Włączanie łącznika danych dla usługi Microsoft Defender Threat Intelligence
Wprowadzanie publicznych, open source i wskaźników wysokiej wierności kompromisu (IOC) generowanych przez usługę Microsoft Defender Threat Intelligence (MDTI) do obszaru roboczego usługi Microsoft Sentinel za pomocą łączników danych MDTI. Korzystając z prostej konfiguracji jednym kliknięciem, użyj ti ze standardowych i premium łączników danych MDTI do monitorowania, alertów i polowania.
Ważne
Łącznik danych usługi Microsoft Defender Threat Intelligence i łącznik danych usługi Microsoft Defender Threat Intelligence w warstwie Premium są obecnie dostępne w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Aby uzyskać więcej informacji na temat zalet standardowych i premium łączników danych MDTI, zobacz Omówienie analizy zagrożeń.
Wymagania wstępne
- Aby zainstalować, zaktualizować i usunąć autonomiczną zawartość lub rozwiązania w centrum zawartości, potrzebna jest rola Współautor usługi Microsoft Sentinel na poziomie grupy zasobów.
- Aby skonfigurować te łączniki danych, musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.
Instalowanie rozwiązania analizy zagrożeń w usłudze Microsoft Sentinel
Aby zaimportować wskaźniki zagrożeń do usługi Microsoft Sentinel ze standardowego i premium MDTI, wykonaj następujące kroki:
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Centrum zawartości zarządzania zawartością>usługi Microsoft Sentinel.>Znajdź i wybierz rozwiązanie analizy zagrożeń.
Wybierz przycisk Zainstaluj/Aktualizuj.
Aby uzyskać więcej informacji na temat zarządzania składnikami rozwiązania, zobacz Odnajdywanie i wdrażanie gotowej zawartości.
Włączanie łącznika danych usługi Microsoft Defender Threat Intelligence
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Łączniki danych.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Łączniki danych konfiguracji>usługi Microsoft Sentinel.>Znajdź i wybierz przycisk Otwórz łącznik >danych usługi Microsoft Defender Threat Intelligence.
Włącz kanał informacyjny, wybierając przycisk Połącz
Gdy wskaźniki MDTI zaczną wypełniać obszar roboczy usługi Microsoft Sentinel, stan łącznika będzie wyświetlany jako Połączony.
W tym momencie pozyskane wskaźniki są teraz dostępne do użycia w regułach analizy mapy TI... . Aby uzyskać więcej informacji, zobacz Używanie wskaźników zagrożeń w regułach analizy.
Znajdź nowe wskaźniki w bloku Analiza zagrożeń lub bezpośrednio w obszarze Dzienniki , wysyłając zapytanie do tabeli ThreatIntelligenceIndicator . Aby uzyskać więcej informacji, zobacz Praca ze wskaźnikami zagrożeń.
Powiązana zawartość
W tym dokumencie przedstawiono sposób łączenia usługi Microsoft Sentinel z kanałem informacyjnym analizy zagrożeń firmy Microsoft za pomocą łącznika danych MDTI. Aby dowiedzieć się więcej o usłudze Microsoft Defender for Threat Intelligence, zobacz następujące artykuły.
- Dowiedz się więcej o tym, co to jest usługa Microsoft Defender Threat Intelligence?.
- Rozpocznij pracę z portalem MDTI portalu MDTI.
- Użyj funkcji MDTI w analizie Użyj zgodnej analizy do wykrywania zagrożeń.