はじめに
提供されているデータ コネクタを使用して、脅威インテリジェンス インジケーターを Microsoft Sentinel ワークスペースに接続します。
あなたは Microsoft Sentinel を実装した企業で働いているセキュリティ運用アナリストです。 会社は、脅威インテリジェンス プラットフォーム サービスへのサブスクリプションを持っており、これには、検出規則に使用できる既知の悪意インジケーターが用意されています。
これらのサービスからインジケーターを自動的にインポートするように Microsoft Sentinel を構成する必要があります。 1 つ目のサービスにより、TAXII サーバーを使用してインジケーターをプルできるようになります。 サービスからインジケーターをプルするように TAXII データ コネクタを構成します。
次のサービス プロバイダーにより、TAXII サーバーは使用されませんが、Microsoft Sentinel へのプッシュ統合機能が作成されました。 指示に従って、脅威インテリジェンス プラットフォーム コネクタを構成します。 コネクタが Microsoft Sentinel に流れ込むようになったので、SecOps チームは検出クエリの一部としてインジケーターを使用できます。
このモジュールを完了すると、提供されているデータ コネクタを使用して脅威インテリジェンス インジケーターを Microsoft Sentinel ワークスペースに接続できるようになります。
このモジュールを終了すると、次のことができるようになります。
- Microsoft Sentinel で TAXII コネクタを構成する
- Microsoft Sentinel で脅威インテリジェンス プラットフォーム コネクタを構成する
- Microsoft Sentinel で脅威インジケーターを表示する
前提条件
Azure サービスの基本的な使用経験