Activer un connecteur de données pour Microsoft Defender Threat Intelligence
Introduisez dans votre espace de travail Microsoft Sentinel les indicateurs de compromission (IOC) publics, open-source et de haute fidélité générés par Microsoft Defender Threat Intelligence grâce aux connecteurs de données Defender Threat Intelligence. Grâce à une configuration simple en un clic, utilisez la veille des menaces des connecteurs de données MDTI Standard et Premium pour superviser, alerter et chasser.
Important
Le connecteur de données Defender Threat Intelligence et le connecteur de données Defender Threat Intelligence Premium sont actuellement en préversion. Voir les conditions d’utilisation supplémentaires pour les avant-premières de Microsoft Azure pour plus de conditions juridiques applicables aux fonctionnalités Azure qui sont en version bêta, en avant-première ou qui n’ont pas encore été mises à la disponibilité générale.
Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans licence Microsoft Defender XDR ou E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Pour plus d’informations sur les avantages des connecteurs de données Defender Threat Intelligence standard et premium, consultez Comprendre le renseignement sur les menaces.
Prérequis
- Pour installer, mettre à jour et supprimer du contenu autonome ou des solutions dans le hub de contenu, vous avez besoin du rôle Contributeur Microsoft Sentinel au niveau du groupe de ressources.
- Pour configurer ces connecteurs de données, vous devez disposer d’autorisations de lecture et d’écriture sur l’espace de travail Microsoft Sentinel.
Installer la solution de la veille des menaces dans Microsoft Sentinel
Pour importer des indicateurs de menace dans Microsoft Sentinel à partir de Defender Threat Intelligence standard et premium, effectuez les étapes suivantes :
Dans Microsoft Sentinel, dans le Portail Azure, sous Gestion du contenu, sélectionnez Hub de contenu.
Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion du contenu>Hub de contenu.
Recherchez et sélectionnez la solution Threat Intelligence.
Sélectionnez le bouton Installer/Mettre à jour.
Pour plus d’informations sur la gestion des composants de la solution, consultez Découvrir et déployer du contenu prête à l’emploi.
Activer le connecteur de données Defender Threat Intelligence
Pour Microsoft Sentinel dans le portail Azure, sous Configuration, sélectionnez Paramètres.
Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configuration>Connecteurs de données.
Recherchez et sélectionnez le bouton Ouvrir la page du connecteur Microsoft Defender Threat Intelligence.
Activer le flux en sélectionnant le bouton Se connecter.
Lorsque les indicateurs Defender Threat Intelligence commencent à remplir l’espace de travail Microsoft Sentinel, l’état du connecteur affiche Connecté.
À ce stade, les indicateurs ingérés peuvent désormais être utilisés dans les règles d’analytique TI map...
. Pour plus d’informations, consultez Utiliser des indicateurs de menace dans les règles analytiques.
Trouvez les nouveaux indicateurs dans le volet Threat intelligence ou directement dans les journaux en interrogeant le tableau ThreatIntelligenceIndicator
. Pour plus d’informations, consultez Utiliser des indicateurs de menace.
Contenu connexe
Dans ce, voust article avez appris à connecter Microsoft Sentinel au flux de veille des menaces de Microsoft avec le connecteur de données Defender Threat Intelligence. Pour en savoir plus sur Defender for Threat Intelligence, consultez les articles suivants :
- En savoir plus sur Qu’est-ce que Defender Threat Intelligence ?.
- Prise en main du portail Defender Threat Intelligence.
- Utilisez Defender Threat Intelligence dans l’analytique en utilisant l’analytique correspondante pour détecter les menaces.