Включение соединителя данных для Аналитика угроз Microsoft Defender
Доведите в рабочую область Microsoft Sentinel индикаторы компрометации (МОК), созданные Аналитика угроз Microsoft Defender (MDTI). Соединитель данных MDTI приема этих операций ввода-вывода с помощью простой настройки одним щелчком мыши. Затем отслеживайте, оповещайте и охоту на основе аналитики угроз таким же образом, как и другие каналы.
Внимание
Соединитель данных Аналитика угроз Microsoft Defender в настоящее время находится в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Microsoft Sentinel доступен в составе единой платформы операций безопасности на портале Microsoft Defender. Microsoft Sentinel на портале Defender теперь поддерживается для использования в рабочей среде. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Необходимые компоненты
- Чтобы установить, обновить и удалить автономное содержимое или решения в центре содержимого, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.
- Чтобы настроить этот соединитель данных, необходимо иметь разрешения на чтение и запись в рабочую область Microsoft Sentinel.
Установка решения аналитики угроз в Microsoft Sentinel
Чтобы импортировать индикаторы угроз в Microsoft Sentinel из MDTI, выполните следующие действия.
Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.
Для Microsoft Sentinel на портале Defender выберите Центр содержимого управления>содержимым Microsoft Sentinel>.Найдите и выберите решение аналитики угроз.
Нажмите кнопку
"Установить и обновить".
Дополнительные сведения об управлении компонентами решения см. в статье "Обнаружение и развертывание содержимого вне поля".
Включение соединителя данных Аналитика угроз Microsoft Defender
Для Microsoft Sentinel в портал Azure в разделе "Конфигурация" выберите соединители данных.
Для Microsoft Sentinel на портале Defender выберите соединители данных конфигурации>Microsoft Sentinel>.Найдите и выберите кнопку Аналитика угроз Microsoft Defender соединителя >данных Открыть страницу соединителя.
Включите веб-канал, нажав кнопку Подключение
Когда индикаторы MDTI начинают заполнение рабочей области Microsoft Sentinel, состояние соединителя отображается Подключение.
На этом этапе индикаторы приема теперь доступны для использования в правилах аналитики карты TI... Дополнительные сведения см. в разделе "Использование индикаторов угроз" в правилах аналитики.
Новые индикаторы можно найти в колонке "Аналитика угроз" или непосредственно в журналах , запрашивая таблицу ThreatIntelligenceIndicator . Дополнительные сведения см. в статье "Работа с индикаторами угроз".
Связанный контент
В этом документе вы узнали, как подключить Microsoft Sentinel к веб-каналу аналитики угроз Майкрософт с соединителем данных MDTI. Дополнительные сведения о Microsoft Defender для аналитики угроз см. в следующих статьях.
- Узнайте о том, что такое Аналитика угроз Microsoft Defender?.
- Начало работы с порталом MDTI сообщества MDTI.
- Используйте MDTI в аналитике , используя соответствующую аналитику для обнаружения угроз.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по