Aktivera dataanslutning för Microsoft Defender Hotinformation

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Ta med indikatorer för hög återgivning av kompromettering (IOK) som genereras av Microsoft Defender Hotinformation (MDTI) till din Microsoft Sentinel-arbetsyta. MDTI-dataanslutningsappen matar in dessa IOCs med en enkel installation med ett klick. Övervaka, varna och jaga sedan baserat på hotinformationen på samma sätt som du använder andra feeds.

Viktigt!

Den Microsoft Defender Hotinformation dataanslutningsappen är för närvarande i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

  • För att kunna installera, uppdatera och ta bort fristående innehåll eller lösningar i innehållshubben behöver du rollen Microsoft Sentinel-deltagare på resursgruppsnivå.
  • Om du vill konfigurera den här dataanslutningsappen måste du ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan.

Installera hotinformationslösningen i Microsoft Sentinel

Följ dessa steg för att importera hotindikatorer till Microsoft Sentinel från MDTI:

  1. För Microsoft Sentinel i Azure-portalen går du till Innehållshantering och väljer Innehållshubb.
    För Microsoft Sentinel i Defender-portalen väljer du Innehållshubben för Innehållshantering i>Microsoft Sentinel>.

  2. Leta upp och välj hotinformationslösningen.

  3. Välj knappen Installera/uppdatera.

Mer information om hur du hanterar lösningskomponenterna finns i Identifiera och distribuera out-of-the-box-innehåll.

Aktivera Microsoft Defender Hotinformation dataanslutning

  1. För Microsoft Sentinel i Azure-portalen går du till Konfiguration och väljer Dataanslutningar.
    För Microsoft Sentinel i Defender-portalen väljer du Anslutningsappar för Microsoft Sentinel-konfigurationsdata>>.

  2. Leta upp och välj knappen öppna anslutningsappen för Microsoft Defender Hotinformation dataanslutning.>

    Skärmbild som visar dataanslutningssidan med MDTI-dataanslutningsappen i listan.

  3. Aktivera feeden genom att välja knappen Anslut

    Skärmbild som visar mdti-dataanslutningssidan och anslutningsknappen.

  4. När MDTI-indikatorer börjar fylla i Microsoft Sentinel-arbetsytan visas anslutningsstatusen Anslut ed.

Nu är de inmatade indikatorerna nu tillgängliga för användning i TI-kartan... analysregler. Mer information finns i Använda hotindikatorer i analysregler.

Du hittar de nya indikatorerna på bladet Hotinformation eller direkt i Loggar genom att köra frågor mot tabellen ThreatIntelligenceIndicator . Mer information finns i Arbeta med hotindikatorer.

Relaterat innehåll

I det här dokumentet har du lärt dig hur du ansluter Microsoft Sentinel till Microsofts hotinformationsflöde med MDTI-dataanslutningen. Mer information om Microsoft Defender for Threat Intelligence finns i följande artiklar.