équipe de chasse aux menaces. Les indicateurs incluent des adresses IP, domaines et autres hachages de fichiers que de nombreux composants de Microsoft Azure Sentinel peuvent utiliser.
Les indicateurs des fournisseurs Threat Intelligence sont importés automatiquement dans l’espace de travail à l’aide de connecteurs. Vous êtes chargé d’ajouter les indicateurs de l’équipe de chasse aux menaces. Vous utilisez la page Threat Intelligence pour ajouter les indicateurs à utiliser par les requêtes KQL de détection.
À l’issue de ce module, vous pourrez :
- Gérer les indicateurs de menace dans Microsoft Azure Sentinel
- Utiliser KQL pour accéder aux indicateurs de menace dans Microsoft Azure Sentinel
Prérequis
Connaître les bases des concepts opérationnels comme la supervision, la journalisation et les alertes.