Hantera hotindikatorer
Med området Hotinformation, som är tillgängligt från Microsoft Sentinel-menyn, kan du också visa, sortera, filtrera och söka efter dina importerade hotindikatorer utan att ens skriva en Loggfråga. På det här området kan du också skapa hotindikatorer direkt i Microsoft Sentinel-gränssnittet och utföra administrativa uppgifter för vardagliga hotinformation. Dessa uppgifter omfattar indikatortaggning och att skapa nya indikatorer relaterade till säkerhetsundersökningar. Låt oss titta på två av de vanligaste uppgifterna, skapa nya hotindikatorer och taggningsindikatorer för enkel gruppering och referens.
Öppna Azure-portalen och gå till Microsoft Sentinel-tjänsten.
Välj den arbetsyta som du har importerat hotindikatorer till med hjälp av någon av dataanslutningarna för hotinformation.
Välj Hotinformation i avsnittet Hothantering på Microsoft Sentinel-menyn.
Välj knappen Lägg till ny på den översta menyn på sidan.
Välj indikatortyp och fyll sedan i de obligatoriska fälten som är markerade med en röd asterisk (*) på panelen Ny indikator. Välj Använd.
Taggning av hotindikatorer är ett enkelt sätt att gruppera dem så att de blir lättare att hitta. Vanligtvis kan du använda en tagg för indikatorer relaterade till en viss incident eller indikatorer som representerar hot från en känd aktör eller en välkänd attackkampanj. Du kan tagga hotindikatorer individuellt eller flera utvalda indikatorer och tagga dem alla samtidigt. Eftersom taggning är fritt är en rekommenderad metod att skapa standardnamngivningskonventioner för hotindikatortaggar. Du kan använda flera taggar för varje indikator.