Definir a inteligência contra ameaças
A CTI (inteligência contra ameaças cibernéticas) pode vir de várias fontes. As fontes incluem feeds de dados de software livre, comunidades de compartilhamento de inteligência contra ameaças, feeds de inteligência pagos e investigações de segurança dentro das organizações. A CTI pode variar de relatórios escritos sobre motivações, infraestrutura e técnicas de um ator de ameaça até observações específicas de endereços IP, domínios e hashes de arquivo. A CTI fornece contexto essencial para atividades incomuns, para que a equipe de segurança possa agir rapidamente para proteger pessoas e ativos.
O CTI mais utilizado em soluções SIEM como o Microsoft Sentinel são dados de indicador de ameaças, às vezes chamados de IoCs (Indicadores de Comprometimento). Indicadores de ameaça associam URLs, hashes de arquivo, endereços IP e outros dados com atividades de ameaça conhecidas, como phishing, botnets ou malware. Essa forma de inteligência contra ameaças geralmente é chamada de inteligência tática contra ameaças, pois produtos de segurança e automação podem usá-la em grande escala para proteger e detectar possíveis ameaças. O Microsoft Sentinel pode ajudar a detectar, responder e fornecer contexto de CTI para atividades cibernéticas mal-intencionadas.
Você pode integrar a TI (inteligência contra ameaças) ao Microsoft Sentinel por meio das seguintes atividades:
Use conectores de dados para várias plataformas de TI para importar inteligência contra ameaças para o Microsoft Sentinel.
Exiba e gerencie a inteligência contra ameaças importada nos Logs e na nova área de Inteligência contra Ameaças do Microsoft Sentinel.
Use os modelos de regra de Análise internos para gerar alertas de segurança e incidentes usando sua inteligência contra ameaças importada.
Visualize informações críticas sobre sua inteligência contra ameaças no Microsoft Sentinel com a pasta de trabalho inteligência contra ameaças.
Execute a busca de ameaças com sua inteligência contra ameaças importada.
