你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

启用 Microsoft Defender 威胁情报数据连接器

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

使用 Defender 威胁情报数据连接器将 Microsoft Defender 威胁情报生成的公开、开源和高保真入侵指标 (IOC) 引入 Microsoft Sentinel 工作区。 只需完成简单的一键式设置，即可使用标准和高级 Defender 威胁情报数据连接器的威胁情报进行监视、警报和搜寻。

重要

Defender 威胁情报数据连接器和高级 Defender 威胁情报数据连接器当前处于预览状态。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款，请参阅 Microsoft Azure 预览版的补充使用条款。

Microsoft Sentinel 现已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 有关详细信息，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

有关标准和高级 Defender 威胁情报数据连接器的优点的详细信息，请参阅了解威胁情报。

先决条件

• 若要在“内容中心”安装、更新和删除独立内容或解决方案，你需要在资源组级别拥有 Microsoft Sentinel 参与者角色。
• 若要配置这些数据连接器，必须具有对 Microsoft Sentinel 工作区的读取和写入权限。

在 Microsoft Sentinel 中安装威胁情报解决方案

若要将威胁指示器从标准和高级 Defender 威胁情报导入 Microsoft Sentinel，请执行以下步骤：

1. 对于 Azure 门户中的 Microsoft Sentinel，在“内容管理”下，选择“内容中心”。

   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“内容管理”>“内容中心”。

2. 查找并选择“威胁情报”解决方案。

3. 选择“安装/更新”按钮。

有关如何管理解决方案组件的详细信息，请参阅发现和部署现成内容。

启用 Defender 威胁情报数据连接器

1. 对于 Azure 门户中的 Microsoft Sentinel，在“配置”下选择“数据连接器”。

   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“配置”>“数据连接器”。

2. 查找并选择“Defender 威胁情报”数据连接器“打开连接器页”按钮。

   

3. 选择“连接”启用源。

   

4. 当 Defender 威胁情报指标开始填充 Microsoft Sentinel 工作区时，连接器状态将显示为“已连接”。

此时，引入的指标现在可用于 TI map... 分析规则。 有关详细信息，请参阅在分析规则中使用威胁指标。

在“威胁情报”窗格中查找新指标，或直接在“日志”中通过查询 ThreatIntelligenceIndicator 表来查找新指标。 有关详细信息，请参阅使用威胁指标。

相关内容

在本文中，你已了解如何使用 Defender 威胁情报数据连接器将 Microsoft Sentinel 连接到 Microsoft 威胁情报源。 若要详细了解 Defender 威胁情报，请参阅以下文章：

• 了解什么是 Defender 威胁情报？。
• 开始使用 Defender 威胁情报门户。
• 在 Defender 威胁情报中使用匹配分析来检测威胁。