Łącznik Usługi Microsoft Defender Threat Intelligence (wersja zapoznawcza) dla usługi Microsoft Sentinel
Usługa Microsoft Sentinel umożliwia importowanie analizy zagrożeń generowanych przez firmę Microsoft w celu umożliwienia monitorowania, alertów i wyszukiwania zagrożeń. Użyj tego łącznika danych, aby zaimportować wskaźniki naruszenia (IOCs) z usługi Microsoft Defender Threat Intelligence (MDTI) do usługi Microsoft Sentinel. Wskaźniki zagrożeń mogą obejmować adresy IP, domeny, adresy URL i skróty plików itp. Uwaga: jest to płatny łącznik. Aby używać i pozyskiwać dane z nich, kup jednostkę SKU "Dostęp do interfejsu API MDTI" z Centrum partnerskiego.
Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.
Atrybuty łącznika
| Atrybut łącznika | opis |
|---|---|
| Tabele usługi Log Analytics | ThreatIntelligenceIndicator |
| Obsługa reguł zbierania danych | Obecnie nieobsługiwane |
| Obsługiwane przez | Microsoft Corporation |
Przykłady zapytań
Podsumowanie według typu zagrożenia
ThreatIntelligenceIndicator
| where ExpirationDateTime > now()
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where ExpirationDateTime > now()
| join ( SigninLogs ) on $left.NetworkIP == $right.IPAddress
| summarize count() by ThreatType
Podsumowywanie według przedziałów 1 godziny
ThreatIntelligenceIndicator
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where TimeGenerated >= ago(1d)
| summarize count()
Instrukcje instalacji dostawcy
Użyj tego łącznika danych, aby zaimportować wskaźniki naruszenia (IOC) z usługi Microsoft Defender Threat Intelligence (MDTI) w usłudze Microsoft Sentinel.
Następne kroki
Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.