Definieren von Threat Intelligence

  • 3 Minuten

Cyber Threat Intelligence (CTI) kann aus vielen Quellen stammen. Dazu zählen Open-Source-Datenfeeds, Communitys zum Teilen von Threat Intelligence, kostenpflichtige Intelligence-Feeds sowie Sicherheitsuntersuchungen innerhalb von Organisationen. CTI kann von schriftlichen Berichten über die Motivationen, Infrastruktur und Techniken eines Bedrohungsakteur bis hin zu spezifischen Beobachtungen von IP-Adressen, Domänen und Dateihashes reichen. CTI bietet einen wesentlichen Kontext für ungewöhnliche Aktivitäten, sodass Sicherheitspersonal schnell reagieren kann, um Personen und Ressourcen zu schützen.

Die am häufigsten genutzte CTI in SIEM-Lösungen wie Microsoft Sentinel sind Bedrohungsindikatordaten, manchmal auch als Indikatoren für Kompromittierung (IoCs) bezeichnet. Bedrohungsindikatoren ordnen URLs, Dateihashes, IP-Adressen und andere Daten mit bekannten Bedrohungsaktivitäten wie Phishing, Botnets oder Schadsoftware zu. Diese Form der Bedrohungserkennung wird häufig als taktische Bedrohungserkennung bezeichnet, da Sicherheitsprodukte und Automatisierung sie in großem Umfang verwenden können, um potenzielle Bedrohungen zu schützen und zu erkennen. Microsoft Sentinel kann helfen, CTI-Kontext für bösartige Cyberaktivitäten zu erkennen, darauf zu reagieren und bereitzustellen.

Sie können Bedrohungserkennung (Threat Intelligence, TI) über die folgenden Aktivitäten in Microsoft Sentinel integrieren:

  • Verwenden Sie Daten-Connectoren für verschiedene TI-Plattformen, um Bedrohungsinformationen in Microsoft Sentinel zu importieren.

  • Anzeigen und Verwalten der importierten Bedrohungserkennung in Protokollen und dem neuen Bereich "Threat Intelligence" von Microsoft Sentinel.

  • Verwenden Sie die integrierten Analytics-Regelvorlagen, um Sicherheitswarnungen und Vorfälle mithilfe Ihrer importierten Bedrohungserkennung zu generieren.

  • Visualisieren Sie wichtige Informationen zu Ihrer Bedrohungserkennung in Microsoft Sentinel mit der Arbeitsmappe Threat Intelligence.

  • Führen Sie die Bedrohungssuche mit Ihren importierten Bedrohungsinformationen durch.

Screenshot der Verwendung von Threat Intelligence in Microsoft Sentinel