Planejar os conectores de inteligência contra ameaças
O Microsoft Sentinel permite que você importe os indicadores de ameaças usados pela organização, o que pode aprimorar a capacidade dos analistas de segurança de detectar e priorizar ameaças conhecidas. Vários recursos do Microsoft Sentinel ficam disponíveis ou são aprimorados:
O Analytics inclui um conjunto de modelos de regras agendadas que você pode habilitar para gerar alertas e incidentes com base nas correspondências de eventos de log dos indicadores de ameaça.
As pastas de trabalho fornecem informações resumidas sobre os indicadores de ameaça importados para o Microsoft Sentinel e os alertas gerados por meio das regras de análise correspondentes aos indicadores de ameaça.
As consultas de busca permitem que os investigadores de segurança usem os indicadores de ameaça no contexto dos cenários de busca comuns.
Os notebooks podem usar indicadores de ameaça quando você investiga anomalias e busca comportamentos mal-intencionados.
Você pode transmitir os indicadores de ameaça para o Microsoft Sentinel usando um dos produtos integrados da TIP (Plataforma de Inteligência contra Ameaças), conectando-se a servidores TAXII ou com a integração direta com a API dos Indicadores de Segurança do Microsoft Graph.
Existem dois conectores de inteligência contra ameaças. O conector TAXII e o conector de plataformas de inteligência contra ameaças. Ambos os conectores são gravados na tabela ThreatIntelligenceIndicator. Os dois conectores têm procedimentos de configuração diferentes.