Microsoft Sentinel 用プレミアム Microsoft Defender 脅威インテリジェンス (プレビュー) コネクタ
Microsoft Sentinel には、Microsoft によって生成された脅威インテリジェンスをインポートして、監視、アラート、ハンティングを有効にする機能が用意されています。 このデータ コネクタを使用して、Microsoft Defender 脅威インテリジェンス (MDTI) から Microsoft Sentinel に侵害のインジケーター (IOC) をインポートします。 脅威インジケーターには、IP アドレス、ドメイン、URL、およびファイル ハッシュを含めることができます。注: これは有料コネクタです。 これを使ってデータを取り込むには、パートナー センターから "MDTI API Access" SKU を購入してください。
これは自動生成されたコンテンツです。 変更については、ソリューション プロバイダーにお問い合わせください。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | ThreatIntelligenceIndicator |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
脅威の種類ごとに集計
ThreatIntelligenceIndicator
| where ExpirationDateTime > now()
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where ExpirationDateTime > now()
| join ( SigninLogs ) on $left.NetworkIP == $right.IPAddress
| summarize count() by ThreatType
1 時間単位で集計
ThreatIntelligenceIndicator
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where TimeGenerated >= ago(1d)
| summarize count()
ベンダーのインストール手順
このデータ コネクタを使用して、プレミアム Microsoft Defender 脅威インテリジェンス (MDTI) から Microsoft Sentinel に侵害のインジケーター (IOC) をインポートします。
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。