Включение соединителя данных для Аналитика угроз Microsoft Defender

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Доведите в рабочую область Microsoft Sentinel индикаторы компрометации (МОК), созданные Аналитика угроз Microsoft Defender (MDTI). Соединитель данных MDTI приема этих операций ввода-вывода с помощью простой настройки одним щелчком мыши. Затем отслеживайте, оповещайте и охоту на основе аналитики угроз таким же образом, как и другие каналы.

Внимание

Соединитель данных Аналитика угроз Microsoft Defender в настоящее время находится в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Microsoft Sentinel доступен в составе единой платформы операций безопасности на портале Microsoft Defender. Microsoft Sentinel на портале Defender теперь поддерживается для использования в рабочей среде. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

• Чтобы установить, обновить и удалить автономное содержимое или решения в центре содержимого, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.
• Чтобы настроить этот соединитель данных, необходимо иметь разрешения на чтение и запись в рабочую область Microsoft Sentinel.

Установка решения аналитики угроз в Microsoft Sentinel

Чтобы импортировать индикаторы угроз в Microsoft Sentinel из MDTI, выполните следующие действия.

1. Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.
   Для Microsoft Sentinel на портале Defender выберите Центр содержимого управления>содержимым Microsoft Sentinel>.

2. Найдите и выберите решение аналитики угроз.

3. Нажмите кнопку "Установить и обновить".

Дополнительные сведения об управлении компонентами решения см. в статье "Обнаружение и развертывание содержимого вне поля".

Включение соединителя данных Аналитика угроз Microsoft Defender

1. Для Microsoft Sentinel в портал Azure в разделе "Конфигурация" выберите соединители данных.
   Для Microsoft Sentinel на портале Defender выберите соединители данных конфигурации>Microsoft Sentinel>.

2. Найдите и выберите кнопку Аналитика угроз Microsoft Defender соединителя >данных Открыть страницу соединителя.

   

3. Включите веб-канал, нажав кнопку Подключение

   

4. Когда индикаторы MDTI начинают заполнение рабочей области Microsoft Sentinel, состояние соединителя отображается Подключение.

На этом этапе индикаторы приема теперь доступны для использования в правилах аналитики карты TI... Дополнительные сведения см. в разделе "Использование индикаторов угроз" в правилах аналитики.

Новые индикаторы можно найти в колонке "Аналитика угроз" или непосредственно в журналах , запрашивая таблицу ThreatIntelligenceIndicator . Дополнительные сведения см. в статье "Работа с индикаторами угроз".

Связанный контент

В этом документе вы узнали, как подключить Microsoft Sentinel к веб-каналу аналитики угроз Майкрософт с соединителем данных MDTI. Дополнительные сведения о Microsoft Defender для аналитики угроз см. в следующих статьях.

• Узнайте о том, что такое Аналитика угроз Microsoft Defender?.
• Начало работы с порталом MDTI сообщества MDTI.
• Используйте MDTI в аналитике , используя соответствующую аналитику для обнаружения угроз.