Azure Sentinel提供资料表来储存可供Kusto查询语言(KQL)查询存取的指标资料。
来自威胁情报提供者的指标会透过连接器自动汇入工作区。我们的工作是新增来自
威胁搜捕团队的指标。需要使用威胁情报分页来新增指标,以供侦测KQL查询使用。
在像Azure Sentinel的安全性资讯和事件管理(SIEM)解决方案中,最常使用的CTI
形式是威胁指标,通常称为入侵指标或IoCs。威胁指标是将URL、档案杂凑或IP位址
等观察,与已知的威胁活动如网路钓鱼、殭屍网路或恶意程序码相关联的资料。
这种形式的威胁情报通常称为策略性威胁情报,因为可以大规模地套用至安全性产品和
自动化,以保护和侦测对组织的潜在威胁。在Azure Sentinel中,我们可以使用威胁
指标来协助侦测在环境中观察到的恶意活动,并将内容提供给安全性调查人员,以协助
提供回应决策所资讯。
可以透过下列活动,将威胁情报 (TI) 整合至 Azure Sentinel 中:
-将资料连接器用於不同的 TI 平台,以将威胁情报汇入 Azure Sentinel。
在记录和 Azure Sentinel 的新威胁情报区域中,检视及管理汇入的威胁情报。
-使用内建的 Analytics 规则范本,利用您汇入的威胁情报来产生安全性警示和事件。
-使用威胁情报活页簿,以在 Azure Sentinel 中将威胁情报的重要资讯视觉化。
-使用汇入的威胁情报来执行威胁搜捕。
>>: IT铁人DAY 24-Chain of Responsibility 责任链模式
前言 昨天我们使用预训练模型EfficientNet去提取一张表情的高阶特徵图(1280张特徵图),...
一、Tableau 是什麽 简单来说,Tableau是一个任何专业背景、任何年纪都可以学得会的大数据...
今天是铁人赛最後一天, 我们来点不一样的, 就是Tailwind Css啦 一.先前准备 建立新资...
文字跑马灯偶尔会在一些运动品牌或是潮牌看到,装饰效果很棒又很炫, 以前也是傻傻以为要用JS写,侦测跑...
Course Schedule I的延伸,这次要排出课程顺序。 思路 有大概想到去找node的顺序跟...