你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

启用 Microsoft Defender 威胁情报数据连接器

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

将 Microsoft Defender 威胁情报 (MDTI) 生成的高保真入侵指标 (IOC) 引入 Microsoft Sentinel 工作区。 MDTI 数据连接器将通过简单的一键式设置引入这些 IOC。 然后，以与利用其他源相同的方式，根据威胁情报进行监视、发出警报和搜寻。

重要

Microsoft Defender 威胁情报数据连接器目前处于预览阶段。 请参阅 Microsoft Azure 预览版的补充使用条款，了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

先决条件

• 若要在内容中心安装、更新和删除独立内容或解决方案，你需要在资源组级别拥有“Microsoft Sentinel 参与者”角色。
• 若要配置此数据连接器，必须具有对 Microsoft Sentinel 工作区的读取和写入权限。

在 Microsoft Sentinel 中安装威胁情报解决方案

若要将威胁指标从 MDTI 导入到 Microsoft Sentinel，请执行以下步骤：

1. 对于 Azure 门户中的 Microsoft Sentinel，在“内容管理”下，选择“内容中心”。
   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“内容管理”>“内容中心”。

2. 查找并选择“威胁情报”解决方案。

3. 选择“安装/更新”按钮。

有关如何管理解决方案组件的详细信息，请参阅发现和部署现成内容。

启用 Microsoft Defender 威胁情报数据连接器

1. 对于 Azure 门户中的 Microsoft Sentinel，在“配置”下选择“数据连接器”。
   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“配置”>“数据连接器”。

2. 查找并选择“Microsoft Defender 威胁情报”数据连接器>“打开连接器页”按钮。

   

3. 通过选择“连接”按钮启用源

   

4. 当 MDTI 指标开始填充 Microsoft Sentinel 工作区时，连接器状态将显示为“已连接”。

此时，引入的指标现在可用于“TI 地图...”分析规则。 有关详细信息，请参阅在分析规则中使用威胁指标。

你可以在“威胁情报”边栏选项卡中或通过查询“ThreatIntelligenceIndicator”表直接在“日志”中找到新指标。 有关详细信息，请参阅使用威胁指标。

相关内容

本文档介绍了如何使用 MDTI 数据连接器将 Microsoft Sentinel 连接到 Microsoft 的威胁情报源。 若要详细了解用户获取威胁情报的 Microsoft Defender，请参阅以下文章。

• 了解什么是 Microsoft Defender 威胁情报？。
• MDTI 社区门户入门：（MDTI 门户）。
• 在分析中使用 MDTI：使用匹配的分析来检测威胁。