Activer un connecteur de données pour Microsoft Defender Threat Intelligence
Importez des indicateurs de compromission de haute fidélité (IOC) générés par Microsoft Defender Threat Intelligence (MDTI) dans votre espace de travail Microsoft Sentinel. Le connecteur de données MDTI ingère ces IOC avec une configuration simple en un clic. Ensuite, surveillez, alertez et chassez en fonction de la veille des menaces de la même façon que vous utilisez d’autres flux.
Important
Le connecteur de données Microsoft Defender Threat Intelligence est actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.
Prérequis
- Pour installer, mettre à jour et supprimer du contenu ou des solutions autonomes dans le hub de contenu, vous avez besoin du rôle Contributeur Microsoft Sentinel au niveau du groupe de ressources.
- Pour configurer ce connecteur de données, vous devez disposer d’autorisations de lecture et d’écriture sur l’espace de travail Microsoft Sentinel.
Installer la solution Threat Intelligence dans Microsoft Sentinel
Pour importer des indicateurs de menace dans Microsoft Sentinel à partir d’un serveur MDTI, effectuez les étapes suivantes :
Dans Microsoft Sentinel, dans le Portail Azure, sous Gestion du contenu, sélectionnez Hub de contenu.
Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion du contenu>Content hub.Recherchez et sélectionnez la solution Threat Intelligence.
Sélectionnez le bouton
Installer/Mettre à jour.
Pour plus d’informations sur la gestion des composants de la solution, consultez Découvrir et déployer du contenu prête à l’emploi.
Activer le connecteur de données Microsoft Defender Threat Intelligence
Pour Microsoft Sentinel dans le portail Azure, sous Configuration, sélectionnez Paramètres.
Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configuration>Connecteurs de données.Recherchez et sélectionnez le bouton >Ouvrir la page du connecteur Microsoft Defender Threat Intelligence.
Activer le flux en sélectionnant le bouton Se connecter
Lorsque les indicateurs MDTI commencent à remplir l’espace de travail Microsoft Sentinel, l’état du connecteur affiche Connecté.
À ce stade, les indicateurs ingérés peuvent désormais être utilisés dans les règles d’analytique TI map.... Pour plus d’informations, consultez Utiliser des indicateurs de menace dans les règles analytiques.
Vous trouverez les nouveaux indicateurs dans le panneau Threat Intelligence ou directement dans Journaux en interrogeant la table ThreatIntelligenceIndicator. Pour plus d’informations, consultez Utiliser des indicateurs de menace.
Contenu connexe
Dans ce document, vous avez appris à connecter Microsoft Sentinel au flux de veille des menaces de Microsoft avec le connecteur de données MDTI. Pour en savoir plus sur Microsoft Defender for Threat Intelligence, consultez les articles suivants.
- En savoir plus sur Qu’est-ce que Microsoft Defender Threat Intelligence ?.
- Démarrage du Portail MDTI de la communauté MDTI.
- Utiliser MDTI dans l’analytique Utiliser l’analytique de correspondance pour détecter des menaces.