你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

启用 Microsoft Defender 威胁情报数据连接器

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

使用 Defender 威胁情报数据连接器将 Microsoft Defender 威胁情报生成的公开、开源和高保真入侵指标 (IOC) 引入 Microsoft Sentinel 工作区。 只需完成简单的一键式设置，即可使用标准和高级 Defender 威胁情报数据连接器的威胁情报进行监视、警报和搜寻。

Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版，Microsoft Sentinel 在 Defender 门户中提供，无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

有关标准和高级 Defender 威胁情报数据连接器的优点的详细信息，请参阅了解威胁情报。

先决条件

• 若要在“内容中心”安装、更新和删除独立内容或解决方案，你需要在资源组级别拥有 Microsoft Sentinel 参与者角色。
• 若要配置这些数据连接器，必须具有对 Microsoft Sentinel 工作区的读取和写入权限。
• 若要通过 Defender 威胁情报数据连接器高级版访问威胁情报，请联系销售人员购买“MDTI API 访问”SKU。

若要详细了解如何获取高级许可证并探索标准版本与高级版本之间的所有区别，请参阅了解 Defender 威胁智能许可证。

在 Microsoft Sentinel 中安装威胁情报解决方案

若要将威胁情报从标准和高级 Defender 威胁情报导入 Microsoft Sentinel，请执行以下步骤：

1. 对于 Azure 门户中的 Microsoft Sentinel，在“内容管理”下，选择“内容中心”。

   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“内容管理”>“内容中心”。

2. 查找并选择“威胁情报”解决方案。

3. 选择“安装/更新”按钮。

有关如何管理解决方案组件的详细信息，请参阅发现和部署现成内容。

启用 Defender 威胁情报数据连接器

1. 对于 Azure 门户中的 Microsoft Sentinel，在“配置”下选择“数据连接器”。

   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“配置”>“数据连接器”。

2. 查找并选择 Defender 威胁情报数据连接器标准或高级版。 选择“打开连接器页”按钮。

3. 选择“连接”启用源。

   

4. 当 Defender 威胁情报开始填充 Microsoft Sentinel 工作区时，连接器状态将显示为“已连接”。

此时，引入的情报现在可用于 TI map... 分析规则。 有关详细信息，请参阅在分析规则中使用威胁指标。

在管理界面或通过查询 ThreatIntelligenceIndicator 表直接在日志中查找新情报。 有关详细信息，请参阅使用威胁情报。

相关内容

在本文中，你已了解如何使用 Defender 威胁情报数据连接器将 Microsoft Sentinel 连接到 Microsoft 威胁情报源。 若要详细了解 Defender 威胁情报，请参阅以下文章：

• 了解什么是 Defender 威胁情报？。
• 开始使用 Defender 威胁情报门户。
• 在 Defender 威胁情报中使用匹配分析来检测威胁。