Abilitare il connettore dati di Microsoft Defender Threat Intelligence
Importare indicatori di compromissione pubblici, open source e ad alta fedeltà generati da Microsoft Defender Threat Intelligence nell'area di lavoro di Microsoft Sentinel con i connettori dati di Defender Threat Intelligence. Tramite una semplice configurazione con un clic, utilizzare l'intelligence sulle minacce dai connettori dati standard e premium di Defender Threat Intelligence per monitorare, inviare avvisi ed eseguire indagini.
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Per altre informazioni sui vantaggi dei connettori dati Standard e Premium di Defender Threat Intelligence, vedere Informazioni sull'intelligence sulle minacce.
Prerequisiti
- Per installare, aggiornare ed eliminare contenuti o soluzioni autonomi nell'Hub dei contenuti, è necessario il ruolo di Collaboratore di Microsoft Sentinel a livello di gruppo di risorse.
- Per configurare questi connettori dati, è necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel.
- Per accedere all'intelligence sulle minacce dalla versione Premium del connettore dati di Defender Threat Intelligence, contattare le vendite per acquistare lo SKU di accesso all'API MDTI.
Per altre informazioni su come ottenere una licenza Premium ed esplorare tutte le differenze tra le versioni standard e Premium, vedere Esplorare le licenze di Defender Threat Intelligence.
Installare la soluzione di intelligence sulle minacce in Microsoft Sentinel
Per importare intelligence sulle minacce in Microsoft Sentinel da Intelligence per le minacce Standard e Premium Defender, seguire questa procedura:
Per Microsoft Sentinel, nel portale di Azure, in Gestione dei contenuti, selezionare Hub dei contenuti.
Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione dei contenuti>Hub contenuti.
Trovare e selezionare la soluzione Threat Intelligence.
Selezionare il pulsante
Installa/Aggiorna.
Per altre informazioni su come gestire i componenti della soluzione, vedere Individuare e distribuire contenuti predefiniti.
Abilitare il connettore dati di Defender Threat Intelligence
Per Microsoft Sentinel nel portale di Azure, in Configurazione, selezionare Connettori dati.
Per Microsoft Sentinel, nel portale di Defender selezionare Microsoft Sentinel>Configurazione>Connettori dati.
Trovare e selezionare il connettore dati Standard o Premium Defender Threat Intelligence. Selezionare Il pulsante Apri la pagina del connettore.
Abilitare il feed selezionando Connetti.
Quando Defender Threat Intelligence inizia a popolare l'area di lavoro di Microsoft Sentinel, lo stato del connettore viene visualizzato Connesso.
A questo punto, l'intelligence inserita è ora disponibile per l'uso nelle regole di TI map... analisi. Per altre informazioni, vedere Usare gli indicatori delle minacce nelle regole di analisi.
Trovare la nuova intelligence nell'interfaccia di gestione o direttamente in Log eseguendo una query sulla ThreatIntelligenceIndicator tabella. Per altre informazioni, vedere Usare l'intelligence sulle minacce.
Contenuto correlato
In questo articolo si è appreso come connettere Microsoft Sentinel al feed di Microsoft Threat Intelligence con il connettore dati di Defender Threat Intelligence. Per altre informazioni su Defender Threat Intelligence, vedere gli articoli seguenti:
- Informazioni su Che cos'è Defender Threat Intelligence?.
- Introduzione al portale di Defender Threat Intelligence.
- Usare Defender Threat Intelligence nelle analisi usando l'analisi corrispondente per rilevare le minacce.