啟用適用於 Microsoft Defender 威脅情報的資料連接器
使用 Defender 威脅情報資料連接器,將 Microsoft Defender 威脅情報所產生的公用、開放原始碼和高保真度入侵指標 (IOC) 帶入您的 Microsoft Sentinel 工作區。 透過簡單的單鍵設定,使用來自標準和進階 Defender 威脅情報資料連接器的威脅情報,進行監視、警示和搜捕。
重要
Defender 威脅情報資料連接器和進階 Defender 威脅情報資料連接器目前為預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的更多法律條款。
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
如需標準和進階 Defender 威脅情報資料連接器優點的詳細資訊,請參閱瞭解威脅情報。
必要條件
- 若要在內容中樞安裝、更新及刪除獨立內容或解決方案,您需要資源群組層級的 Microsoft Sentinel 參與者角色。
- 若要設定這些資料連接器,您必須具有 Microsoft Sentinel 工作區的讀取和寫入權限。
在 Microsoft Sentinel 中安裝威脅情報解決方案
若要從標準和進階 Defender 威脅情報將威脅指標匯入 Microsoft Sentinel 中,請遵循下列步驟:
對於 Azure 入口網站 中的 Microsoft Sentinel,在 [內容管理] 下方,選取 [內容中樞]。
針對 Defender 入口網站 中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[内容管理]>[內容中樞]。
尋找並選取 [威脅情報] 解決方案。
選取 [安裝/更新] 按鈕。
如需如何管理解決方案元件的詳細資訊,請參閱探索及部署現成可用的內容 (部分機器翻譯)。
啟用 Defender 威脅情報資料連接器
針對 Azure 入口網站的 Microsoft Sentinel,在 [設定] 下方選取 [資料連接器].。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel]> [設定]> [資料連接器]。
尋找並選取 [Defender 威脅情報資料連接器] [開啟連接器頁面] 按鈕。
選取 [連線] 來啟用摘要。
當 Defender 威脅情報指標開始填入 Microsoft Sentinel 工作區時,連接器狀態會顯示 [已連線]。
此時,內嵌的指標現在可使用於 TI map...
分析規則。 如需詳細資訊,請參閱 在分析規則中使用威脅指標。
藉由查詢 ThreatIntelligenceIndicator
資料表,在 [威脅情報] 窗格或直接在 [記錄] 中尋找新的指標。 如需詳細資訊,請參閱 使用威脅指標。
相關內容
在本文中,您已了解如何使用 Defender 威脅情報資料連接器將 Microsoft Sentinel 連線到 Microsoft 威脅情報摘要。 若要深入了解 Defender 威脅情報,請參閱下列文章:
- 了解什麼是 Defender 威脅情報?。
- 開始使用 Defender 威脅情報入口網站。
- 使用比對分析來偵測威脅以在分析中使用 Defender 威脅情報。