Introdução
O Microsoft Sentinel fornece uma tabela para armazenar dados indicadores acessíveis para consultas KQL (Linguagem de Consulta Kusto). A página inteligência contra ameaças no Microsoft Sentinel fornece as opções de gerenciamento para manter os indicadores.
Você é um analista de operações de segurança que trabalha em uma empresa que implementou o Microsoft Sentinel. Você recebe indicadores de ameaças de provedores de inteligência em ameaças e sua equipe de caça a ameaças. Os Indicadores incluem endereços IP, domínios e hashes de arquivo que podem ser utilizados por muitos componentes no Microsoft Sentinel.
Os indicadores dos provedores de inteligência contra ameaças são importados automaticamente para o espaço de trabalho usando conexões. Você tem a tarefa de adicionar os indicadores da equipe de busca de ameaças. Use a página Threat Intelligence para adicionar os indicadores a serem usados pelas consultas KQL de detecção.
Ao final deste módulo, você poderá:
- Gerenciar os indicadores de ameaça no Microsoft Azure Sentinel
- Usar a KQL para acessar os indicadores de ameaça no Microsoft Azure Sentinel
Pré-requisitos
Conhecimento básico de conceitos operacionais, como monitoramento, registro em log e alertas.