你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Defender 威胁情报数据连接器将 Microsoft Defender 威胁情报生成的公开、开源和高保真入侵指标 (IOC) 引入 Microsoft Sentinel 工作区。 只需完成简单的一键式设置,即可使用标准和高级 Defender 威胁情报数据连接器的威胁情报进行监视、警报和搜寻。
Microsoft Sentinel 在 Microsoft Defender 门户中正式发布,包括没有 Microsoft Defender XDR 或 E5 许可证的客户。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
有关标准和高级 Defender 威胁情报数据连接器的优点的详细信息,请参阅 了解威胁情报。
先决条件
- 若要在“内容中心”安装、更新和删除独立内容或解决方案,你需要在资源组级别拥有 Microsoft Sentinel 参与者角色。
- 若要配置这些数据连接器,必须具有对 Microsoft Sentinel 工作区的读取和写入权限。
- 若要通过 Defender 威胁情报数据连接器高级版访问威胁情报,请联系销售人员购买“MDTI API 访问”SKU。
有关如何获取高级许可证并浏览标准版本与高级版本之间的所有差异的详细信息,请参阅 探索 Defender 威胁情报许可证。
在 Microsoft Sentinel 中安装威胁情报解决方案
若要将威胁情报从标准和高级 Defender 威胁情报导入 Microsoft Sentinel,请执行以下步骤:
对于 Azure 门户中的 Microsoft Sentinel,请在 “内容管理”下选择 “内容中心”。
对于 Defender 门户中的 Microsoft Sentinel,请选择 Microsoft Sentinel>内容管理>内容中心。
查找并选择 威胁情报 解决方案。
选择“安装/更新”按钮。
有关如何管理解决方案组件的详细信息,请参阅 “发现并部署现成的内容”。
启用 Defender 威胁情报数据连接器
对于 Azure 门户中的 Microsoft Sentinel,请在 “配置”下选择 “数据连接器”。
对于 Defender 门户中的 Microsoft Sentinel,请选择 Microsoft Sentinel>配置>数据连接器。
查找并选择 Defender 威胁情报数据连接器标准或高级版。 选择“打开连接器页”按钮。
选择“连接”启用源。
当 Defender 威胁情报开始填充 Microsoft Sentinel 工作区时,连接器状态将显示为“已连接”。
此时,引入的情报现在可用于 TI map... 分析规则。 有关详细信息,请参阅 分析规则中的“使用威胁指示器”。
通过查询表,在管理界面中或直接在ThreatIntelligenceIndicator中查找新的智能。 有关详细信息,请参阅 使用威胁情报。
相关内容
在本文中,你已了解如何使用 Defender 威胁情报数据连接器将 Microsoft Sentinel 连接到 Microsoft 威胁情报源。 若要详细了解 Defender 威胁情报,请参阅以下文章:
- 了解什么是 Defender 威胁情报?。
- 开始使用Defender 威胁情报门户。
- 在分析中使用 Defender 威胁智能,并通过匹配分析来检测威胁。