Povolení datového konektoru pro Analýza hrozeb v programu Microsoft Defender
Přineste do pracovního prostoru Služby Microsoft Sentinel indikátory ohrožení zabezpečení (IOC) vygenerované Analýza hrozeb v programu Microsoft Defender (MDTI). Datový konektor MDTI tyto vstupně-výstupní operace ingestuje jednoduchým nastavením jedním kliknutím. Pak monitorujte, upozorňovat a proaktivně hledat na základě analýzy hrozeb stejným způsobem, jakým využíváte jiné informační kanály.
Důležité
Datový konektor Analýza hrozeb v programu Microsoft Defender je aktuálně ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Požadavky
- K instalaci, aktualizaci a odstranění samostatného obsahu nebo řešení v centru obsahu potřebujete roli Přispěvatel Služby Microsoft Sentinel na úrovni skupiny prostředků.
- Pokud chcete tento datový konektor nakonfigurovat, musíte mít oprávnění ke čtení a zápisu do pracovního prostoru Služby Microsoft Sentinel.
Instalace řešení Analýza hrozeb v Microsoft Sentinelu
Pokud chcete importovat indikátory hrozeb do Služby Microsoft Sentinel z MDTI, postupujte takto:
Pro Microsoft Sentinel na webu Azure Portal v části Správa obsahu vyberte Centrum obsahu.
Pro Microsoft Sentinel na portálu Defender vyberte centrum obsahu pro správu>obsahu služby Microsoft Sentinel>.Vyhledejte a vyberte řešení Analýzy hrozeb .
Vyberte tlačítko Instalovat/Aktualizovat.
Další informace o správě komponent řešení najdete v tématu Zjišťování a nasazení obsahu před nasazením.
Povolení datového konektoru Analýza hrozeb v programu Microsoft Defender
Pro Microsoft Sentinel na webu Azure Portal v části Konfigurace vyberte Datové konektory.
Pro Microsoft Sentinel na portálu Defender vyberte konektory konfiguračních dat Microsoft Sentinelu>>.Najděte a vyberte tlačítko otevřít stránku konektoru Analýza hrozeb v programu Microsoft Defender datového konektoru.>
Povolení informačního kanálu výběrem tlačítka Připojení
Když indikátory MDTI začnou naplnit pracovní prostor Microsoft Sentinelu, zobrazí se stav konektoru Připojení.
V tuto chvíli jsou ingestované indikátory k dispozici pro použití v analytických pravidlech map TI. Další informace najdete v tématu Použití indikátorů hrozeb v analytických pravidlech.
Nové indikátory najdete v okně Analýza hrozeb nebo přímo v protokolech pomocí dotazu na tabulku ThreatIntelligenceIndicator . Další informace najdete v tématu Práce s indikátory hrozeb.
Související obsah
V tomto dokumentu jste se dozvěděli, jak připojit Microsoft Sentinel k informačnímu kanálu microsoftu pro analýzu hrozeb pomocí datového konektoru MDTI. Další informace o nástroji Microsoft Defender for Threat Intelligence najdete v následujících článcích.
- Přečtěte si o tom, co je Analýza hrozeb v programu Microsoft Defender?.
- Začínáme s portálem MDTI community portal MDTI
- K detekci hrozeb použijte MDTI v analýzách.