Partilhar via


Habilitar conector de dados para o Microsoft Defender Threat Intelligence

Traga indicadores de comprometimento (IOCs) públicos, de código aberto e de alta fidelidade gerados pelo Microsoft Defender Threat Intelligence para o seu espaço de trabalho do Microsoft Sentinel com os conectores de dados do Defender Threat Intelligence. Com uma configuração simples com um clique, use a inteligência de ameaças dos conectores de dados padrão e premium do Defender Threat Intelligence para monitorar, alertar e caçar.

Importante

O conector de dados do Defender Threat Intelligence e o conector de dados premium do Defender Threat Intelligence estão atualmente em visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter mais termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Para obter mais informações sobre os benefícios dos conectores de dados padrão e premium do Defender Threat Intelligence, consulte Compreender a inteligência de ameaças.

Pré-requisitos

  • Para instalar, atualizar e excluir conteúdo ou soluções autônomas no hub de conteúdo, você precisa da função de Colaborador do Microsoft Sentinel no nível do grupo de recursos.
  • Para configurar esses conectores de dados, você deve ter permissões de leitura e gravação para o espaço de trabalho do Microsoft Sentinel.

Instale a solução de inteligência contra ameaças no Microsoft Sentinel

Para importar indicadores de ameaça para o Microsoft Sentinel do Defender Threat Intelligence padrão e premium, siga estas etapas:

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione Hub de conteúdo.

    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Content management>Content hub.

  2. Encontre e selecione a solução Threat Intelligence .

  3. Selecione o botão Instalar/Atualizar .

Para obter mais informações sobre como gerenciar os componentes da solução, consulte Descobrir e implantar conteúdo pronto para uso.

Ativar o conector de dados do Defender Threat Intelligence

  1. Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Conectores de dados.

    Para Microsoft Sentinel no portal do Defender, selecione Conectores de dados de configuração>do Microsoft Sentinel>.

  2. Localize e selecione o botão da página Abrir conector de dados do Defender Threat Intelligence.

    Captura de tela que mostra a página Conectores de dados com o conector de dados do Defender Threat Intelligence listado.

  3. Habilite o feed selecionando Conectar.

    Captura de tela que mostra a página do conector de dados do Defender Threat Intelligence e o botão Conectar.

  4. Quando os indicadores do Defender Threat Intelligence começam a preencher o espaço de trabalho do Microsoft Sentinel, o status do conector exibe Conectado.

Neste ponto, os indicadores ingeridos estão agora disponíveis para uso nas regras de TI map... análise. Para obter mais informações, consulte Usar indicadores de ameaça em regras de análise.

Encontre os novos indicadores no painel Inteligência de ameaças ou diretamente em Logs consultando a ThreatIntelligenceIndicator tabela. Para obter mais informações, consulte Trabalhar com indicadores de ameaça.

Neste artigo, você aprendeu como conectar o Microsoft Sentinel ao feed de inteligência de ameaças da Microsoft com o conector de dados do Defender Threat Intelligence. Para saber mais sobre o Defender Threat Intelligence, consulte os seguintes artigos: