脅威インテリジェンス コネクタを計画する
Microsoft Sentinel を使用すると、組織で使用されている脅威インジケーターをインポートでき、これにより、既知の脅威を検出して優先順位を付けるというセキュリティ アナリストの能力が高まります。 その後、Microsoft Sentinel のいくつかの機能が使用可能になるか、拡張されます。
分析には、一連のスケジュールされた規則テンプレートが含まれており、これを有効にすると、脅威インジケーターからのログ イベントの一致に基づいてアラートとインシデントを生成できます。
Workbooks では、Microsoft Sentinel にインポートされた脅威インジケーターと、脅威インジケーターに一致する分析ルールから生成されたすべてのアラートに関する概要情報が示されます。
ハンティング クエリを使用すると、セキュリティの調査担当は、一般的な捜索シナリオのコンテキスト内で脅威インジケーターを使用できるようになります。
ノートブックでは、異常を調査し、悪意のある動作を捜索するときに、脅威インジケーターを使用できます。
統合された脅威インテリジェンス プラットフォーム (TIP) 製品の 1 つを使用するか、TAXII サーバーに接続するか、Microsoft Graph Security tiIndicator API を直接統合することで、脅威インジケーターを Microsoft Sentinel にストリーミングできます。
脅威インテリジェンス コネクタは 2 つあります。 TAXII コネクタと脅威インテリジェンス プラットフォーム コネクタです。 両方のコネクタによって ThreatIntelligenceIndicator テーブルに書き込まれます。 2 つのコネクタの構成手順は異なります。