Einführung
Microsoft Sentinel bietet eine Tabelle zum Speichern von Indikatordaten, auf die für KQL-Abfragen (Kusto Query Language) zugegriffen werden kann. Die Seite „Threat Intelligence“ in Microsoft Sentinel stellt die Verwaltungsoptionen bereit, um die Indikatoren zu verwalten.
Sie sind als Security Operations Analyst für ein Unternehmen tätig, das Microsoft Sentinel implementiert hat. Sie erhalten Bedrohungsindikatoren von Threat Intelligence-Anbietern und Ihrem Bedrohungssuchteam. Die Indikatoren sind IP-Adressen, Domänen und Dateihashes, die von vielen Komponenten in Microsoft Sentinel genutzt werden können.
Die Indikatoren der Threat Intelligence-Anbieter werden mithilfe von Connectors automatisch in den Arbeitsbereich importiert. Ihre Aufgabe ist es, die Indikatoren des Bedrohungssuchteams hinzuzufügen. Verwenden Sie die Seite „Threat Intelligence“, um die Indikatoren zur Verwendung durch die KQL-Erkennungsabfragen hinzuzufügen.
Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:
- Verwalten von Bedrohungsindikatoren in Microsoft Sentinel
- Verwenden von KQL für den Zugriff auf Bedrohungsindikatoren in Microsoft Sentinel
Voraussetzungen
Grundkenntnisse zu operativen Konzepten, wie z. B. Überwachung, Protokollierung und Warnungen