Aktivieren des Datenconnectors für Microsoft Defender Threat Intelligence
Bringen Sie hochwertige Kompromittierungsindikatoren (Indicators of Compromise, IOCs), die von Microsoft Defender Threat Intelligence (MDTI) generiert werden, in Ihren Microsoft Sentinel-Arbeitsbereich. Der MDTI-Datenconnector erfasst diese IOCs mit einem einfachen Ein-Klick-Setup. Dann können Sie auf der Grundlage dieser Bedrohungsinformationen auf die gleiche Weise überwachen, warnen und jagen, wie Sie andere Feeds verwenden.
Wichtig
Der Microsoft Defender Threat Intelligence-Datenconnector ist derzeit als VORSCHAUVERSION verfügbar. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die einheitlichen Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Voraussetzungen
- Um eigenständige Inhalte oder Lösungen aus dem Inhaltshub installieren, aktualisieren oder löschen zu können, müssen Sie auf Ressourcengruppenebene über die Rolle Microsoft Sentinel-Mitwirkender verfügen.
- Zum Konfigurieren dieses Datenconnectors benötigen Sie Lese- und Schreibberechtigungen für den Microsoft Sentinel-Arbeitsbereich.
Installieren der Threat Intelligence-Lösung in Microsoft Sentinel
Führen Sie die folgenden Schritte aus, um Bedrohungsindikatoren aus MDTI in Microsoft Azure Sentinel zu importieren:
Wählen Sie für Microsoft Sentinel im Azure-Portal unter Inhaltsverwaltung die Option Inhaltshub aus.
Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Content Management> Content Hub aus.Suchen Sie die Threat Intelligence-Lösung, und wählen Sie sie aus.
Wählen Sie die Schaltfläche
Installieren/Aktualisieren aus.
Weitere Informationen zum Verwalten der Lösungskomponenten finden Sie unter Ermitteln und Bereitstellen von standardmäßig vorhandenen Inhalten.
Aktivieren des Microsoft Defender Threat Intelligence-Datenconnectors
Wählen Sie für Microsoft Sentinel im Azure-Portalunter KonfigurationDatenconnectorsaus.
Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Konfiguration>Datenconnectors aus.Suchen Sie die Schaltfläche >Connectorseite öffnen des Microsoft Defender Threat Intelligence-Datenconnectors, und wählen Sie sie aus.
Aktivieren Sie den Feed, indem Sie die Schaltfläche Verbinden auswählen
Wenn MDTI-Indikatoren beginnen, den Microsoft Sentinel-Arbeitsbereich aufzufüllen, wird der Connectorstatus als Verbunden angezeigt.
An diesem Punkt stehen die erfassten Indikatoren jetzt für die Verwendung in den Analyseregeln der TI map... zur Verfügung. Weitere Informationen finden Sie unter Verwenden von Bedrohungsindikatoren in Analyseregeln.
Sie können die neuen Indikatoren auf dem Blatt Threat Intelligence oder direkt in Protokolle finden, indem Sie die Tabelle ThreatIntelligenceIndicator abfragen. Weitere Informationen finden Sie unter Arbeiten mit Bedrohungsindikatoren.
Zugehöriger Inhalt
In diesem Dokument haben Sie erfahren, wie Sie Microsoft Sentinel mithilfe des MDTI-Datenconnectors mit dem Threat Intelligence-Feed von Microsoft verbinden. Weitere Informationen zu Microsoft Defender für Threat Intelligence finden Sie in den folgenden Artikeln.
- Weitere Informationen zu Was ist Microsoft Defender Threat Intelligence?.
- Erste Schritte mit dem MDTI-Communityportal MDTI-Portal.
- Verwenden von MDTI in Analysen Verwenden von Abgleichanalysen zum Erkennen von Bedrohungen.