Connettore Premium di Microsoft Defender Threat Intelligence (anteprima) per Microsoft Sentinel
Microsoft Sentinel offre la possibilità di importare informazioni sulle minacce generate da Microsoft per abilitare il monitoraggio, gli avvisi e la ricerca. Usare questo connettore dati per importare indicatori di compromissione (IOC) da Microsoft Defender Threat Intelligence (MDTI) in Microsoft Sentinel. Gli indicatori di minaccia possono includere indirizzi IP, domini, URL e hash dei file e così via. Nota: si tratta di un connettore a pagamento. Per usare e inserire dati da questi dati, acquistare lo SKU "ACCESSO API MDTI" dal Centro per i partner.
Questo contenuto è generato automaticamente. Per modifiche, contattare il provider di soluzioni.
Attributi connettore
| Attributo connettore | Descrizione |
|---|---|
| Tabelle Log Analytics | ThreatIntelligenceIndicator |
| Supporto regole di raccolta dati | Non è al momento supportato |
| Supportata da: | Microsoft Corporation |
Esempi di query
Riepilogare in base al tipo di minaccia
ThreatIntelligenceIndicator
| where ExpirationDateTime > now()
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where ExpirationDateTime > now()
| join ( SigninLogs ) on $left.NetworkIP == $right.IPAddress
| summarize count() by ThreatType
Riepilogare per 1 ora bin
ThreatIntelligenceIndicator
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where TimeGenerated >= ago(1d)
| summarize count()
Istruzioni per l’installazione di Vendor
Usare questo connettore dati per importare indicatori di compromissione (IOC) da Premium Microsoft Defender Threat Intelligence (MDTI) a Microsoft Sentinel.
Passaggi successivi
Per altre informazioni, visitare la soluzione correlata in Azure Marketplace.