Einführung

Abgeschlossen

Sie können Threat Intelligence-Indikatoren über die bereitgestellten Datenconnectors mit dem Microsoft Sentinel-Arbeitsbereich verbinden.

Sie sind als Security Operations Analyst für ein Unternehmen tätig, das Microsoft Sentinel implementiert hat. Ihr Unternehmen verfügt über Abonnements für Dienste der Threat Intelligence-Plattform, die bekannte schädliche Indikatoren zur Verwendung in ihren Erkennungsregeln bereitstellen.

Ihre Aufgabe besteht darin, Microsoft Sentinel so zu konfigurieren, dass die Indikatoren automatisch aus diesen Diensten importiert werden. Der erste Dienst verwendet einen TAXII-Server, um das Abrufen der Indikatoren zu ermöglichen. Sie konfigurieren den TAXII-Datenconnector so, dass Indikatoren aus dem Dienst abgerufen werden.

Der nächste Dienstanbieter verwendet keinen TAXII-Server, hat jedoch Funktionen zur Pushintegration in Microsoft Sentinel erstellt. Befolgen Sie die Anweisungen zum Konfigurieren des Connectors für die Threat Intelligence-Plattform. Da die Connectors nun in Microsoft Sentinel integriert sind, können die SecOps-Teams die Indikatoren im Rahmen ihrer Erkennungsabfragen nutzen.

Am Ende dieses Moduls können Sie mithilfe der bereitgestellten Datenconnectors eine Verbindung zwischen Threat Intelligence-Indikatoren und dem Microsoft Sentinel-Arbeitsbereich herstellen.

Nach Abschluss dieses Moduls können Sie folgende Aufgaben durchführen:

  • Konfigurieren des TAXII-Connectors in Microsoft Sentinel
  • Konfigurieren des Connectors für die Threat Intelligence-Plattform in Microsoft Sentinel
  • Anzeigen von Bedrohungsindikatoren in Microsoft Sentinel

Voraussetzungen

Grundlegende Kenntnisse über Azure-Dienste