Habilitar o conector de dados da Inteligência contra Ameaças do Microsoft Defender
Traga indicadores públicos, de software livre e de alta fidelidade de IOCs (comprometimento) gerados pelas Informações sobre Ameaças do Microsoft Defender para seu workspace do Microsoft Sentinel com os conectores de dados das Informações sobre ameaças do Defender. Com uma configuração simples de um clique, use a inteligência contra ameaças dos conectores de dados padrão e premium das Informações sobre ameaças do Defender para monitorar, alertar e caçar.
O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para a versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Para obter mais informações sobre os benefícios dos conectores de dados padrão e premium das Informações sobre ameaças do Defender, consulte Entenda as informações sobre ameaças.
Pré-requisitos
- Para instalar, atualizar e excluir conteúdo autônomo ou soluções no Hub de Conteúdo, você precisa da função colaborador do Microsoft Sentinel no nível do grupo de recursos.
- Para configurar esses conectores de dados, você precisa ter permissões de leitura e gravação no workspace do Microsoft Sentinel.
- Para acessar a inteligência contra ameaças da versão premium do conector de dados da Inteligência Contra Ameaças do Defender, entre em contato com o setor de vendas para adquirir o SKU de Acesso à API MDTI.
Para obter mais informações sobre como obter uma licença premium e explorar todas as diferenças entre as versões standard e premium, consulte Explorar as licenças da Inteligência Contra Ameaças do Microsoft Defender.
Instalar a solução de inteligência contra ameaças no Microsoft Sentinel
Para importar informações sobre ameaças para o Microsoft Sentinel a partir do Inteligência contra ameaças do Defender Standard e Premium, siga estas etapas:
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione o Hub de conteúdo.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de conteúdo>Hub de conteúdo.
Localize e selecione a solução de Inteligência contra Ameaças.
Selecionar o botão
Instalar/Atualizar.
Para obter mais informações sobre como gerenciar os componentes da solução, veja Descobrir e implantar conteúdo pronto para uso.
Habilitar o conector de dados das Informações sobre ameaças do Defender
Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Conectores de dados.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configurações>Conectores de dados.
Localize e selecione o conector de dados standard ou premium da Inteligência Contra Ameaças do Defender. Selecione o botão Abrir página do conector.
Habilite o feed selecionando Conectar.
Quando a Inteligência contra ameaças do Defender começa a preencher o workspace do Microsoft Sentinel, o status do conector exibe Conectado.
Neste momento, a inteligência ingerida fica disponível para uso nas regras de análise TI map.... Para obter mais informações, veja Usar indicadores de ameaça em regras de análise.
Localize a nova inteligência na interface de gerenciamento ou diretamente nos Logs consultando a tabela ThreatIntelligenceIndicator. Para obter mais informações, confira Trabalhar com inteligência contra ameaças cibernéticas.
Conteúdo relacionado
Neste artigo, você aprendeu a conectar o Microsoft Sentinel ao feed de inteligência contra ameaças da Microsoft com o conector de dados do Defender Threat Intelligence. Para saber mais sobre o Defender Threat Intelligence, confira os seguintes artigos:
- Saiba mais sobre O que são as Informações sobre ameaças do Defender?.
- Introdução ao portal das Informações sobre ameaças do Defender.
- Use as Informações sobre ameaças do Defender na análise usando análises correspondentes para detectar ameaças.