定义威胁情报
网络威胁情报 (CTI) 可以来自许多来源。 来源包括开源数据馈送、威胁情报共享社区、付费情报源和组织中的安全调查。 CTI 的范围可以从关于威胁参与者的动机、基础结构和技术的书面报告,到对 IP 地址、域和文件哈希的具体观察。 CTI 提供了异常活动的基本上下文,因此安全人员可以迅速执行操作来保护人员和资产。
在像 Microsoft Sentinel 这样的 SIEM 解决方案中,最常用的 CTI 是威胁指标数据,有时也称为失陷指标 (IoC)。 威胁指标将 URL、文件哈希、IP 地址和其他数据与已知的威胁活动(如钓鱼、僵尸网络或恶意软件)关联起来。 这种形式的威胁情报通常称为战术威胁情报,因为安全产品和自动化可以大规模地使用它来保护和检测潜在的威胁。 Microsoft Sentinel 可帮助检测、响应恶意网络活动,并提供其 CTI 上下文。
可以通过以下活动将威胁情报 (TI) 集成到 Microsoft Sentinel 中:
使用面向各种 TI 平台的数据连接器,将威胁情报导入 Microsoft Sentinel。
可在日志中和 Microsoft Sentinel 的新威胁智能区域查看和管理导入的威胁情报。
使用内置的分析规则模板,可以使用导入的威胁情报生成安全警报和事件。
利用“威胁情报”工作簿直观显示 Microsoft Sentinel 中威胁情报的关键信息。
利用导入的威胁情报执行威胁搜寻。
