Включение соединителя данных для Аналитика угроз Microsoft Defender
Доведите общедоступные, открытые и высокоуровневые индикаторы компрометации ,созданные Аналитика угроз Microsoft Defender в рабочую область Microsoft Sentinel с помощью соединителей данных Аналитики угроз Defender. С помощью простой настройки одним щелчком используйте аналитику угроз со стандартных и премиум-соединителей данных Аналитики угроз Defender для мониторинга, оповещения и охоты.
Внимание
Соединитель данных Аналитики угроз Defender и соединитель данных аналитики угроз Premium в настоящее время находятся в предварительной версии. Дополнительные условия использования для предварительных версий Microsoft Azure см. в дополнительных юридических терминах, применимых к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Дополнительные сведения о преимуществах соединителей данных аналитики угроз "Стандартный" и "Премиум" в Defender см. в статье "Анализ угроз".
Необходимые компоненты
- Чтобы установить, обновить и удалить автономное содержимое или решения в Центре контента, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.
- Чтобы настроить эти соединители данных, необходимо иметь разрешения на чтение и запись в рабочую область Microsoft Sentinel.
Установка решения аналитики угроз в Microsoft Sentinel
Чтобы импортировать индикаторы угроз в Microsoft Sentinel из standard и Premium Defender Threat Intelligence, выполните следующие действия.
Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.
Для Microsoft Sentinel на портале Defender выберите Центр содержимого управления>содержимым Microsoft Sentinel>.
Найдите и выберите решение аналитики угроз.
Нажмите кнопку
"Установить и обновить".
Дополнительные сведения об управлении компонентами решения см. в статье "Обнаружение и развертывание содержимого вне поля".
Включение соединителя данных Аналитики угроз Defender
Для Microsoft Sentinel в портал Azure в разделе "Конфигурация" выберите соединители данных.
Для Microsoft Sentinel на портале Defender выберите соединители данных конфигурации>Microsoft Sentinel>.
Найдите и нажмите кнопку "Открыть соединитель данных Аналитики угроз Defender".
Включите веб-канал, выбрав "Подключить".
Когда индикаторы Аналитики угроз Defender начинают заполнять рабочую область Microsoft Sentinel, состояние соединителя отображается "Подключено".
На этом этапе индикаторы приема теперь доступны для использования в TI map... правилах аналитики. Дополнительные сведения см. в разделе "Использование индикаторов угроз" в правилах аналитики.
Найдите новые индикаторы в области аналитики угроз или непосредственно в журналах , запрашивая таблицу ThreatIntelligenceIndicator . Дополнительные сведения см. в статье "Работа с индикаторами угроз".
Связанный контент
Из этой статьи вы узнали, как подключить Microsoft Sentinel к веб-каналу аналитики угроз Майкрософт с помощью соединителя данных Аналитики угроз Defender. Дополнительные сведения об аналитике угроз Defender см. в следующих статьях:
- Узнайте о том, что такое Аналитика угроз Defender?.
- Начало работы с порталом Аналитики угроз Defender.
- Используйте Аналитику угроз Defender в аналитике , используя соответствующую аналитику для обнаружения угроз.