Gegevensconnector inschakelen voor Microsoft Defender-bedreigingsinformatie

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Breng high fidelity indicators of compromise (IOC) die zijn gegenereerd door Microsoft Defender-bedreigingsinformatie (MDTI) in uw Microsoft Sentinel-werkruimte. De MDTI-gegevensconnector neemt deze IOC's op met een eenvoudige installatie met één klik. Bewaak, waarschuw en jaag vervolgens op basis van de bedreigingsinformatie op dezelfde manier als u andere feeds gebruikt.

Belangrijk

De Microsoft Defender-bedreigingsinformatie gegevensconnector bevindt zich momenteel in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

• Als u zelfstandige inhoud of oplossingen in de inhoudshub wilt installeren, bijwerken en verwijderen, hebt u de rol Microsoft Sentinel-inzender nodig op het niveau van de resourcegroep.
• Als u deze gegevensconnector wilt configureren, moet u lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte.

De oplossing Bedreigingsinformatie installeren in Microsoft Sentinel

Als u bedreigingsindicatoren wilt importeren in Microsoft Sentinel vanuit MDTI, voert u de volgende stappen uit:

1. Voor Microsoft Sentinel in Azure Portal selecteert u onder Inhoudsbeheer de optie Inhoudshub.
   Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Content Management>Content Hub.

2. Zoek en selecteer de oplossing Bedreigingsinformatie .

3. Selecteer de knop Installeren/bijwerken .

Zie Out-of-The-Box-inhoud ontdekken en implementeren voor meer informatie over het beheren van de oplossingsonderdelen.

De Microsoft Defender-bedreigingsinformatie-gegevensconnector inschakelen

1. Voor Microsoft Sentinel in Azure Portal selecteert u gegevensconnectors onder Configuratie.
   Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Configuration>Data-connectors.

2. Zoek en selecteer de knop Microsoft Defender-bedreigingsinformatie gegevensconnector >Connector openen.

   

3. Schakel de feed in door de knop Verbinding maken te selecteren

   

4. Wanneer MDTI-indicatoren beginnen met het vullen van de Microsoft Sentinel-werkruimte, wordt de status van de connector weergegeven Verbinding maken ed.

Op dit moment zijn de opgenomen indicatoren nu beschikbaar voor gebruik in de TI-kaart... analyseregels. Zie Bedreigingsindicatoren gebruiken in analyseregels voor meer informatie.

U vindt de nieuwe indicatoren op de blade Bedreigingsinformatie of rechtstreeks in Logboeken door een query uit te voeren op de tabel ThreatIntelligenceIndicator . Zie Werken met bedreigingsindicatoren voor meer informatie.

Gerelateerde inhoud

In dit document hebt u geleerd hoe u Microsoft Sentinel verbindt met de bedreigingsinformatiefeed van Microsoft met de MDTI-gegevensconnector. Zie de volgende artikelen voor meer informatie over Microsoft Defender for Threat Intelligence.

• Meer informatie over wat is Microsoft Defender-bedreigingsinformatie?
• Aan de slag met de MDTI-communityportal MDTI-portal.
• Gebruik MDTI in analyse Gebruik overeenkomende analyses om bedreigingen te detecteren.