はじめに

完了

Microsoft Sentinel では、Kusto クエリ言語 (KQL) クエリからアクセス可能なインジケーター データを格納するテーブルが提供されます。 Microsoft Sentinel の [脅威インテリジェンス] ページには、インジケーターを維持するための管理オプションが用意されています。

あなたは Microsoft Sentinel を実装した企業で働いているセキュリティ運用アナリストです。 あなたは、脅威インテリジェンス プロバイダーと自社の脅威ハンティング チームから脅威インジケーターを受け取ります。 そのインジケーターには、Microsoft Sentinel 内の多くのコンポーネントで利用できる IP アドレス、ドメイン、およびファイル ハッシュが含まれています。

脅威インテリジェンス プロバイダーからのインジケーターは、コネクタを使用してワークスペースに自動的にインポートされます。 あなたは脅威ハンティング チームからのインジケーターを追加する任務を負っています。 [脅威インテリジェンス] ページを使用して、検出 KQL クエリで使用するインジケーターを追加します。

このモジュールを終了すると、次のことができるようになります。

  • Microsoft Sentinel で脅威インジケーターを管理する
  • KQL を使用して Microsoft Sentinel の脅威インジケーターにアクセスする

前提条件

監視、ログ記録、アラートなどの運用上の概念に関する基本的な知識。