Включение соединителя данных для Аналитика угроз Microsoft Defender

Доведите в рабочую область Microsoft Sentinel индикаторы компрометации (МОК), созданные Аналитика угроз Microsoft Defender (MDTI). Соединитель данных MDTI приема этих операций ввода-вывода с помощью простой настройки одним щелчком мыши. Затем отслеживайте, оповещайте и охоту на основе аналитики угроз таким же образом, как и другие каналы.

Внимание

Соединитель данных Аналитика угроз Microsoft Defender в настоящее время находится в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

  • Чтобы установить, обновить и удалить автономное содержимое или решения в центре содержимого, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.
  • Чтобы настроить этот соединитель данных, необходимо иметь разрешения на чтение и запись в рабочую область Microsoft Sentinel.

Установка решения аналитики угроз в Microsoft Sentinel

Чтобы импортировать индикаторы угроз в Microsoft Sentinel из MDTI, выполните следующие действия.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.
    Для Microsoft Sentinel на портале Defender выберите Центр содержимого управления>содержимым Microsoft Sentinel>.

  2. Найдите и выберите решение аналитики угроз.

  3. Нажмите кнопку "Установить и обновить".

Дополнительные сведения об управлении компонентами решения см. в статье "Обнаружение и развертывание содержимого вне поля".

Включение соединителя данных Аналитика угроз Microsoft Defender

  1. Для Microsoft Sentinel в портал Azure в разделе "Конфигурация" выберите соединители данных.
    Для Microsoft Sentinel на портале Defender выберите соединители данных конфигурации>Microsoft Sentinel>.

  2. Найдите и выберите кнопку Аналитика угроз Microsoft Defender соединителя >данных Открыть страницу соединителя.

    Снимок экрана: страница соединителей данных с указанным соединителем данных MDTI.

  3. Включите веб-канал, нажав кнопку Подключение

    Снимок экрана: страница соединителя данных MDTI и кнопка подключения.

  4. Когда индикаторы MDTI начинают заполнение рабочей области Microsoft Sentinel, состояние соединителя отображается Подключение.

На этом этапе индикаторы приема теперь доступны для использования в правилах аналитики карты TI... Дополнительные сведения см. в разделе "Использование индикаторов угроз" в правилах аналитики.

Новые индикаторы можно найти в колонке "Аналитика угроз" или непосредственно в журналах , запрашивая таблицу ThreatIntelligenceIndicator . Дополнительные сведения см. в статье "Работа с индикаторами угроз".

В этом документе вы узнали, как подключить Microsoft Sentinel к веб-каналу аналитики угроз Майкрософт с соединителем данных MDTI. Дополнительные сведения о Microsoft Defender для аналитики угроз см. в следующих статьях.