Introduktion
Microsoft Sentinel innehåller en tabell för att lagra indikatordata som är tillgängliga för Kusto-frågespråk (KQL)-frågor. Sidan Hotinformation i Microsoft Sentinel innehåller hanteringsalternativ för att underhålla indikatorerna.
Du är säkerhetsanalytiker och arbetar på ett företag som implementerade Microsoft Sentinel. Du får hotindikatorer från leverantörer av hotinformation och ditt hotjaktteam. Indikatorerna innehåller IP-adresser, domäner och filhashvärden som kan användas av många komponenter i Microsoft Sentinel.
Indikatorerna från hotinformationsprovidrar importeras automatiskt till arbetsytan med hjälp av anslutningsappar. Du har till uppgift att lägga till indikatorerna från hotjaktteamet. Du använder sidan Hotinformation för att lägga till indikatorerna för användning av KQL-identifieringsfrågorna.
När du har slutfört den här modulen kommer du att kunna:
- Hantera hotindikatorer i Microsoft Sentinel
- Använda KQL för att komma åt hotindikatorer i Microsoft Sentinel
Förutsättningar
Grundläggande kunskap om begrepp relaterade till operativa åtgärder, till exempel övervakning, loggning och avisering.