ご利用の脅威インジケーターを管理する
Microsoft Sentinel メニューからアクセスできる [脅威インテリジェンス] 領域を使用すると、ログ クエリを記述することなく、インポートした脅威インジケーターの表示、並べ替え、フィルター処理、検索を行うこともできます。 また、この領域では、Microsoft Sentinel インターフェイス上で直接脅威インジケーターを作成することや、日常的な脅威インテリジェンス管理タスクを実行することもできます。 これらのタスクには、インジケーターのタグ付けやセキュリティ調査に関連した新しいインジケーターの作成などが含まれます。 最も一般的なタスクのうちの 2 つを見てみましょう。新しい脅威インジケーターの作成と、グループ化と参照を簡単にするためのインジケーターのタグ付けです。
Azure portal を開き、Microsoft Sentinel サービスに移動します。
いずれかの脅威インテリジェンス データ コネクタを使用して脅威インジケーターをインポートしたワークスペースを選択します。
Microsoft Sentinel メニューの [脅威管理] セクションで [脅威インテリジェンス] を選択します。
ページの上部のメニューから [新規追加] ボタンを選択します。
インジケーターの種類を選択し、 [新しいインジケーター] パネルで、赤いアスタリスク (*) が付いている必須フィールドに入力します。 [適用] を選択します。
インジケーターのタグ付けは、それらをグループ化して見つけやすくする簡単な方法です。 通常は、特定のインシデントに関連するインジケーター、または既知のアクターや既知の攻撃キャンペーンからの脅威を表すインジケーターにタグを適用することができます。 脅威インジケーターは個別にタグ付けすることも、インジケーターを複数選択してすべて一度にタグ付けすることもできます。 タグ付けは自由形式であるため、脅威インジケーター タグの標準的な名前付け規則を作成することをお勧めします。 各インジケーターに複数のタグを適用できます。