Konektor Premium Analýza hrozeb v programu Microsoft Defender (Preview) pro Microsoft Sentinel
Microsoft Sentinel poskytuje možnost importovat analýzu hrozeb vygenerovanou Microsoftem, která umožňuje monitorování, upozorňování a proaktivního vyhledávání. Tento datový konektor slouží k importu indikátorů ohrožení zabezpečení (IOC) z Analýza hrozeb v programu Microsoft Defender (MDTI) do Služby Microsoft Sentinel. Indikátory hrozeb můžou zahrnovat IP adresy, domény, adresy URL a hodnoty hash souborů atd. Poznámka: Jedná se o placený konektor. Pokud chcete data používat a ingestovat z ní, kupte si skladovou položku MDTI API Access z Partnerského centra.
Jedná se o automaticky vygenerovaný obsah. Pokud potřebujete změny, obraťte se na poskytovatele řešení.
Atributy konektoru
| Atribut konektoru | Popis |
|---|---|
| Tabulky Log Analytics | ThreatIntelligenceIndicator |
| Podpora pravidel shromažďování dat | V současnosti není podporováno |
| Podporováno | Microsoft Corporation |
Ukázky dotazů
Shrnutí podle typu hrozby
ThreatIntelligenceIndicator
| where ExpirationDateTime > now()
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where ExpirationDateTime > now()
| join ( SigninLogs ) on $left.NetworkIP == $right.IPAddress
| summarize count() by ThreatType
Shrnutí podle 1 hodinových intervalů
ThreatIntelligenceIndicator
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where TimeGenerated >= ago(1d)
| summarize count()
Pokyny k instalaci dodavatele
Tento datový konektor slouží k importu indikátorů ohrožení zabezpečení (IOC) z úrovně Premium Analýza hrozeb v programu Microsoft Defender (MDTI) do Služby Microsoft Sentinel.
Další kroky
Další informace najdete v souvisejícím řešení na Azure Marketplace.