Memahami inteligensi ancaman di Microsoft Azure Sentinel
Microsoft Sentinel adalah solusi manajemen peristiwa dan informasi keamanan cloud-native (SIEM) dengan kemampuan untuk menyerap, mengumpulkan, dan mengelola inteligensi ancaman dari berbagai sumber.
Penting
Microsoft Sentinel umumnya tersedia dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk pratinjau, Microsoft Sentinel tersedia di portal Defender tanpa lisensi Microsoft Defender XDR atau E5. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Pengantar inteligensi ancaman
Inteligensi ancaman cyber (CTI) adalah informasi yang menjelaskan ancaman yang ada atau potensial bagi sistem dan pengguna. Kecerdasan ini mengambil banyak bentuk seperti laporan tertulis yang merinci motivasi, infrastruktur, dan teknik aktor ancaman tertentu. Ini juga dapat menjadi pengamatan khusus alamat IP, domain, hash file, dan artefak lain yang terkait dengan ancaman cyber yang diketahui.
Organisasi menggunakan CTI untuk memberikan konteks penting terhadap aktivitas yang tidak biasa sehingga personel keamanan dapat dengan cepat mengambil tindakan untuk melindungi orang, informasi, dan aset mereka. Anda dapat sumber CTI dari banyak tempat, seperti:
- Umpan data sumber terbuka
- Komunitas berbagi inteligensi ancaman
- Umpan kecerdasan komersial
- Inteligensi lokal yang dikumpulkan dalam proses penyelidikan keamanan dalam organisasi
Untuk solusi SIEM seperti Microsoft Sentinel, bentuk CTI yang paling umum adalah indikator ancaman, yang juga dikenal sebagai indikator kompromi (IOP) atau indikator serangan. Indikator ancaman adalah data yang mengaitkan artefak yang diamati seperti URL, hash file, atau alamat IP dengan aktivitas ancaman yang diketahui seperti phishing, botnet, atau malware. Bentuk inteligensi ancaman ini sering disebut inteligensi ancaman taktis. Ini diterapkan pada produk keamanan dan otomatisasi dalam skala besar untuk mendeteksi potensi ancaman terhadap organisasi dan melindunginya.
Aspek lain dari inteligensi ancaman mewakili pelaku ancaman, teknik, taktik dan prosedur (TTP), infrastruktur mereka, dan identitas korban mereka. Microsoft Sentinel mendukung pengelolaan faset ini bersama dengan IOC, yang dinyatakan menggunakan standar sumber terbuka untuk bertukar CTI yang dikenal sebagai ekspresi informasi ancaman terstruktur (STIX). Inteligensi ancaman yang dinyatakan sebagai objek STIX meningkatkan interoperabilitas dan memberdayakan organisasi untuk berburu lebih efisien. Gunakan objek STIX inteligensi ancaman di Microsoft Azure Sentinel untuk mendeteksi aktivitas berbahaya yang diamati di lingkungan Anda dan memberikan konteks lengkap serangan untuk menginformasikan keputusan respons.
Tabel berikut menguraikan aktivitas yang diperlukan untuk memanfaatkan integrasi inteligensi ancaman (TI) secara maksimal di Microsoft Azure Sentinel:
| Tindakan | Deskripsi |
|---|---|
| Menyimpan inteligensi ancaman di ruang kerja Microsoft Azure Sentinel |
|
| Mengelola inteligensi ancaman |
|
| Menggunakan inteligensi ancaman |
|
Inteligensi ancaman juga menyediakan konteks yang berguna dalam pengalaman Microsoft Azure Sentinel lainnya, seperti notebook. Untuk informasi selengkapnya, lihat Mulai menggunakan notebook dan MSTICPy.
Catatan
Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.
Mengimpor dan menyambungkan inteligensi ancaman
Sebagian besar inteligensi ancaman diimpor menggunakan konektor data atau API. Konfigurasikan aturan penyerapan untuk mengurangi kebisingan dan memastikan umpan kecerdasan Anda dioptimalkan. Berikut adalah solusi yang tersedia untuk Microsoft Azure Sentinel.
- Inteligensi Ancaman Microsoft Defender konektor data untuk menyerap inteligensi ancaman Microsoft
- Inteligensi Ancaman - Konektor data TAXII untuk umpan STIX/TAXII standar industri
- API pengunggahan Inteligensi Ancaman untuk umpan TI terintegrasi dan dikumpulkan menggunakan REST API untuk menyambungkan (tidak memerlukan konektor data)
- Konektor data Platform Inteligensi Ancaman juga menghubungkan umpan TI menggunakan REST API warisan, tetapi berada di jalur untuk penghentian
Gunakan solusi ini dalam kombinasi apa pun, tergantung di mana organisasi Anda sumber inteligensi ancaman. Semua konektor data ini tersedia di Hub konten sebagai bagian dari solusi Inteligensi Ancaman. Untuk informasi selengkapnya tentang solusi ini, lihat entri Marketplace Azure Inteligensi Ancaman.
Selain itu, lihat katalog integrasi inteligensi ancaman ini yang tersedia dengan Microsoft Sentinel.
Menambahkan inteligensi ancaman ke Microsoft Azure Sentinel dengan konektor data Inteligensi Ancaman Defender
Bawa IOC publik, sumber terbuka, dan keakuratan tinggi yang dihasilkan oleh Inteligensi Ancaman Defender ke ruang kerja Microsoft Azure Sentinel Anda dengan konektor data Inteligensi Ancaman Defender. Dengan penyiapan satu klik sederhana, gunakan inteligensi ancaman dari konektor data Inteligensi Ancaman Defender standar dan premium untuk memantau, memperingatkan, dan berburu.
Ada dua versi konektor data, standar dan premium. Ada juga aturan analitik ancaman Defender Threat Intelligence yang tersedia secara bebas yang memberi Anda sampel apa yang disediakan konektor data Inteligensi Ancaman Defender premium. Namun, dengan analitik yang cocok, hanya indikator yang cocok dengan aturan yang diserap ke lingkungan Anda.
Konektor data Inteligensi Ancaman Defender premium menyerap kecerdasan sumber terbuka yang diperkaya Microsoft dan IOC yang dikumpulkan Microsoft. Fitur premium ini memungkinkan analitik pada lebih banyak sumber data dengan fleksibilitas dan pemahaman yang lebih besar tentang inteligensi ancaman tersebut. Berikut adalah tabel yang memperlihatkan apa yang diharapkan saat Anda melisensikan dan mengaktifkan versi premium.
| Gratis | Premium |
|---|---|
| IOC Publik | |
| Kecerdasan sumber terbuka (OSINT) | |
| Microsoft IOCs | |
| OSINT yang diperkaya Microsoft |
Untuk informasi lebih lanjut, baca artikel berikut:
- Untuk mempelajari cara mendapatkan lisensi premium dan menjelajahi semua perbedaan antara versi standar dan premium, lihat Menjelajahi lisensi Inteligensi Ancaman Defender.
- Untuk mempelajari selengkapnya tentang pengalaman Inteligensi Ancaman Defender gratis, lihat Memperkenalkan pengalaman gratis Inteligensi Ancaman Defender untuk Microsoft Defender XDR.
- Untuk mempelajari cara mengaktifkan Inteligensi Ancaman Defender dan konektor data Inteligensi Ancaman Defender premium, lihat Mengaktifkan konektor data Inteligensi Ancaman Defender.
- Untuk mempelajari tentang analitik yang cocok, lihat Menggunakan analitik yang cocok untuk mendeteksi ancaman.
Menambahkan inteligensi ancaman ke Microsoft Azure Sentinel dengan API unggahan
Banyak organisasi menggunakan solusi platform inteligensi ancaman (TIP) untuk menggabungkan umpan indikator ancaman dari berbagai sumber. Dari umpan agregat, data dikumpulkan untuk diterapkan ke solusi keamanan seperti perangkat jaringan, solusi EDR/XDR, atau SIEM seperti Microsoft Sentinel. API unggahan memungkinkan Anda menggunakan solusi ini untuk mengimpor objek STIX inteligensi ancaman ke Microsoft Azure Sentinel.
API unggahan baru tidak memerlukan konektor data dan menawarkan peningkatan berikut:
- Bidang indikator ancaman didasarkan pada format standar STIX.
- Aplikasi Microsoft Entra memerlukan peran Kontributor Microsoft Sentinel.
- Titik akhir permintaan API dilingkupkan di tingkat ruang kerja. Izin aplikasi Microsoft Entra yang diperlukan memungkinkan penugasan terperinci di tingkat ruang kerja.
Untuk informasi selengkapnya, lihat Menyambungkan platform inteligensi ancaman Anda menggunakan API unggah
Menambahkan inteligensi ancaman ke Microsoft Azure Sentinel dengan konektor data Platform Inteligensi Ancaman
Catatan
Konektor data ini sekarang berada di jalur untuk penghentian.
Sama seperti API unggahan, konektor data Platform Inteligensi Ancaman menggunakan API yang memungkinkan TIP atau solusi kustom Anda untuk mengirim inteligensi ancaman ke Microsoft Azure Sentinel. Namun, konektor data ini hanya terbatas pada indikator dan sekarang berada di jalur untuk penghentian. Sebaiknya Anda memanfaatkan pengoptimalan yang ditawarkan API unggahan.
Konektor data TIP menggunakan MICROSOFT Graph Security tiIndicators API yang tidak mendukung objek STIX lainnya. Gunakan dengan TIP kustom apa pun yang berkomunikasi dengan API tiIndicators untuk mengirim indikator ke Microsoft Azure Sentinel (dan ke solusi keamanan Microsoft lainnya seperti Defender XDR).
Untuk mengetahui informasi lebih lanjut tentang solusi TIP yang terintegrasi dengan Microsoft Sentinel, lihat Produk platform inteligensi ancaman terintegrasi. Untuk mengetahui informasi selengkapnya, lihat Menghubungkan platform inteligensi ancaman Anda ke Microsoft Sentinel.
Menambahkan inteligensi ancaman ke Microsoft Azure Sentinel dengan konektor data Inteligensi Ancaman - TAXII
Standar industri yang paling banyak diadopsi untuk transmisi inteligensi ancaman adalah kombinasi format data STIX dan protokol TAXII. Jika organisasi Anda mendapatkan inteligensi ancaman dari solusi yang mendukung versi STIX/TAXII saat ini (2.0 atau 2.1), gunakan konektor data Inteligensi Ancaman - TAXII untuk membawa inteligensi ancaman Anda ke Microsoft Azure Sentinel. Konektor data Inteligensi Ancaman - TAXII memungkinkan klien TAXII bawaan di Microsoft Sentinel mengimpor inteligensi ancaman dari server TAXII 2.x.
Untuk mengimpor inteligensi ancaman berformat STIX ke Microsoft Azure Sentinel dari server TAXII:
- Dapatkan akar API server TAXII dan ID pengumpulan.
- Aktifkan konektor data Inteligensi Ancaman - TAXII di Microsoft Azure Sentinel.
Untuk mengetahui informasi selengkapnya, lihat Menghubungkan Microsoft Sentinel ke umpan inteligensi ancaman STIX/TAXII.
Membuat dan mengelola inteligensi ancaman
Inteligensi ancaman yang didukung oleh Microsoft Sentinel dikelola di samping Inteligensi Ancaman Microsoft Defender (MDTI) dan Analitik Ancaman di platform SecOps terpadu Microsoft.
Catatan
Inteligensi ancaman dalam portal Azure masih diakses dari inteligensi Ancaman manajemen>Ancaman Microsoft Sentinel.>
Dua tugas inteligensi ancaman yang paling umum adalah menciptakan inteligensi ancaman baru yang terkait dengan penyelidikan keamanan dan menambahkan tag. Antarmuka manajemen menyederhanakan proses manual untuk mengumpulkan intel ancaman individual dengan beberapa fitur utama.
- Konfigurasikan aturan penyerapan untuk mengoptimalkan intel ancaman dari sumber masuk.
- Tentukan hubungan saat Anda membuat objek STIX baru.
- Kurasi TI yang ada dengan pembangun hubungan.
- Salin metadata umum dari objek TI baru atau yang sudah ada dengan fitur duplikat.
- Tambahkan tag bentuk bebas ke objek dengan multi-pilih.
Objek STIX berikut ini tersedia di Microsoft Azure Sentinel: 
| Objek STIX | Deskripsi |
|---|---|
| Pelaku ancaman | Dari anak-anak skrip hingga negara bagian bangsa, objek aktor ancaman menggambarkan motivasi, kecanggihan, dan tingkat sumber daya. |
| Pola serangan | Juga dikenal sebagai teknik, taktik dan prosedur, pola serangan menggambarkan komponen tertentu dari serangan dan tahap MITRE ATT&CK tempatnya digunakan. |
| Indikator |
Domain name, , URLIPv4 address, IPv6 address, dan File hashesX509 certificates digunakan untuk mengautentikasi identitas perangkat dan server untuk komunikasi yang aman melalui internet.
JA3 sidik jari adalah pengidentifikasi unik yang dihasilkan dari proses jabat tangan TLS/SSL. Mereka membantu mengidentifikasi aplikasi dan alat tertentu yang digunakan dalam lalu lintas jaringan, sehingga lebih mudah untuk mendeteksi sidik jari aktivitasJA3S berbahaya memperluas kemampuan JA3 dengan juga menyertakan karakteristik khusus server dalam proses sidik jari. Ekstensi ini memberikan pandangan yang lebih komprehensif tentang lalu lintas jaringan dan membantu dalam mengidentifikasi ancaman sisi klien dan server.
User agents memberikan informasi tentang perangkat lunak klien yang membuat permintaan ke server, seperti browser atau sistem operasi. Mereka berguna dalam mengidentifikasi dan membuat profil perangkat dan aplikasi yang mengakses jaringan. |
| Identitas | Jelaskan korban, organisasi, dan kelompok atau individu lainnya bersama dengan sektor bisnis yang paling terkait erat dengan mereka. |
| Relasi | Utas yang menghubungkan inteligensi ancaman, membantu membuat koneksi di seluruh sinyal dan titik data yang berbeda dijelaskan dengan hubungan. |
Mengonfigurasi aturan penyerapan
Optimalkan umpan inteligensi ancaman dengan memfilter dan meningkatkan objek sebelum dikirimkan ke ruang kerja Anda. Aturan penyerapan memperbarui atribut, atau memfilter objek secara bersamaan. Tabel berikut ini mencantumkan beberapa kasus penggunaan:
| Kasus penggunaan aturan penyerapan | Deskripsi |
|---|---|
| Mengurangi kebisingan | Filter inteligensi ancaman lama yang tidak diperbarui selama 6 bulan yang juga memiliki keyakinan rendah. |
| Memperpanjang tanggal validitas | Promosikan IOC keakuratan tinggi dari sumber tepercaya dengan memperpanjangnya Valid until selama 30 hari. |
| Ingat masa lalu | Taksonomi aktor ancaman baru sangat bagus, tetapi beberapa analis ingin memastikan untuk menandai nama lama. |
Perlu diingat tips berikut untuk menggunakan aturan penyerapan:
- Semua aturan berlaku secara berurutan. Objek inteligensi ancaman yang diserap akan diproses oleh setiap aturan hingga
Deletetindakan diambil. Jika tidak ada tindakan yang diambil pada objek, tindakan tersebut diserap dari sumber apa adanya. - Tindakan ini
Deleteberarti objek inteligensi ancaman dilewati untuk penyerapan, yang berarti dihapus dari alur. Versi objek sebelumnya yang sudah diserap tidak terpengaruh. - Aturan baru dan yang diedit membutuhkan waktu hingga 15 menit untuk diterapkan.
Untuk informasi selengkapnya, lihat Bekerja dengan aturan penyerapan inteligensi ancaman.
Buat hubungan
Tingkatkan deteksi dan respons ancaman dengan membuat koneksi antara objek dengan pembangun hubungan. Tabel berikut ini mencantumkan beberapa kasus penggunaannya:
| Kasus penggunaan hubungan | Deskripsi |
|---|---|
| Menyambungkan pelaku ancaman ke pola serangan | Pelaku APT29ancaman Menggunakan pola Phishing via Email serangan untuk mendapatkan akses awal. |
| Menautkan indikator ke pelaku ancaman | Indikator allyourbase.contoso.com domain dikaitkan dengan pelaku APT29ancaman . |
| Mengaitkan identitas (korban) dengan pola serangan | Pola Phishing via Emailserangan MenargetkanFourthCoffee organisasi. |
Gambar berikut menunjukkan bagaimana penyusun hubungan menghubungkan semua kasus penggunaan ini.
Mengurasi inteligensi ancaman
Konfigurasikan objek TI mana yang dapat dibagikan dengan audiens yang sesuai dengan menunjuk tingkat sensitivitas yang disebut Protokol Lampu Lalu Lintas (TLP).
| Warna TLP | Sensitivitas |
|---|---|
| Putih | Informasi dapat dibagikan secara bebas dan publik tanpa batasan apa pun. |
| Hijau | Informasi dapat dibagikan dengan rekan dan organisasi mitra dalam komunitas, tetapi tidak secara publik. Ini ditujukan untuk audiens yang lebih luas dalam komunitas. |
| Amber | Informasi dapat dibagikan dengan anggota organisasi, tetapi tidak secara publik. Ini dimaksudkan untuk digunakan dalam organisasi untuk melindungi informasi sensitif. |
| Merah | Informasi sangat sensitif dan tidak boleh dibagikan di luar grup atau rapat tertentu tempat awalnya diungkapkan. |
Atur nilai TLP untuk objek TI di UI saat Anda membuat atau mengeditnya. Mengatur TLP melalui API kurang intuitif dan memerlukan pemilihan salah satu dari empat marking-definition GUID objek. Untuk informasi selengkapnya tentang mengonfigurasi TLP melalui API, lihat object_marking_refs di properti Umum API unggahan
Cara lain untuk mengumpulkan TI adalah dengan tag. Menandai inteligensi ancaman adalah cara cepat untuk mengelompokkan objek bersama-sama agar lebih mudah ditemukan. Biasanya, Anda mungkin menerapkan tag yang terkait dengan insiden tertentu. Tetapi, jika objek mewakili ancaman dari aktor tertentu yang dikenal atau kampanye serangan terkenal, pertimbangkan untuk membuat hubungan alih-alih tag. Setelah Anda mencari dan memfilter inteligensi ancaman yang ingin Anda kerjakan, tandai secara individual atau multipilih dan tandai semuanya sekaligus. Karena pemberian tag adalah bentuk bebas, kami sarankan Anda membuat konvensi penamaan standar untuk tag inteligensi ancaman.
Untuk informasi selengkapnya, lihat Bekerja dengan inteligensi ancaman di Microsoft Azure Sentinel.
Lihat inteligensi ancaman Anda
Lihat inteligensi ancaman Anda dari antarmuka manajemen. Gunakan pencarian tingkat lanjut untuk mengurutkan dan memfilter objek inteligensi ancaman Anda tanpa menulis kueri Analitik Log.
Lihat indikator Anda yang disimpan di ruang kerja Analitik Log dengan dukungan Microsoft Sentinel. Tabel ThreatIntelligenceIndicator di bawah skema Microsoft Azure Sentinel adalah tempat semua indikator ancaman Microsoft Azure Sentinel Anda disimpan. Tabel ini adalah dasar untuk kueri inteligensi ancaman yang dilakukan oleh fitur Microsoft Azure Sentinel lainnya, seperti analitik, kueri berburu, dan buku kerja.
Penting
Tabel yang mendukung skema objek STIX baru berada dalam pratinjau privat. Untuk melihat objek STIX dalam kueri dan membuka kunci model berburu yang menggunakannya, minta untuk ikut serta dengan formulir ini. Serap inteligensi ancaman Anda ke dalam tabel baru, ThreatIntelIndicator dan ThreatIntelObjects, bersama atau alih-alih tabel saat ini, ThreatIntelligenceIndicator, dengan proses keikutsertaan ini.
Berikut adalah contoh tampilan kueri dasar hanya untuk indikator ancaman menggunakan tabel saat ini.
Indikator inteligensi ancaman diserap ke dalam ThreatIntelligenceIndicator tabel ruang kerja Analitik Log Anda sebagai baca-saja. Setiap kali indikator diperbarui, entri baru dalam ThreatIntelligenceIndicator tabel dibuat. Hanya indikator terbaru yang muncul pada antarmuka manajemen. Microsoft Sentinel mendeduplikasi indikator berdasarkan IndicatorId properti dan SourceSystem dan memilih indikator dengan yang terbaru TimeGenerated[UTC].
Properti IndicatorId dihasilkan menggunakan ID indikator STIX. Ketika indikator diimpor atau dibuat dari sumber non-STIX, IndicatorId dihasilkan dari sumber dan pola indikator.
Untuk informasi selengkapnya, lihat Bekerja dengan inteligensi ancaman di Microsoft Azure Sentinel.
Melihat pengayaan data GeoLocation dan WhoIs Anda (pratinjau publik)
Microsoft memperkaya INDIKATOR IP dan domain dengan tambahan GeoLocation dan WhoIs data untuk memberikan konteks lebih lanjut untuk penyelidikan tempat IOC yang dipilih ditemukan.
Tampilkan GeoLocation dan WhoIs data di panel Inteligensi Ancaman untuk jenis indikator ancaman yang diimpor ke Microsoft Azure Sentinel.
Misalnya, gunakan GeoLocation data untuk menemukan informasi seperti organisasi atau negara atau wilayah untuk indikator IP. Gunakan WhoIs data untuk menemukan data seperti pencatat dan merekam data pembuatan dari indikator domain.
Mendeteksi ancaman dengan analitik indikator ancaman
Kasus penggunaan paling penting untuk inteligensi ancaman dalam solusi SIEM seperti Microsoft Azure Sentinel adalah memberi daya aturan analitik untuk deteksi ancaman. Aturan berbasis indikator ini membandingkan peristiwa mentah dari sumber data Anda dengan indikator ancaman Anda untuk mendeteksi ancaman keamanan di organisasi Anda. Di Microsoft Sentinel Analytics, Anda membuat aturan analitik yang didukung oleh kueri yang berjalan sesuai jadwal dan menghasilkan pemberitahuan keamanan. Seiring dengan konfigurasi, mereka menentukan seberapa sering aturan harus berjalan, jenis hasil kueri apa yang harus menghasilkan pemberitahuan dan insiden keamanan, dan, secara opsional, kapan harus memicu respons otomatis.
Meskipun Anda selalu dapat membuat aturan analitik baru dari awal, Microsoft Sentinel menyediakan serangkaian templat aturan bawaan, yang dibuat oleh teknisi keamanan Microsoft, untuk memanfaatkan indikator ancaman Anda. Templat ini didasarkan pada jenis indikator ancaman (domain, email, hash file, alamat IP, atau URL) dan peristiwa sumber data yang ingin Anda cocokkan. Setiap templat mencantumkan sumber yang diperlukan agar aturan berfungsi. Informasi ini memudahkan untuk menentukan apakah peristiwa yang diperlukan sudah diimpor di Microsoft Azure Sentinel.
Secara default, ketika aturan bawaan ini dipicu, pemberitahuan dibuat. Di Microsoft Azure Sentinel, pemberitahuan yang dihasilkan dari aturan analitik juga menghasilkan insiden keamanan. Pada menu Microsoft Azure Sentinel, di bawah Manajemen ancaman, pilih Insiden. Insiden adalah triase dan penyelidikan tim operasi keamanan Anda untuk menentukan tindakan respons yang sesuai. Untuk informasi selengkapnya, lihat Tutorial: Menyelidiki insiden dengan Microsoft Azure Sentinel.
Untuk informasi selengkapnya tentang menggunakan indikator ancaman dalam aturan analitik Anda, lihat Menggunakan inteligensi ancaman untuk mendeteksi ancaman.
Microsoft menyediakan akses ke inteligensi ancamannya melalui aturan analitik Inteligensi Ancaman Defender. Untuk informasi selengkapnya tentang cara memanfaatkan aturan ini, yang menghasilkan peringatan dan insiden dengan keakuratan tinggi, lihat Menggunakan analitik yang cocok untuk mendeteksi ancaman.
Buku kerja menyediakan wawasan tentang inteligensi ancaman Anda
Buku kerja menyediakan dasbor interaktif canggih yang memberi Anda wawasan tentang semua aspek Microsoft Sentinel, dan tanpa terkecuali, inteligensi ancaman. Gunakan buku kerja Inteligensi Ancaman bawaan untuk memvisualisasikan informasi utama tentang inteligensi ancaman Anda. Kustomisasi buku kerja sesuai dengan kebutuhan bisnis Anda. Buat dasbor baru dengan menggabungkan banyak sumber data untuk membantu Anda memvisualisasikan data anda dengan cara yang unik.
Karena buku kerja Microsoft Azure Sentinel didasarkan pada buku kerja Azure Monitor, dokumentasi ekstensif dan banyak lagi templat sudah tersedia. Untuk informasi selengkapnya, lihat Membuat laporan interaktif dengan buku kerja Azure Monitor.
Ada juga sumber daya yang kaya untuk buku kerja Azure Monitor di GitHub, di mana Anda dapat mengunduh lebih banyak templat dan berkontribusi templat Anda sendiri.
Untuk informasi selengkapnya tentang menggunakan dan mengkustomisasi buku kerja Inteligensi Ancaman, lihat Memvisualisasikan inteligensi ancaman dengan buku kerja.
Konten terkait
Dalam artikel ini, Anda mempelajari tentang kemampuan inteligensi ancaman yang didukung oleh Microsoft Sentinel. Untuk informasi lebih lanjut, baca artikel berikut: