Включение соединителя данных Аналитика угроз Microsoft Defender

Добавьте в рабочую область Microsoft Sentinel общедоступные индикаторы компрометации с открытым кодом и высокой точностью, созданные Аналитика угроз Microsoft Defender, с помощью соединителей данных Defender Threat Intelligence. При простой настройке одним щелчком используйте аналитику угроз из стандартных и премиум-соединителей данных Defender Threat Intelligence для мониторинга, оповещения и охоты.

После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 г. многие новые клиенты автоматически подключены и перенаправляются на портал Defender.

Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье Время перемещения: портал Azure списания Microsoft Sentinel для повышения безопасности.

Дополнительные сведения о преимуществах стандартных и премиум-соединителей данных Defender Threat Intelligence см. в статье Общие сведения об аналитике угроз.

Предварительные условия

  • Чтобы установить, обновить и удалить автономное содержимое или решения в центре содержимого, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.
  • Чтобы настроить эти соединители данных, необходимо иметь разрешения на чтение и запись в рабочей области Microsoft Sentinel.
  • Чтобы получить доступ к аналитике угроз из премиум-версии соединителя данных Defender Threat Intelligence, обратитесь в отдел продаж, чтобы приобрести номер SKU доступа к API MDTI .

Дополнительные сведения о том, как получить лицензию уровня "Премиум" и изучить все различия между стандартной и премиум-версиями, см. в статье Обзор лицензий Defender Threat Intelligence.

Установка решения аналитики угроз в Microsoft Sentinel

Чтобы импортировать аналитику угроз в Microsoft Sentinel из стандартной и ценовой аналитики угроз Defender, выполните следующие действия.

  1. Для Microsoft Sentinel в портал Azure в разделе Управление содержимым выберите Центр содержимого.

    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Центр содержимого управления> Клиентами.

  2. Найдите и выберите решение Аналитика угроз .

  3. Нажмите кнопку Установка и обновление .

Дополнительные сведения об управлении компонентами решения см. в статье Обнаружение и развертывание готового содержимого.

Включение соединителя данных Аналитики угроз в Defender

  1. Для Microsoft Sentinel в портал Azure в разделе Конфигурация выберите Соединители данных.

    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Коннекторы данных конфигурации>.

  2. Найдите и выберите стандартный или премиум-соединитель данных Defender Threat Intelligence. Нажмите кнопку Открыть страницу соединителя .

  3. Включите веб-канал, выбрав Подключиться.

    Снимок экрана: страница соединителя данных аналитики угроз в Defender и кнопка Подключиться.

  4. Когда Аналитика угроз в Defender начинает заполнять рабочую область Microsoft Sentinel, состояние соединителя отображается Подключено.

На этом этапе прием данных аналитики теперь доступен для использования в TI map... правилах аналитики. Дополнительные сведения см. в статье Использование индикаторов угроз в правилах аналитики.

Найдите новую аналитику в интерфейсе управления или непосредственно в журналах , запросив таблицу ThreatIntelligenceIndicator . Дополнительные сведения см. в статье Работа с аналитикой угроз.

Из этой статьи вы узнали, как подключить Microsoft Sentinel к каналу аналитики угроз Майкрософт с помощью соединителя данных Аналитики угроз Defender. Дополнительные сведения об аналитике угроз в Defender см. в следующих статьях: