Habilitar o conector de dados para a Inteligência contra Ameaças do Microsoft Defender
Traga indicadores públicos, de software livre e de alta fidelidade de IOCs (comprometimento) gerados pelas Informações sobre Ameaças do Microsoft Defender para seu workspace do Microsoft Sentinel com os conectores de dados das Informações sobre ameaças do Defender. Com uma configuração simples de um clique, use a inteligência contra ameaças dos conectores de dados padrão e premium das Informações sobre ameaças do Defender para monitorar, alertar e caçar.
Importante
O conector de dados das Informações sobre ameaças do Defender e o conector de dados premium das Informações sobre ameaças do Defender estão atualmente em versão prévia. Consulte os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos mais legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou ainda não lançados em disponibilidade geral.
O Microsoft Sentinel está geralmente disponível na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Como versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Para obter mais informações sobre os benefícios dos conectores de dados padrão e premium das Informações sobre ameaças do Defender, consulte Entenda as informações sobre ameaças.
Pré-requisitos
- Para instalar, atualizar e excluir conteúdo autônomo ou soluções no Hub de Conteúdo, você precisa da função colaborador do Microsoft Sentinel no nível do grupo de recursos.
- Para configurar esses conectores de dados, você precisa ter permissões de leitura e gravação no workspace do Microsoft Sentinel.
Instalar a solução de inteligência contra ameaças no Microsoft Sentinel
Para importar indicadores de ameaça para o Microsoft Sentinel das Informações sobre ameaças do Defender standard e premium, siga estas etapas:
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione o Hub de conteúdo.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de conteúdo>Hub de conteúdo.
Localize e selecione a solução de Inteligência contra Ameaças.
Selecionar o botão
Instalar/Atualizar.
Para obter mais informações sobre como gerenciar os componentes da solução, veja Descobrir e implantar conteúdo pronto para uso.
Habilitar o conector de dados das Informações sobre ameaças do Defender
Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Conectores de dados.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Configurações>Conectores de dados.
Localize e selecione o botão Abrir página do conector do conector de dados das Informações sobre ameaças do Defender.
Habilite o feed selecionando Conectar.
Quando os indicadores de Inteligência contra Ameaças do Defender começam a preencher o workspace do Microsoft Sentinel, o status do conector exibe Conectado.
Neste ponto, os indicadores ingeridos agora estão disponíveis para uso nas regras de análise TI map.... Para obter mais informações, veja Usar indicadores de ameaça em regras de análise.
Localize os novos indicadores no painel Informações sobre ameaças ou diretamente nos Logs consultando a tabela ThreatIntelligenceIndicator. Para obter mais informações, veja Trabalhar com indicadores de ameaça.
Conteúdo relacionado
Neste artigo, você aprendeu a conectar o Microsoft Sentinel ao feed de inteligência contra ameaças da Microsoft com o conector de dados do Defender Threat Intelligence. Para saber mais sobre o Defender Threat Intelligence, confira os seguintes artigos:
- Saiba mais sobre O que são as Informações sobre ameaças do Defender?.
- Introdução ao portal das Informações sobre ameaças do Defender.
- Use as Informações sobre ameaças do Defender na análise usando análises correspondentes para detectar ameaças.