Aktivieren des Datenconnectors für Microsoft Defender Threat Intelligence
Integrieren Sie öffentliche, Open-Source- und High Fidelity-Kompromittierungsindikatoren (IOC), die von Microsoft Defender Threat Intelligence generiert werden, mit den Defender Threat Intelligence-Datenconnectors in Ihren Microsoft Sentinel-Arbeitsbereich. Nutzen Sie mit einem einfachen Setup mit nur einem Klick die Threat Intelligence der Standard- und Premium-Datenconnectors von Defender Threat Intelligence für Überwachung, Warnungen und Bedrohungssuche.
Wichtig
Der Defender Threat Intelligence-Datenconnector und der Premium-Defender Threat Intelligence-Datenconnector befinden sich derzeit in der Vorschau. Die ergänzenden Nutzungsbedingungen für Microsoft Azure-Vorschauversionen enthalten weitere rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Weitere Informationen zu den Vorteilen der Defender Threat Intelligence-Datenconnectors Standard und Premium finden Sie unter Grundlegendes zu Threat Intelligence.
Voraussetzungen
- Um eigenständige Inhalte oder Lösungen aus dem Inhaltshub installieren, aktualisieren oder löschen zu können, müssen Sie auf Ressourcengruppenebene über die Rolle „Microsoft Sentinel-Mitwirkender“ verfügen.
- Zum Konfigurieren dieser Datenconnectors benötigen Sie Lese- und Schreibberechtigungen für den Microsoft Sentinel-Arbeitsbereich.
Installieren der Threat Intelligence-Lösung in Microsoft Sentinel
Führen Sie die folgenden Schritte aus, um Bedrohungsindikatoren aus Defender Threat Intelligence Standard oder Premium in Microsoft Sentinel zu importieren:
Wählen Sie für Microsoft Sentinel im Azure-Portal unter Inhaltsverwaltung die Option Inhaltshub aus.
Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Content Management> Content Hub aus.
Suchen Sie die Threat Intelligence-Lösung, und wählen Sie sie aus.
Wählen Sie die Schaltfläche
Installieren/Aktualisieren aus.
Weitere Informationen zum Verwalten der Lösungskomponenten finden Sie unter Ermitteln und Bereitstellen von standardmäßig vorhandenen Inhalten.
Aktivieren des Defender Threat Intelligence-Datenconnectors
Wählen Sie für Microsoft Sentinel im Azure-Portalunter Konfiguration Datenconnectorsaus.
Wählen Sie für Microsoft Sentinel im Defender-Portal Microsoft Sentinel>Konfiguration>Datenconnectors aus.
Suchen Sie die Schaltfläche Connectorseite öffnen des Defender Threat Intelligence-Datenconnectors, und wählen Sie sie aus.
Aktivieren Sie den Feed, indem Sie Verbinden auswählen.
Wenn Defender Threat Intelligence-Indikatoren beginnen, den Microsoft Sentinel-Arbeitsbereich aufzufüllen, wird als Connectorstatus Verbunden angezeigt.
Ab diesem Zeitpunkt stehen die erfassten Indikatoren für die Verwendung in den TI map...-Analyseregeln zur Verfügung. Weitere Informationen finden Sie unter Verwenden von Bedrohungsindikatoren in Analyseregeln.
Suchen Sie die neuen Indikatoren im Bereich Threat Intelligence oder direkt in den Protokollen, indem Sie die Tabelle ThreatIntelligenceIndicator abfragen. Weitere Informationen finden Sie unter Arbeiten mit Bedrohungsindikatoren.
Zugehöriger Inhalt
In diesem Artikel haben Sie erfahren, wie Sie Microsoft Sentinel mit dem Microsoft Threat Intelligence-Feed mit dem Defender Threat Intelligence-Datenconnector verbinden. Weitere Informationen zu Defender Threat Intelligence finden Sie in den folgenden Artikeln:
- Weitere Informationen finden Sie unter Was ist Defender Threat Intelligence?.
- Erste Schritte mit dem Defender Threat Intelligence-Portal.
- Verwenden Sie Defender Threat Intelligence in der Analyse, indem Sie Abgleichsanalysen verwenden, um Bedrohungen zu erkennen.