Habilitar conector de dados para o Microsoft Defender Threat Intelligence
Traga indicadores de comprometimento (IOCs) públicos, de código aberto e de alta fidelidade gerados pelo Microsoft Defender Threat Intelligence para o seu espaço de trabalho do Microsoft Sentinel com os conectores de dados do Defender Threat Intelligence. Com uma configuração simples com um clique, use a inteligência de ameaças dos conectores de dados padrão e premium do Defender Threat Intelligence para monitorar, alertar e caçar.
Importante
O conector de dados do Defender Threat Intelligence e o conector de dados premium do Defender Threat Intelligence estão atualmente em visualização. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter mais termos legais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Para obter mais informações sobre os benefícios dos conectores de dados padrão e premium do Defender Threat Intelligence, consulte Compreender a inteligência de ameaças.
Pré-requisitos
- Para instalar, atualizar e excluir conteúdo ou soluções autônomas no hub de conteúdo, você precisa da função de Colaborador do Microsoft Sentinel no nível do grupo de recursos.
- Para configurar esses conectores de dados, você deve ter permissões de leitura e gravação para o espaço de trabalho do Microsoft Sentinel.
Instale a solução de inteligência contra ameaças no Microsoft Sentinel
Para importar indicadores de ameaça para o Microsoft Sentinel do Defender Threat Intelligence padrão e premium, siga estas etapas:
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione Hub de conteúdo.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Content management>Content hub.
Encontre e selecione a solução Threat Intelligence .
Selecione o botão Instalar/Atualizar .
Para obter mais informações sobre como gerenciar os componentes da solução, consulte Descobrir e implantar conteúdo pronto para uso.
Ativar o conector de dados do Defender Threat Intelligence
Para o Microsoft Sentinel no portal do Azure, em Configuração, selecione Conectores de dados.
Para Microsoft Sentinel no portal do Defender, selecione Conectores de dados de configuração>do Microsoft Sentinel>.
Localize e selecione o botão da página Abrir conector de dados do Defender Threat Intelligence.
Habilite o feed selecionando Conectar.
Quando os indicadores do Defender Threat Intelligence começam a preencher o espaço de trabalho do Microsoft Sentinel, o status do conector exibe Conectado.
Neste ponto, os indicadores ingeridos estão agora disponíveis para uso nas regras de TI map...
análise. Para obter mais informações, consulte Usar indicadores de ameaça em regras de análise.
Encontre os novos indicadores no painel Inteligência de ameaças ou diretamente em Logs consultando a ThreatIntelligenceIndicator
tabela. Para obter mais informações, consulte Trabalhar com indicadores de ameaça.
Conteúdos relacionados
Neste artigo, você aprendeu como conectar o Microsoft Sentinel ao feed de inteligência de ameaças da Microsoft com o conector de dados do Defender Threat Intelligence. Para saber mais sobre o Defender Threat Intelligence, consulte os seguintes artigos:
- Saiba mais sobre O que é o Defender Threat Intelligence?.
- Comece a usar o portal Defender Threat Intelligence.
- Use o Defender Threat Intelligence em análises usando análises correspondentes para detetar ameaças.