Activer un connecteur de données pour Microsoft Defender Threat Intelligence
Introduisez dans votre espace de travail Microsoft Sentinel des indicateurs de compromission (IOC) publics, open source et de haute fidélité générés par Microsoft Defender Threat Intelligence (MDTI) à l’aide des connecteurs de données MDTI. Grâce à une configuration simple en un clic, utilisez les TI des connecteurs de données MDTI standard et premium pour surveiller, alerter et chasser.
Important
Le connecteur de données Microsoft Defender Threat Intelligence et le connecteur de données Microsoft Defender Threat Intelligence Premium sont actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Pour plus d’informations sur les avantages des connecteurs de données MDTI standard et premium, consultez Comprendre le renseignement sur les menaces.
Prérequis
- Pour installer, mettre à jour et supprimer du contenu ou des solutions autonomes dans le hub de contenu, vous avez besoin du rôle Contributeur Microsoft Sentinel au niveau du groupe de ressources.
- Pour configurer ces connecteurs de données, vous devez disposer d’autorisations de lecture et d’écriture sur l’espace de travail Microsoft Sentinel.
Installer la solution Threat Intelligence dans Microsoft Sentinel
Pour importer des indicateurs de menace dans Microsoft Sentinel à partir de MDTI standard et premium, effectuez les étapes suivantes :
Dans Microsoft Sentinel, dans le Portail Azure, sous Gestion du contenu, sélectionnez Hub de contenu.
Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion du contenu>Hub de contenu.Recherchez et sélectionnez la solution Threat Intelligence.
Sélectionnez le bouton Installer/Mettre à jour.
Pour plus d’informations sur la gestion des composants de la solution, consultez Découvrir et déployer du contenu prête à l’emploi.
Activer le connecteur de données Microsoft Defender Threat Intelligence
Pour Microsoft Sentinel dans le portail Azure, sous Configuration, sélectionnez Paramètres.
Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configuration>Connecteurs de données.Recherchez et sélectionnez le bouton >Ouvrir la page du connecteur Microsoft Defender Threat Intelligence.
Activer le flux en sélectionnant le bouton Se connecter
Lorsque les indicateurs MDTI commencent à remplir l’espace de travail Microsoft Sentinel, l’état du connecteur affiche Connecté.
À ce stade, les indicateurs ingérés peuvent désormais être utilisés dans les règles d’analytique TI map.... Pour plus d’informations, consultez Utiliser des indicateurs de menace dans les règles analytiques.
Vous trouverez les nouveaux indicateurs dans le panneau Veille des menaces ou directement dans Journaux en interrogeant la table ThreatIntelligenceIndicator. Pour plus d’informations, consultez Utiliser des indicateurs de menace.
Contenu connexe
Dans ce document, vous avez appris à connecter Microsoft Sentinel au flux de veille des menaces de Microsoft avec le connecteur de données MDTI. Pour en savoir plus sur Microsoft Defender for Threat Intelligence, consultez les articles suivants.
- En savoir plus sur Qu’est-ce que Microsoft Defender Threat Intelligence ?.
- Prise en main du portail MDTI Portail MDTI.
- Utiliser MDTI dans l’analytique Utiliser l’analytique de correspondance pour détecter des menaces.