Introduzione
Per connettere gli indicatori di intelligence sulle minacce all'area di lavoro di Microsoft Sentinel si usano i connettori dati forniti.
L'utente agisce in qualità di Security Operations Analyst presso un'azienda che ha implementato Microsoft Sentinel. L'azienda dispone di sottoscrizioni ai servizi della piattaforma di intelligence sulle minacce che forniscono gli indicatori delle minacce noti da usare nelle regole di rilevamento.
È necessario configurare Microsoft Sentinel per importare automaticamente gli indicatori da questi servizi. Il primo servizio usa un server TAXII per consentire il pull degli indicatori. Configurare il connettore dati di TAXII per eseguire il pull degli indicatori dal servizio.
Il provider di servizi successivo non usa un server TAXII, ma dispone di funzionalità di integrazione push in Microsoft Sentinel. Seguire le istruzioni per configurare il connettore della piattaforma di intelligence sulle minacce. Dopo aver integrato i connettori in Microsoft Sentinel, i team delle operazioni di sicurezza possono usare gli indicatori come parte delle query di rilevamento.
Al termine del modulo, sarà possibile connettere gli indicatori di intelligence sulle minacce all'area di lavoro di Microsoft Sentinel usando i connettori dati forniti.
Al termine di questo modulo si sarà in grado di:
- Configurare il connettore TAXII in Microsoft Sentinel
- Configurare il connettore della piattaforma di intelligence sulle minacce in Microsoft Sentinel
- Visualizzare gli indicatori di minaccia in Microsoft Sentinel
Prerequisiti
Esperienza di base con i servizi di Azure