使用 Defender 威脅情報資料連接器,將 Microsoft Defender 威脅情報所產生的公用、開放原始碼和高保真度入侵指標 (IOC) 帶入您的 Microsoft Sentinel 工作區。 透過簡單的單鍵設定,使用來自標準和進階 Defender 威脅情報資料連接器的威脅情報,進行監視、警示和搜捕。
Microsoft Sentinel 已在 Microsoft Defender 遊戲安全中心入口網站中正式推出,適用於未擁有 Microsoft Defender XDR 或 E5 授權的客戶。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
如需標準和進階 Defender 威脅情報數據連接器優點的詳細資訊,請參閱 瞭解威脅情報。
必要條件
- 若要在 內容中樞安裝、更新和刪除獨立內容或解決方案,您需要資源群組層級的 Microsoft Sentinel 參與者角色。
- 若要設定這些資料連接器,您必須具有 Microsoft Sentinel 工作區的讀取和寫入權限。
- 若要從進階版本的 Defender 威脅情報數據連接器存取威脅情報,請連絡銷售人員以購買 MDTI API 存取 SKU。
如需如何取得進階授權及探索標準和進階版本之間所有差異的詳細資訊,請參閱 探索 Defender 威脅情報授權。
在 Microsoft Sentinel 中安裝威脅情報解決方案
若要從標準和進階 Defender 威脅情報將威脅情報匯入Microsoft Sentinel,請遵循下列步驟:
針對 Azure 入口網站中的 Microsoft Sentinel,請在 [ 內容管理] 底下,選取 [ 內容中樞]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>內容管理>內容中樞]。
尋找並選取 威脅情報 解決方案。
選取 [
安裝/更新] 按鈕。
如需有關如何管理解決方案元件的詳細資訊,請參閱探索和部署隨插即用的內容。
啟用 Defender 威脅情報資料連接器
針對 Azure 入口網站中的 Microsoft Sentinel,請在 [ 設定] 底下選取 [數據連接器]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>組態>數據連接器]。
尋找並選取標準或進階 Defender 威脅情報數據連接器。 選取 [開啟連接器頁面] 按鈕。
選取 [連線] 來啟用摘要。
![顯示 Defender 威脅情報資料連接器頁面和 [連線] 按鈕的螢幕快照。](media/connect-mdti-data-connector/premium-connect.png)
當 Defender 威脅情報開始填入 Microsoft Sentinel 工作區時,連接器狀態會顯示 [ 已連線]。
![顯示 Defender 威脅情報資料連接器頁面和 [連線] 按鈕的螢幕快照。](media/connect-mdti-data-connector/premium-connect.png#lightbox)
此時,內嵌的智慧現在可用於 TI map... 分析規則。 如需詳細資訊,請參閱 在分析規則中使用威脅指標。
在管理介面中或直接在 記錄 中,藉由查詢 ThreatIntelligenceIndicator 數據表,尋找新的洞察。 如需詳細資訊,請參閱 使用威脅情報。
相關內容
在本文中,您已了解如何使用 Defender 威脅情報資料連接器將 Microsoft Sentinel 連線到 Microsoft 威脅情報摘要。 若要深入了解 Defender 威脅情報,請參閱下列文章:
- 了解 什麼是Defender威脅情報?。
- 開始使用 Defender威脅情報入口網站。
- 在分析過程中使用Defender威脅情報,利用比對分析來偵測威脅。