定義威脅情報
網路威脅情報 (CTI) 可能有許多來源。 這些來源包括開放原始碼資料摘要、威脅情報共享社群、付費情報摘要和組織內部的安全性調查。 CTI 的範圍可以從威脅執行者動機、基礎結構和技術的書面報告,到 IP 位址、網域和檔案雜湊的特定觀察。 CTI 提供不尋常活動的基本內容,因此安全性人員可以快速地採取行動來保護人員和資產。
SIEM 解決方案 (例如 Microsoft Sentinel) 中最常使用的 CTI 為威脅指標資料,有時稱為入侵指標 (IoCs)。 威脅指標會將 URL、檔案雜湊、IP 位址和其他資料與已知的威脅活動 (例如網路釣魚、殭屍網路或惡意程式碼) 建立關聯。 這種形式的威脅情報通常稱為策略性威脅情報,因為安全性產品和自動化可以大規模地使用此威脅情報,以保護並偵測潛在威脅。 Microsoft Sentinel 可協助偵測、回應惡意網路活動,並提供此活動的 CTI 內容。
您可透過下列活動,將威脅情報 (TI) 整合至 Microsoft Sentinel 中:
在各種 TI 平台使用資料連接器,藉此將威脅情報匯入 Microsoft Sentinel。
在記錄和 Microsoft Sentinel 的新 [威脅情報] 區域中,檢視及管理匯入的威脅情報。
使用內建的 Analytics 規則範本,利用您匯入的威脅情報來產生安全性警示和事件。
使用威脅情報活頁簿,在 Microsoft Sentinel 中將威脅情報的重要資訊視覺化。
使用您匯入的威脅情報來執行威脅搜捕。
