Включение соединителя данных Аналитика угроз Microsoft Defender

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Доведите общедоступные, открытые и высокоуровневые индикаторы компрометации ,созданные Аналитика угроз Microsoft Defender в рабочую область Microsoft Sentinel с помощью соединителей данных Аналитики угроз Defender. С помощью простой настройки одним щелчком используйте аналитику угроз со стандартных и премиум-соединителей данных Аналитики угроз Defender для мониторинга, оповещения и охоты.

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Дополнительные сведения о преимуществах соединителей данных аналитики угроз "Стандартный" и "Премиум" в Defender см. в статье "Анализ угроз".

Необходимые компоненты

• Чтобы установить, обновить и удалить автономное содержимое или решения в Центре контента, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.
• Чтобы настроить эти соединители данных, необходимо иметь разрешения на чтение и запись в рабочую область Microsoft Sentinel.
• Чтобы получить доступ к аналитике угроз из ценовой категории "Премиум" соединителя данных Defender Threat Intelligence, обратитесь к продажам, чтобы приобрести номер SKU API MDTI Access .

Дополнительные сведения о том, как получить лицензию уровня "Премиум" и изучить все различия между стандартными и премиум-версиями, см. в разделе "Обзор лицензий Defender Threat Intelligence".

Установка решения аналитики угроз в Microsoft Sentinel

Чтобы импортировать аналитику угроз в Microsoft Sentinel из standard и Premium Defender Threat Intelligence, выполните следующие действия.

1. Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.

   Для Microsoft Sentinel на портале Defender выберите Центр содержимого управления>содержимым Microsoft Sentinel>.

2. Найдите и выберите решение аналитики угроз.

3. Нажмите кнопку "Установить и обновить".

Дополнительные сведения об управлении компонентами решения см. в статье "Обнаружение и развертывание содержимого вне поля".

Включение соединителя данных Аналитики угроз Defender

1. Для Microsoft Sentinel в портал Azure в разделе "Конфигурация" выберите соединители данных.

   Для Microsoft Sentinel на портале Defender выберите соединители данных конфигурации>Microsoft Sentinel>.

2. Найдите и выберите стандартный или премиум соединитель данных Аналитики угроз Defender. Нажмите кнопку "Открыть соединитель ".

3. Включите веб-канал, выбрав "Подключить".

   

4. Когда Служба "Аналитика угроз Defender" начинает заполнение рабочей области Microsoft Sentinel, состояние соединителя отображается "Подключено".

На этом этапе аналитика теперь доступна для использования в TI map... правилах аналитики. Дополнительные сведения см. в разделе "Использование индикаторов угроз" в правилах аналитики.

Найдите новую аналитику в интерфейсе управления или непосредственно в журналах , запрашивая таблицу ThreatIntelligenceIndicator . Дополнительные сведения см. в статье "Работа с аналитикой угроз".

Связанный контент

Из этой статьи вы узнали, как подключить Microsoft Sentinel к веб-каналу аналитики угроз Майкрософт с помощью соединителя данных Аналитики угроз Defender. Дополнительные сведения об аналитике угроз Defender см. в следующих статьях:

• Узнайте о том, что такое Аналитика угроз Defender?.
• Начало работы с порталом Аналитики угроз Defender.
• Используйте Аналитику угроз Defender в аналитике , используя соответствующую аналитику для обнаружения угроз.