啟用 Microsoft Defender 威脅情報 的數據連接器
將 Microsoft Defender 威脅情報 (MDTI) 所產生的高精確度入侵指標 (IOC) 帶入您的 Microsoft Sentinel 工作區。 MDTI 資料連接器會透過簡單的單鍵設定來擷取這些 IOC。 然後,以您利用其他摘要的相同方式,根據威脅情報來監視、警示和搜捕。
重要
Microsoft Defender 威脅情報 數據連接器目前處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
必要條件
- 若要在內容中樞安裝、更新和刪除獨立內容或解決方案,您需要 資源群組層級的 Microsoft Sentinel 參與者 角色。
- 若要設定此資料連接器,您必須具有 Microsoft Sentinel 工作區的讀取和寫入許可權。
在 Microsoft Sentinel 中安裝威脅情報解決方案
若要從 MDTI 將威脅指標匯入 Microsoft Sentinel,請遵循下列步驟:
針對 Azure 入口網站 中的 Microsoft Sentinel,在 [內容管理] 底下,選取 [內容中樞]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>內容管理>內容中樞]。尋找並選取 威脅情報 解決方案。
選取 [
安裝/更新] 按鈕。
如需如何管理解決方案元件的詳細資訊,請參閱 探索和部署現用內容。
啟用 Microsoft Defender 威脅情報 數據連接器
針對 Azure 入口網站 中的 Microsoft Sentinel,在 [組態] 底下,選取 [數據連接器]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>組態>數據連接器]。尋找並選取 [Microsoft Defender 威脅情報 數據連接器開啟連接器>頁面] 按鈕。
選取 [連線] 按鈕以啟用摘要
![顯示 MDTI 資料連接器頁面和 [連線] 按鈕的螢幕快照。](media/connect-mdti-data-connector/mdti-data-connector-connect.png)
當 MDTI 指標開始填入 Microsoft Sentinel 工作區時,連接器狀態會顯示 連線。
![顯示 MDTI 資料連接器頁面和 [連線] 按鈕的螢幕快照。](media/connect-mdti-data-connector/mdti-data-connector-connect.png#lightbox)
此時,內嵌的指標現在可用於 TI 地圖 分析規則。 如需詳細資訊,請參閱 在分析規則中使用威脅指標。
您可以藉由查詢 ThreatIntelligenceIndicator 數據表,在 [威脅情報] 刀鋒視窗中或直接在 [記錄] 中找到新的指標。 如需詳細資訊,請參閱 使用威脅指標。
相關內容
在本檔中,您已瞭解如何使用 MDTI 數據連接器將 Microsoft Sentinel 連線到 Microsoft 的威脅情報摘要。 若要深入瞭解適用於威脅情報的 Microsoft Defender,請參閱下列文章。
- 了解什麼是 Microsoft Defender 威脅情報?。
- 開始使用 MDTI 社群入口網站 MDTI 入口網站 MDTI 入口網站。
- 在分析 中使用 MDTI 使用比對分析來偵測威脅。