Habilitar el conector de datos para Inteligencia sobre amenazas de Microsoft Defender
Incorpore indicadores de compromiso (IOC) de alta fidelidad generados por la inteligencia sobre amenazas de Microsoft Defender (MDTI) a su área de trabajo de Microsoft Sentinel. El conector de datos de MDTI ingiere estos IOC con una configuración sencilla con un solo clic. A continuación, supervise, alerte y busque en función de la información sobre amenazas del mismo modo que utiliza otras fuentes.
Importante
El conector de datos de la Inteligencia sobre amenazas de Microsoft Defender está actualmente en versión preliminar. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Requisitos previos
- Para instalar, actualizar y eliminar soluciones o contenido independiente en el centro de contenidos, se necesita el rol de Colaborador de Microsoft Sentinel en el nivel de grupo de recursos.
- Para configurar este conector de datos, debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.
Instalar la solución de Inteligencia sobre amenazas en Microsoft Sentinel
Para importar indicadores de amenazas en Microsoft Sentinel desde MDTI, siga estos pasos:
Para Microsoft Sentinel en Azure Portal, en Administración de contenido, seleccione Centro de contenido.
Para Microsoft Sentinel en Portal Defender, seleccione Microsoft Sentinel>Administración de contenido>Centro de contenido.Busque y seleccione la solución de inteligencia sobre amenazas.
Seleccione el botón
Instalar o actualizar.
Para obtener más información sobre cómo administrar los componentes de la solución, consulte Detección e implementación de contenido preconfigurado.
Habilitar el conector de datos de la Inteligencia sobre amenazas de Microsoft Defender
En Microsoft Sentinel, en Azure Portal en Configuración, seleccione Conectores de datos.
Para Microsoft Sentinel en el Portal Defender, seleccione Microsoft Sentinel>Configuración>Conectores de datos.Busque y seleccione el botón >Abrir página del conector del conector de datos de la Inteligencia sobre amenazas de Microsoft Defender.
Para habilitar la fuente, seleccione el botón Conectar
Cuando los indicadores de la MDTI comienzan a rellenar el área de trabajo de Microsoft Sentinel, el estado del conector muestra el mensaje Conectado.
En este momento, los indicadores ingeridos ya están disponibles para su uso en las reglas de análisis de mapa de TI. Para obtener más información, consulte Usar indicadores de amenazas en reglas de análisis.
Puede encontrar los nuevos indicadores en la hoja Inteligencia sobre amenazas o directamente en Registros consultando la tabla ThreatIntelligenceIndicator. Para obtener más información, consulte Uso de indicadores de amenazas.
Contenido relacionado
En este documento, ha aprendido a conectar Microsoft Sentinel a la fuente de inteligencia sobre amenazas de Microsoft con el conector de datos de la MDTI. Para obtener más información sobre Microsoft Defender para Inteligencia sobre amenazas, consulte los artículos siguientes.
- Obtenga información sobre ¿Qué es Inteligencia sobre amenazas de Microsoft Defender?.
- Introducción al portal MDTI de comunidad MDTI.
- Usar MDTI en el análisis Usar el análisis de coincidencias para detectar amenazas.