啟用 Microsoft Defender 威脅情報資料連接器
使用 Defender 威脅情報資料連接器,將 Microsoft Defender 威脅情報所產生的公用、開放原始碼和高保真度入侵指標 (IOC) 帶入您的 Microsoft Sentinel 工作區。 透過簡單的單鍵設定,使用來自標準和進階 Defender 威脅情報資料連接器的威脅情報,進行監視、警示和搜捕。
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
如需標準和進階 Defender 威脅情報資料連接器優點的詳細資訊,請參閱瞭解威脅情報。
必要條件
- 若要在內容中樞安裝、更新及刪除獨立內容或解決方案,您需要資源群組層級的 Microsoft Sentinel 參與者角色。
- 若要設定這些資料連接器,您必須具有 Microsoft Sentinel 工作區的讀取和寫入權限。
- 若要從進階版本的 Defender 威脅情報數據連接器存取威脅情報,請連絡銷售人員以購買 MDTI API 存取 SKU。
如需如何取得進階授權及探索標準和進階版本之間所有差異的詳細資訊,請參閱 探索 Defender 威脅情報授權。
在 Microsoft Sentinel 中安裝威脅情報解決方案
若要從標準和進階 Defender 威脅情報將威脅指標匯入 Microsoft Sentinel 中,請遵循下列步驟:
對於 Azure 入口網站 中的 Microsoft Sentinel,在 [內容管理] 下方,選取 [內容中樞]。
針對 Defender 入口網站 中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[内容管理]>[內容中樞]。
尋找並選取 [威脅情報] 解決方案。
選取
[安裝/更新] 按鈕。
如需如何管理解決方案元件的詳細資訊,請參閱探索及部署現成可用的內容 (部分機器翻譯)。
啟用 Defender 威脅情報資料連接器
針對 Azure 入口網站的 Microsoft Sentinel,在 [設定] 下方選取 [資料連接器].。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]> [設定]> [資料連接器]。
尋找並選取標準或進階 Defender 威脅情報數據連接器。 選取 [ 開啟連接器頁面] 按鈕。
選取 [連線] 來啟用摘要。
![顯示 Defender 威脅情報資料連接器頁面和 [連線] 按鈕的螢幕擷取畫面。](media/connect-mdti-data-connector/premium-connect.png)
當 Defender 威脅情報指標開始填入 Microsoft Sentinel 工作區時,連接器狀態會顯示 [已連線]。
![顯示 Defender 威脅情報資料連接器頁面和 [連線] 按鈕的螢幕擷取畫面。](media/connect-mdti-data-connector/premium-connect.png#lightbox)
此時,內嵌的指標現在可使用於 TI map... 分析規則。 如需詳細資訊,請參閱 在分析規則中使用威脅指標。
藉由查詢 ThreatIntelligenceIndicator 資料表,在 [威脅情報] 窗格或直接在 [記錄] 中尋找新的指標。 如需詳細資訊,請參閱 使用威脅指標。
相關內容
在本文中,您已了解如何使用 Defender 威脅情報資料連接器將 Microsoft Sentinel 連線到 Microsoft 威脅情報摘要。 若要深入了解 Defender 威脅情報,請參閱下列文章:
- 了解什麼是 Defender 威脅情報?。
- 開始使用 Defender 威脅情報入口網站。
- 使用比對分析來偵測威脅以在分析中使用 Defender 威脅情報。