Abilitare il connettore dati per Microsoft Defender Threat Intelligence

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Inserire indicatori ad alta fedeltà di compromissione (IOC) generati da Microsoft Defender Threat Intelligence (MDTI) nell'area di lavoro di Microsoft Sentinel. Il connettore dati MDTI inserisce questi IOC con una semplice configurazione con un solo clic. Monitorare quindi, avvisare e cercare in base all'intelligence sulle minacce nello stesso modo in cui si usano altri feed.

Importante

Il connettore dati di Microsoft Defender Threat Intelligence è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

  • Per installare, aggiornare ed eliminare contenuti o soluzioni autonomi nell'hub del contenuto, è necessario il ruolo Collaboratore di Microsoft Sentinel a livello di gruppo di risorse.
  • Per configurare questo connettore dati, è necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel.

Installare la soluzione Intelligence per le minacce in Microsoft Sentinel

Per importare indicatori di minaccia in Microsoft Sentinel da MDTI, seguire questa procedura:

  1. Per Microsoft Sentinel nella portale di Azure, in Gestione contenuto selezionare Hub contenuto.
    Per Microsoft Sentinel nel portale di Defender selezionare Hub del contenuto di Gestione>contenuto di Microsoft Sentinel>.

  2. Trovare e selezionare la soluzione Intelligence per le minacce.

  3. Selezionare il pulsante Installa/Aggiorna.

Per altre informazioni su come gestire i componenti della soluzione, vedere Individuare e distribuire contenuti predefiniti.

Abilitare il connettore dati di Microsoft Defender Threat Intelligence

  1. Per Microsoft Sentinel nella portale di Azure, in Configurazione selezionare Connettori dati.
    Per Microsoft Sentinel nel portale di Defender selezionare Connettori dati di configurazione>di Microsoft Sentinel.>

  2. Trovare e selezionare il pulsante Apri connettore > dati di Microsoft Defender Threat Intelligence.

    Screenshot che mostra la pagina connettori dati con il connettore dati MDTI elencato.

  3. Abilitare il feed selezionando il pulsante Connessione

    Screenshot che mostra la pagina del connettore dati MDTI e il pulsante Connetti.

  4. Quando gli indicatori MDTI iniziano a popolare l'area di lavoro di Microsoft Sentinel, lo stato del connettore viene visualizzato Connessione ed.

A questo punto, gli indicatori inseriti sono ora disponibili per l'uso nelle regole di analisi della mappa TI. Per altre informazioni, vedere Usare gli indicatori delle minacce nelle regole di analisi.

È possibile trovare i nuovi indicatori nel pannello Intelligence per le minacce o direttamente in Log eseguendo una query sulla tabella ThreatIntelligenceIndicator. Per altre informazioni, vedere Usare gli indicatori di minaccia.

Contenuto correlato

In questo documento si è appreso come connettere Microsoft Sentinel al feed di intelligence sulle minacce di Microsoft con il connettore dati MDTI. Per altre informazioni su Microsoft Defender per Threat Intelligence, vedere gli articoli seguenti.