Premium Microsoft Defender-bedreigingsinformatie -connector (preview) voor Microsoft Sentinel
Microsoft Sentinel biedt u de mogelijkheid om bedreigingsinformatie te importeren die door Microsoft wordt gegenereerd om bewaking, waarschuwingen en opsporing in te schakelen. Gebruik deze gegevensconnector om Indicators of Compromise (IOC's) uit Microsoft Defender-bedreigingsinformatie (MDTI) te importeren in Microsoft Sentinel. Bedreigingsindicatoren kunnen IP-adressen, domeinen, URL's en bestands-hashes bevatten, enzovoort. Opmerking: dit is een betaalde connector. Als u deze gegevens wilt gebruiken en opnemen, koopt u de MDTI API Access-SKU in het Partnercentrum.
Dit is automatisch gegenereerde inhoud. Neem contact op met de provider van de oplossing voor wijzigingen.
Connectorkenmerken
| Kenmerk connector | Beschrijving |
|---|---|
| Log Analytics-tabellen | ThreatIntelligenceIndicator |
| Ondersteuning voor regels voor gegevensverzameling | Wordt momenteel niet ondersteund |
| Ondersteund door | Microsoft Corporation |
Voorbeelden van query's
Samenvatten op bedreigingstype
ThreatIntelligenceIndicator
| where ExpirationDateTime > now()
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where ExpirationDateTime > now()
| join ( SigninLogs ) on $left.NetworkIP == $right.IPAddress
| summarize count() by ThreatType
Samenvatten met 1 uur bins
ThreatIntelligenceIndicator
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where TimeGenerated >= ago(1d)
| summarize count()
Installatie-instructies van leverancier
Gebruik deze gegevensconnector om Indicators of Compromise (IOC's) uit Premium Microsoft Defender-bedreigingsinformatie (MDTI) te importeren in Microsoft Sentinel.
Volgende stappen
Ga naar de gerelateerde oplossing in Azure Marketplace voor meer informatie.