Włączanie łącznika danych dla usługi Microsoft Defender Threat Intelligence
Wprowadzanie wskaźników wysokiej wierności kompromisu (IOC) generowanych przez usługę Microsoft Defender Threat Intelligence (MDTI) do obszaru roboczego usługi Microsoft Sentinel. Łącznik danych MDTI pozyskiwa te karty IOC z prostą konfiguracją jednym kliknięciem. Następnie monitoruj, ostrzegaj i poluj na podstawie analizy zagrożeń w taki sam sposób, jak w przypadku innych źródeł danych.
Ważne
Łącznik danych usługi Microsoft Defender Threat Intelligence jest obecnie dostępny w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wymagania wstępne
- Aby zainstalować, zaktualizować i usunąć autonomiczną zawartość lub rozwiązania w centrum zawartości, potrzebna jest rola Współautor usługi Microsoft Sentinel na poziomie grupy zasobów.
- Aby skonfigurować ten łącznik danych, musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.
Instalowanie rozwiązania analizy zagrożeń w usłudze Microsoft Sentinel
Aby zaimportować wskaźniki zagrożeń do usługi Microsoft Sentinel z usługi MDTI, wykonaj następujące kroki:
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Centrum zawartości zarządzania zawartością>usługi Microsoft Sentinel.>Znajdź i wybierz rozwiązanie analizy zagrożeń.
Wybierz przycisk Zainstaluj/Aktualizuj.
Aby uzyskać więcej informacji na temat zarządzania składnikami rozwiązania, zobacz Odnajdywanie i wdrażanie gotowej zawartości.
Włączanie łącznika danych usługi Microsoft Defender Threat Intelligence
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Łączniki danych.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Łączniki danych konfiguracji>usługi Microsoft Sentinel.>Znajdź i wybierz przycisk Otwórz łącznik >danych usługi Microsoft Defender Threat Intelligence.
Włącz kanał informacyjny, wybierając przycisk Połączenie
Gdy wskaźniki MDTI zaczynają wypełniać obszar roboczy usługi Microsoft Sentinel, stan łącznika jest wyświetlany Połączenie.
W tym momencie pozyskane wskaźniki są teraz dostępne do użycia w regułach analizy mapy TI... . Aby uzyskać więcej informacji, zobacz Używanie wskaźników zagrożeń w regułach analizy.
Nowe wskaźniki można znaleźć w bloku Analiza zagrożeń lub bezpośrednio w obszarze Dzienniki, wysyłając zapytanie do tabeli ThreatIntelligenceIndicator. Aby uzyskać więcej informacji, zobacz Praca ze wskaźnikami zagrożeń.
Powiązana zawartość
W tym dokumencie przedstawiono sposób łączenia usługi Microsoft Sentinel z kanałem informacyjnym analizy zagrożeń firmy Microsoft za pomocą łącznika danych MDTI. Aby dowiedzieć się więcej o usłudze Microsoft Defender for Threat Intelligence, zobacz następujące artykuły.
- Dowiedz się więcej o tym, co to jest usługa Microsoft Defender Threat Intelligence?.
- Rozpocznij pracę z portalem MDTI w portalu społeczności MDTI.
- Użyj funkcji MDTI w analizie Użyj zgodnej analizy do wykrywania zagrożeń.