Az Microsoft Defender Intelligens veszélyforrás-felderítés adatösszekötő engedélyezése
A Microsoft Sentinel-munkaterületre a Defender Threat Intelligence adatösszekötőkkel hozhatja létre az Microsoft Defender Intelligens veszélyforrás-felderítés által létrehozott, nyilvános, nyílt forráskódú és magas megbízhatóságú biztonsági kockázatjelzőket. Egy egyszerű, egykattintásos beállítással a standard és prémium Defender Threat Intelligence adatösszekötők fenyegetésintelligencia-adatait használhatja a monitorozáshoz, riasztáshoz és vadászathoz.
A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.
A standard és prémium Defender Threat Intelligence adatösszekötők előnyeiről további információt a fenyegetésintelligencia ismertetése című témakörben talál.
Előfeltételek
- Ha önálló tartalmat vagy megoldásokat szeretne telepíteni, frissíteni és törölni a Tartalomközpontban, szüksége van a Microsoft Sentinel közreműködői szerepkörre az erőforráscsoport szintjén.
- Az adatösszekötők konfigurálásához olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.
- Ha a Defender Threat Intelligence adatösszekötő prémium verziójából szeretné elérni a fenyegetésintelligencia-intelligenciát, vegye fel a kapcsolatot az értékesítési partnerekkel az MDTI API Access termékváltozatának megvásárlásához.
A prémium szintű licencek beszerzéséről és a standard és a prémium verzió közötti különbségekről további információt a Defender Threat Intelligence-licencek felfedezése című témakörben talál.
A fenyegetésfelderítési megoldás telepítése a Microsoft Sentinelben
Ha a Microsoft Sentinelbe szeretne fenyegetésfelderítést importálni a standard és prémium Defender fenyegetésfelderítésből, kövesse az alábbi lépéseket:
Az Azure PortalOn a Microsoft Sentinel esetében a Tartalomkezelés területen válassza a Content Hub lehetőséget.
Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Tartalomkezelési>tartalomközpontot.
Keresse meg és válassza ki a fenyegetésfelderítési megoldást.
Válassza a
Telepítés/frissítés gombot.
A megoldásösszetevők kezelésével kapcsolatos további információkért tekintse meg a beépített tartalmak felderítését és üzembe helyezését ismertető cikket.
A Defender Threat Intelligence adatösszekötő engedélyezése
Az Azure PortalOn a Microsoft Sentinel esetében a Konfiguráció területen válassza az Adatösszekötők lehetőséget.
A Microsoft Sentinel esetében a Defender portálon válassza a Microsoft Sentinel>konfigurációs>adatösszekötőket.
Keresse meg és válassza ki a standard vagy prémium Defender Threat Intelligence adatösszekötőt. Válassza az Összekötő megnyitása lap gombot.
Engedélyezze a hírcsatornát a Csatlakozás gombra kattintva.
Amikor a Defender Threat Intelligence megkezdi a Microsoft Sentinel-munkaterület feltöltését, az összekötő állapota a Csatlakoztatott állapotot jeleníti meg.
Ezen a ponton a betöltött intelligencia már elérhető az elemzési TI map... szabályokban való használatra. További információ: Veszélyforrások jelzőinek használata az elemzési szabályokban.
Keresse meg az új intelligenciát a felügyeleti felületen vagy közvetlenül a Naplókban a ThreatIntelligenceIndicator tábla lekérdezésével. További információ: Fenyegetésfelderítés használata.
Kapcsolódó tartalom
Ebben a cikkben megtanulta, hogyan csatlakoztathatja a Microsoft Sentinelt a Microsoft fenyegetésfelderítési hírcsatornájához a Defender Threat Intelligence adatösszekötővel. A Defender fenyegetésfelderítésével kapcsolatos további információkért tekintse meg a következő cikkeket:
- További információ a Defender fenyegetésfelderítésről.
- Ismerkedés a Defender Threat Intelligence portállal.
- Használja a Defender threat intelligencet az elemzésben egyező elemzések használatával a fenyegetések észleléséhez.