Megosztás a következőn keresztül:


Az Microsoft Defender Intelligens veszélyforrás-felderítés adatösszekötő engedélyezése

A Microsoft Sentinel-munkaterületre a Defender Threat Intelligence adatösszekötőkkel hozhatja létre az Microsoft Defender Intelligens veszélyforrás-felderítés által létrehozott, nyilvános, nyílt forráskódú és magas megbízhatóságú biztonsági kockázatjelzőket. Egy egyszerű, egykattintásos beállítással a standard és prémium Defender Threat Intelligence adatösszekötők fenyegetésintelligencia-adatait használhatja a monitorozáshoz, riasztáshoz és vadászathoz.

A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

A standard és prémium Defender Threat Intelligence adatösszekötők előnyeiről további információt a fenyegetésintelligencia ismertetése című témakörben talál.

Előfeltételek

  • Ha önálló tartalmat vagy megoldásokat szeretne telepíteni, frissíteni és törölni a Tartalomközpontban, szüksége van a Microsoft Sentinel közreműködői szerepkörre az erőforráscsoport szintjén.
  • Az adatösszekötők konfigurálásához olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.
  • Ha a Defender Threat Intelligence adatösszekötő prémium verziójából szeretné elérni a fenyegetésintelligencia-intelligenciát, vegye fel a kapcsolatot az értékesítési partnerekkel az MDTI API Access termékváltozatának megvásárlásához.

A prémium szintű licencek beszerzéséről és a standard és a prémium verzió közötti különbségekről további információt a Defender Threat Intelligence-licencek felfedezése című témakörben talál.

A fenyegetésfelderítési megoldás telepítése a Microsoft Sentinelben

Ha a Microsoft Sentinelbe szeretne fenyegetésfelderítést importálni a standard és prémium Defender fenyegetésfelderítésből, kövesse az alábbi lépéseket:

  1. Az Azure PortalOn a Microsoft Sentinel esetében a Tartalomkezelés területen válassza a Content Hub lehetőséget.

    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Tartalomkezelési>tartalomközpontot.

  2. Keresse meg és válassza ki a fenyegetésfelderítési megoldást.

  3. Válassza a Telepítés/frissítés gombot.

A megoldásösszetevők kezelésével kapcsolatos további információkért tekintse meg a beépített tartalmak felderítését és üzembe helyezését ismertető cikket.

A Defender Threat Intelligence adatösszekötő engedélyezése

  1. Az Azure PortalOn a Microsoft Sentinel esetében a Konfiguráció területen válassza az Adatösszekötők lehetőséget.

    A Microsoft Sentinel esetében a Defender portálon válassza a Microsoft Sentinel>konfigurációs>adatösszekötőket.

  2. Keresse meg és válassza ki a standard vagy prémium Defender Threat Intelligence adatösszekötőt. Válassza az Összekötő megnyitása lap gombot.

  3. Engedélyezze a hírcsatornát a Csatlakozás gombra kattintva.

    Képernyőkép a Defender Threat Intelligence Adatösszekötő oldalról és a Csatlakozás gombról.

  4. Amikor a Defender Threat Intelligence megkezdi a Microsoft Sentinel-munkaterület feltöltését, az összekötő állapota a Csatlakoztatott állapotot jeleníti meg.

Ezen a ponton a betöltött intelligencia már elérhető az elemzési TI map... szabályokban való használatra. További információ: Veszélyforrások jelzőinek használata az elemzési szabályokban.

Keresse meg az új intelligenciát a felügyeleti felületen vagy közvetlenül a Naplókban a ThreatIntelligenceIndicator tábla lekérdezésével. További információ: Fenyegetésfelderítés használata.

Ebben a cikkben megtanulta, hogyan csatlakoztathatja a Microsoft Sentinelt a Microsoft fenyegetésfelderítési hírcsatornájához a Defender Threat Intelligence adatösszekötővel. A Defender fenyegetésfelderítésével kapcsolatos további információkért tekintse meg a következő cikkeket: