Freigeben über


Connector „Premium Microsoft Defender Threat Intelligence (Vorschau)“ für Microsoft Sentinel

Mit Microsoft Sentinel können Sie von Microsoft generierte Threat Intelligence importieren, um Überwachungs-, Benachrichtigungs- und Suchfunktionen zu nutzen. Verwenden Sie diesen Datenconnector, um Kompromittierungsindikatoren (Indicators of Compromise, IOCs) von Microsoft Defender Threat Intelligence (MDTI) in Microsoft Sentinel zu importieren. Bedrohungsindikatoren können unter anderem IP-Adressen, Domänen, URLs und Dateihashes umfassen. Hinweis: Dies ist ein kostenpflichtiger Connector. Um damit Daten zu verwenden und zu erfassen, kaufen Sie die SKU „MDTI-API-Zugriff“ in Partner Center.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Log Analytics-Tabellen ThreatIntelligenceIndicator
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Microsoft Corporation

Abfragebeispiele

Nach Bedrohungstyp zusammenfassen

ThreatIntelligenceIndicator

| where ExpirationDateTime > now()

| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"

| where ExpirationDateTime > now()

| join ( SigninLogs ) on $left.NetworkIP == $right.IPAddress 
| summarize count() by ThreatType

Zusammenfassung nach Einheiten von 1 Stunde

ThreatIntelligenceIndicator

| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"

| where TimeGenerated >= ago(1d) 
| summarize count()​​

Installationsanweisungen des Anbieters

Verwenden Sie diesen Datenconnector, um Kompromittierungsindikatoren (Indicators of Compromise, IOCs) von Premium Microsoft Defender Threat Intelligence (MDTI) in Microsoft Sentinel zu importieren.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.