Abilitare il connettore dati per Microsoft Defender Threat Intelligence
Inserire indicatori ad alta fedeltà di compromissione (IOC) generati da Microsoft Defender Threat Intelligence (MDTI) nell'area di lavoro di Microsoft Sentinel. Il connettore dati MDTI inserisce questi IOC con una semplice configurazione con un solo clic. Monitorare quindi, avvisare e cercare in base all'intelligence sulle minacce nello stesso modo in cui si usano altri feed.
Importante
Il connettore dati di Microsoft Defender Threat Intelligence è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Prerequisiti
- Per installare, aggiornare ed eliminare contenuti o soluzioni autonomi nell'hub del contenuto, è necessario il ruolo Collaboratore di Microsoft Sentinel a livello di gruppo di risorse.
- Per configurare questo connettore dati, è necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel.
Installare la soluzione Intelligence per le minacce in Microsoft Sentinel
Per importare indicatori di minaccia in Microsoft Sentinel da MDTI, seguire questa procedura:
Per Microsoft Sentinel nella portale di Azure, in Gestione contenuto selezionare Hub contenuto.
Per Microsoft Sentinel nel portale di Defender selezionare Hub del contenuto di Gestione>contenuto di Microsoft Sentinel>.Trovare e selezionare la soluzione Intelligence per le minacce.
Selezionare il pulsante Installa/Aggiorna.
Per altre informazioni su come gestire i componenti della soluzione, vedere Individuare e distribuire contenuti predefiniti.
Abilitare il connettore dati di Microsoft Defender Threat Intelligence
Per Microsoft Sentinel nella portale di Azure, in Configurazione selezionare Connettori dati.
Per Microsoft Sentinel nel portale di Defender selezionare Connettori dati di configurazione>di Microsoft Sentinel.>Trovare e selezionare il pulsante Apri connettore > dati di Microsoft Defender Threat Intelligence.
Abilitare il feed selezionando il pulsante Connessione
Quando gli indicatori MDTI iniziano a popolare l'area di lavoro di Microsoft Sentinel, lo stato del connettore viene visualizzato Connessione ed.
A questo punto, gli indicatori inseriti sono ora disponibili per l'uso nelle regole di analisi della mappa TI. Per altre informazioni, vedere Usare gli indicatori delle minacce nelle regole di analisi.
È possibile trovare i nuovi indicatori nel pannello Intelligence per le minacce o direttamente in Log eseguendo una query sulla tabella ThreatIntelligenceIndicator. Per altre informazioni, vedere Usare gli indicatori di minaccia.
Contenuto correlato
In questo documento si è appreso come connettere Microsoft Sentinel al feed di intelligence sulle minacce di Microsoft con il connettore dati MDTI. Per altre informazioni su Microsoft Defender per Threat Intelligence, vedere gli articoli seguenti.
- Informazioni su Che cos'è Microsoft Defender Threat Intelligence?
- Introduzione al portale MDTI community MDTI.
- Usare MDTI nell'analisi Usare analisi di corrispondenza per rilevare le minacce.