Habilitar o conector de dados para a Inteligência contra Ameaças do Microsoft Defender
Traga indicadores públicos, de software livre e de alta fidelidade de comprometimento (IOC) gerados pelas Informações sobre Ameaças do Microsoft Defender (MDTI) para seu workspace do Microsoft Sentinel com os conectores de dados MDTI. Com uma configuração simples de um clique, use a TI dos conectores de dados MDTI padrão e premium para monitorar, alertar e caçar.
Importante
O conector de dados das Informações sobre Ameaças do Microsoft Defender e o conector de dados premium das Informações sobre Ameaças do Microsoft Defender estão atualmente em VERSÃO PRÉVIA. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
O Microsoft Sentinel agora está disponível para todos na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.
Para obter mais informações sobre os benefícios dos conectores de dados do MDTI padrão e premium, consulte Noções básicas sobre inteligência contra ameaças.
Pré-requisitos
- Para instalar, atualizar e excluir conteúdo autônomo e soluções no hub de conteúdo, você precisa da função Colaborador do Microsoft Sentinel no nível do grupo de recursos.
- Para configurar esses conectores de dados, você precisa ter permissões de leitura e gravação no workspace do Microsoft Sentinel.
Instalar a solução da Inteligência contra Ameaças no Microsoft Sentinel
Para importar indicadores de ameaça de MDTI premium e padrão para o Microsoft Sentinel, siga estas etapas:
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione o Hub de conteúdo.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de conteúdo>Hub de conteúdo.Localize e selecione a solução de Inteligência contra Ameaças.
Selecionar o botão
Instalar/Atualizar.
Para obter mais informações sobre como gerenciar os componentes da solução, veja Descobrir e implantar conteúdo pronto para uso.
Habilitar o conector de dados da Inteligência contra Ameaças do Microsoft Defender
Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Conectores de dados.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configurações>Conectores de dados.Localize e selecione o botão >Abrir página do conector do conector de dados da Inteligência contra Ameaças do Microsoft Defender.
Habilitar o feed selecionando o botão Conectar
Quando os indicadores da MDTI começam a preencher o workspace do Microsoft Sentinel, o status do conector exibe a mensagem Conectado.
Neste momento, os indicadores ingeridos são disponibilizados para uso nas regras de análise do mapa da TI.... Para obter mais informações, veja Usar indicadores de ameaça em regras de análise.
Encontre os novos indicadores na folha Inteligência contra ameaças ou diretamente em Logs consultando a tabela ThreatIntelligenceIndicator. Para obter mais informações, veja Trabalhar com indicadores de ameaça.
Conteúdo relacionado
Neste documento, você aprendeu a conectar o Microsoft Sentinel ao feed de inteligência contra ameaças da Microsoft com o conector de dados da MDTI. Para saber mais sobre o Microsoft Defender para Inteligência contra Ameaças, veja os artigos a seguir.
- Saiba mais sobre O que é a Inteligência contra Ameaças do Microsoft Defender?.
- Introdução ao portal do MDTI Portal do MDTI.
- Usar MDTI na análise Usar a análise de correspondência para detectar ameaças.