Einleitung

Microsoft Sentinel bietet eine Tabelle zum Speichern von Indikatordaten, auf die für Kusto Query Language (KQL)-Abfragen zugegriffen werden kann. Die Seite "Bedrohungserkennung" in Microsoft Sentinel bietet die Verwaltungsoptionen, um die Indikatoren beizubehalten.

Sie sind als Security Operations Analyst für ein Unternehmen tätig, das Microsoft Sentinel implementiert hat. Sie erhalten Bedrohungsindikatoren von Bedrohungserkennungsanbietern und Ihrem Team für die Bedrohungssuche. Zu den Indikatoren gehören IP-Adressen, Domänen und Dateihashes, die von vielen Komponenten in Microsoft Sentinel verwendet werden können.

Die Indikatoren der Bedrohungserkennungsanbieter werden automatisch mithilfe von Connectors in den Arbeitsbereich importiert. Sie sind damit beauftragt, die Indikatoren aus dem Team für die Bedrohungssuche hinzuzufügen. Sie verwenden die Seite "Threat Intelligence", um die Indikatoren für die Verwendung durch die KQL-Erkennungsabfragen hinzuzufügen.

Nach Abschluss dieses Moduls werden Sie zu Folgendem in der Lage sein:

• Verwalten von Bedrohungsindikatoren in Microsoft Sentinel
• Verwenden von KQL für den Zugriff auf Bedrohungsindikatoren in Microsoft Sentinel

Voraussetzungen

Grundkenntnisse zu operativen Konzepten, wie z. B. Überwachung, Protokollierung und Warnungen