Habilitar o conector de dados para a Inteligência contra Ameaças do Microsoft Defender
Traga indicadores de comprometimento (IOC) de alta fidelidade gerados pela MDTI (Inteligência contra Ameaças do Microsoft Defender) para seu workspace do Microsoft Sentinel. O conector de dados da MDTI ingere esses IOCs com uma configurações simples de um clique. Em seguida, monitore, alerte e busque com base na inteligência contra ameaças da mesma forma que você utiliza outros feeds.
Importante
No momento, o conector de dados da Inteligência contra Ameaças do Microsoft Defender está em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Pré-requisitos
- Para instalar, atualizar e excluir conteúdo autônomo e soluções no hub de conteúdo, você precisa da função Colaborador do Microsoft Sentinel no nível do grupo de recursos.
- Para configurar esse conector de dados, você precisa ter permissões de leitura e gravação no workspace do Microsoft Sentinel.
Instalar a solução da Inteligência contra Ameaças no Microsoft Sentinel
Para importar indicadores de ameaça de MDTI para o Microsoft Sentinel, siga estas etapas:
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione o Hub de conteúdo.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de conteúdo>Hub de conteúdo.Localize e selecione a solução de Inteligência contra Ameaças.
Selecionar o botão
Instalar/Atualizar.
Para obter mais informações sobre como gerenciar os componentes da solução, veja Descobrir e implantar conteúdo pronto para uso.
Habilitar o conector de dados da Inteligência contra Ameaças do Microsoft Defender
Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Conectores de dados.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configurações>Conectores de dados.Localize e selecione o botão >Abrir página do conector do conector de dados da Inteligência contra Ameaças do Microsoft Defender.
Habilitar o feed selecionando o botão Conectar
Quando os indicadores da MDTI começam a preencher o workspace do Microsoft Sentinel, o status do conector exibe a mensagem Conectado.
Neste momento, os indicadores ingeridos são disponibilizados para uso nas regras de análise do mapa da TI.... Para obter mais informações, veja Usar indicadores de ameaça em regras de análise.
Você pode encontrar os novos indicadores na folha Inteligência contra ameaças ou diretamente em Logs consultando a tabela ThreatIntelligenceIndicator. Para obter mais informações, veja Trabalhar com indicadores de ameaça.
Conteúdo relacionado
Neste documento, você aprendeu a conectar o Microsoft Sentinel ao feed de inteligência contra ameaças da Microsoft com o conector de dados da MDTI. Para saber mais sobre o Microsoft Defender para Inteligência contra Ameaças, veja os artigos a seguir.
- Saiba mais sobre O que é a Inteligência contra Ameaças do Microsoft Defender?.
- Introdução ao portal MDTI da comunidade MDTI.
- Usar MDTI na análise Usar a análise de correspondência para detectar ameaças.