啟用適用於 Microsoft Defender 威脅情報的資料連接器
使用 MDTI 資料連接器,將 Microsoft Defender 威脅情報 (MDTI) 所產生的公開、開放原始碼 和高精確度入侵指標帶入您的 Microsoft Sentinel 工作區。 透過簡單的單鍵設定,使用標準和進階 MDTI 資料連接器中的 TI 來監視、警示和搜捕。
重要
Microsoft Defender 威脅情報 數據連接器和 Premium Microsoft Defender 威脅情報 數據連接器目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
如需標準和進階 MDTI 數據連接器優點的詳細資訊,請參閱 瞭解威脅情報。
必要條件
- 若要在內容中樞安裝、更新和刪除獨立內容或解決方案,您需要資源群組層級的 Microsoft Sentinel 參與者 角色。
- 若要設定這些數據連接器,您必須具有Microsoft Sentinel 工作區的讀取和寫入許可權。
在 Microsoft Sentinel 中安裝威脅情報解決方案
若要從標準和進階 MDTI 將威脅指標匯入至 Microsoft Sentinel,請遵循下列步驟:
對於 Azure 入口網站 中的 Microsoft Sentinel,在 [內容管理] 下方,選取 [內容中樞]。
針對 Defender 入口網站 中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[内容管理]>[內容中樞]。尋找並選取 [威脅情報] 解決方案。
選取
[安裝/更新] 按鈕。
如需如何管理解決方案元件的詳細資訊,請參閱探索及部署現成可用的內容 (部分機器翻譯)。
啟用 Microsoft Defender 威脅情報資料連接器
針對 Azure 入口網站的 Microsoft Sentinel,在 [設定] 下方選取 [資料連接器].。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]> [設定]> [資料連接器]。尋找並選取 [Microsoft Defender 威脅情報資料連接器] >[開啟連接器] 頁面 按鈕。
選取 [連線] 按鈕來啟用摘要
![顯示 MDTI 資料連接器頁面和 [連線] 按鈕的螢幕擷取畫面。](media/connect-mdti-data-connector/microsoft-defender-threat-intelligence-data-connector-connect.png)
當 MDTI 指標開始填入 Microsoft Sentinel 工作區時,連接器狀態會顯示 [已連線]。
![顯示 MDTI 資料連接器頁面和 [連線] 按鈕的螢幕擷取畫面。](media/connect-mdti-data-connector/microsoft-defender-threat-intelligence-data-connector-connect.png#lightbox)
此時,內嵌的指標現在可用於 TI 地圖... 分析規則中。 如需詳細資訊,請參閱 在分析規則中使用威脅指標。
藉由查詢 ThreatIntelligenceIndicator 數據表,在 [威脅情報] 刀鋒視窗中或直接在 [記錄] 中尋找新的指標。 如需詳細資訊,請參閱 使用威脅指標。
相關內容
在本文中,您已瞭解如何使用 MDTI 資料連接器將 Microsoft Sentinel 連線到 Microsoft 的威脅情報摘要。 若要深入瞭解用於威脅偵測的 Microsoft Defender,請參閱下列文章。
- 瞭解 什麼是 Microsoft Defender 威脅情報?。
- 開始使用 MDTI 入口網站 MDTI 入口網站。
- 在分析中使用 MDTI 使用比對分析來偵測威脅。