Включение соединителя данных для Аналитика угроз Microsoft Defender
Доведите общедоступные, открытый код и высокие индикаторы компрометации (МОК), созданные Аналитика угроз Microsoft Defender (MDTI) в рабочую область Microsoft Sentinel с соединителями данных MDTI. При простой настройке одним щелчком используйте TI из соединителей данных MDTI уровня "Стандартный" и "Премиум" для мониторинга, оповещения и охоты.
Внимание
Соединитель данных Аналитика угроз Microsoft Defender и соединитель данных premium Аналитика угроз Microsoft Defender в настоящее время находятся в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.
Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Дополнительные сведения о преимуществах соединителей данных MDTI уровня "Стандартный" и "Премиум" см. в статье "Анализ угроз".
Необходимые компоненты
- Чтобы установить, обновить и удалить автономное содержимое или решения в центре содержимого, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.
- Чтобы настроить эти соединители данных, необходимо иметь разрешения на чтение и запись в рабочую область Microsoft Sentinel.
Установка решения аналитики угроз в Microsoft Sentinel
Чтобы импортировать индикаторы угроз в Microsoft Sentinel из уровня "Стандартный" и "Премиум MDTI", выполните следующие действия.
Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.
Для Microsoft Sentinel на портале Defender выберите Центр содержимого управления>содержимым Microsoft Sentinel>.Найдите и выберите решение аналитики угроз.
Нажмите кнопку "Установить и обновить".
Дополнительные сведения об управлении компонентами решения см. в статье "Обнаружение и развертывание содержимого вне поля".
Включение соединителя данных Аналитика угроз Microsoft Defender
Для Microsoft Sentinel в портал Azure в разделе "Конфигурация" выберите соединители данных.
Для Microsoft Sentinel на портале Defender выберите соединители данных конфигурации>Microsoft Sentinel>.Найдите и выберите кнопку Аналитика угроз Microsoft Defender соединителя >данных Открыть страницу соединителя.
Включите веб-канал, нажав кнопку "Подключиться "
Когда индикаторы MDTI начинают заполнять рабочую область Microsoft Sentinel, состояние соединителя отображается подключено.
На этом этапе индикаторы приема теперь доступны для использования в правилах аналитики карты TI... Дополнительные сведения см. в разделе "Использование индикаторов угроз" в правилах аналитики.
Найдите новые индикаторы в колонке "Аналитика угроз" или непосредственно в журналах , запрашивая таблицу ThreatIntelligenceIndicator . Дополнительные сведения см. в статье "Работа с индикаторами угроз".
Связанный контент
В этом документе вы узнали, как подключить Microsoft Sentinel к веб-каналу аналитики угроз Майкрософт с соединителем данных MDTI. Дополнительные сведения о Microsoft Defender для аналитики угроз см. в следующих статьях.
- Узнайте о том, что такое Аналитика угроз Microsoft Defender?.
- Начало работы с порталом MDTI портала MDTI.
- Используйте MDTI в аналитике , используя соответствующую аналитику для обнаружения угроз.