Gegevensconnector inschakelen voor Microsoft Defender-bedreigingsinformatie
Breng high fidelity indicators of compromise (IOC) die zijn gegenereerd door Microsoft Defender-bedreigingsinformatie (MDTI) in uw Microsoft Sentinel-werkruimte. De MDTI-gegevensconnector neemt deze IOC's op met een eenvoudige installatie met één klik. Bewaak, waarschuw en jaag vervolgens op basis van de bedreigingsinformatie op dezelfde manier als u andere feeds gebruikt.
Belangrijk
De Microsoft Defender-bedreigingsinformatie gegevensconnector bevindt zich momenteel in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.
Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Vereisten
- Als u zelfstandige inhoud of oplossingen in de inhoudshub wilt installeren, bijwerken en verwijderen, hebt u de rol Microsoft Sentinel-inzender nodig op het niveau van de resourcegroep.
- Als u deze gegevensconnector wilt configureren, moet u lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte.
De oplossing Bedreigingsinformatie installeren in Microsoft Sentinel
Als u bedreigingsindicatoren wilt importeren in Microsoft Sentinel vanuit MDTI, voert u de volgende stappen uit:
Voor Microsoft Sentinel in Azure Portal selecteert u onder Inhoudsbeheer de optie Inhoudshub.
Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Content Management>Content Hub.Zoek en selecteer de oplossing Bedreigingsinformatie .
Selecteer de knop Installeren/bijwerken .
Zie Out-of-The-Box-inhoud ontdekken en implementeren voor meer informatie over het beheren van de oplossingsonderdelen.
De Microsoft Defender-bedreigingsinformatie-gegevensconnector inschakelen
Voor Microsoft Sentinel in Azure Portal selecteert u gegevensconnectors onder Configuratie.
Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Configuration>Data-connectors.Zoek en selecteer de knop Microsoft Defender-bedreigingsinformatie gegevensconnector >Connector openen.
Schakel de feed in door de knop Verbinding maken te selecteren
Wanneer MDTI-indicatoren beginnen met het vullen van de Microsoft Sentinel-werkruimte, wordt de status van de connector weergegeven Verbinding maken ed.
Op dit moment zijn de opgenomen indicatoren nu beschikbaar voor gebruik in de TI-kaart... analyseregels. Zie Bedreigingsindicatoren gebruiken in analyseregels voor meer informatie.
U vindt de nieuwe indicatoren op de blade Bedreigingsinformatie of rechtstreeks in Logboeken door een query uit te voeren op de tabel ThreatIntelligenceIndicator . Zie Werken met bedreigingsindicatoren voor meer informatie.
Gerelateerde inhoud
In dit document hebt u geleerd hoe u Microsoft Sentinel verbindt met de bedreigingsinformatiefeed van Microsoft met de MDTI-gegevensconnector. Zie de volgende artikelen voor meer informatie over Microsoft Defender for Threat Intelligence.
- Meer informatie over wat is Microsoft Defender-bedreigingsinformatie?
- Aan de slag met de MDTI-communityportal MDTI-portal.
- Gebruik MDTI in analyse Gebruik overeenkomende analyses om bedreigingen te detecteren.