管理威胁指标
利用“威胁智能”区域(可从 Microsoft Sentinel 菜单访问),还可以查看、排序、筛选和搜索导入的威胁指标,甚至无需编写日志查询。 还可通过此区域直接在 Microsoft Sentinel 接口中创建威胁指标,并执行日常威胁情报管理任务。 这些任务包括标记指示器和创建与安全调查相关的新指示器。 让我们看看两个最常见的任务,即创建新的威胁指标和标记指标以便轻松分组和引用。
打开 Azure 门户,导航到 Microsoft Sentinel 服务。
使用威胁智能数据连接器选择已导入威胁指标的工作区。
从 Microsoft Sentinel 菜单的“威胁管理”部分选择“威胁情报”。
从页面的顶部菜单中选择“新增”按钮。
选择指标类型,然后在“新建指标”面板上填写标有红色星号 (*) 的必填字段。 选择“应用”。
标记威胁指标是对它们进行分组、使其更易于查找的一种简单方法。 通常,可以将标记应用于与特定事件相关的指标,或表示来自已参与者或已知攻击活动的威胁的指标。 可以单独标记威胁指标,或多选指标并同时标记它们。 由于标记采用自由格式,建议的做法是为威胁指标标记创建标准命名约定。 可以将多个标记应用于每个指示器。