Azure Sentinel提供資料表來儲存可供Kusto查詢語言(KQL)查詢存取的指標資料。

來自威脅情報提供者的指標會透過連接器自動匯入工作區。我們的工作是新增來自

威脅搜捕團隊的指標。需要使用威脅情報分頁來新增指標，以供偵測KQL查詢使用。

在像Azure Sentinel的安全性資訊和事件管理(SIEM)解決方案中，最常使用的CTI

形式是威脅指標，通常稱為入侵指標或IoCs。威脅指標是將URL、檔案雜湊或IP位址

等觀察，與已知的威脅活動如網路釣魚、殭屍網路或惡意程式碼相關聯的資料。

這種形式的威脅情報通常稱為策略性威脅情報，因為可以大規模地套用至安全性產品和

自動化，以保護和偵測對組織的潛在威脅。在Azure Sentinel中，我們可以使用威脅

指標來協助偵測在環境中觀察到的惡意活動，並將內容提供給安全性調查人員，以協助

提供回應決策所資訊。

可以透過下列活動，將威脅情報 (TI) 整合至 Azure Sentinel 中：

-將資料連接器用於不同的 TI 平台，以將威脅情報匯入 Azure Sentinel。

在記錄和 Azure Sentinel 的新威脅情報區域中，檢視及管理匯入的威脅情報。

-使用內建的 Analytics 規則範本，利用您匯入的威脅情報來產生安全性警示和事件。

-使用威脅情報活頁簿，以在 Azure Sentinel 中將威脅情報的重要資訊視覺化。

-使用匯入的威脅情報來執行威脅搜捕。