Day25:今天来聊一下Azure Sentinel中的威胁情报

Azure Sentinel提供资料表来储存可供Kusto查询语言(KQL)查询存取的指标资料。

来自威胁情报提供者的指标会透过连接器自动汇入工作区。我们的工作是新增来自

威胁搜捕团队的指标。需要使用威胁情报分页来新增指标，以供侦测KQL查询使用。

在像Azure Sentinel的安全性资讯和事件管理(SIEM)解决方案中，最常使用的CTI

形式是威胁指标，通常称为入侵指标或IoCs。威胁指标是将URL、档案杂凑或IP位址

等观察，与已知的威胁活动如网路钓鱼、殭屍网路或恶意程序码相关联的资料。

这种形式的威胁情报通常称为策略性威胁情报，因为可以大规模地套用至安全性产品和

自动化，以保护和侦测对组织的潜在威胁。在Azure Sentinel中，我们可以使用威胁

指标来协助侦测在环境中观察到的恶意活动，并将内容提供给安全性调查人员，以协助

提供回应决策所资讯。

可以透过下列活动，将威胁情报 (TI) 整合至 Azure Sentinel 中：

-将资料连接器用於不同的 TI 平台，以将威胁情报汇入 Azure Sentinel。

在记录和 Azure Sentinel 的新威胁情报区域中，检视及管理汇入的威胁情报。

-使用内建的 Analytics 规则范本，利用您汇入的威胁情报来产生安全性警示和事件。

-使用威胁情报活页簿，以在 Azure Sentinel 中将威胁情报的重要资讯视觉化。

-使用汇入的威胁情报来执行威胁搜捕。