Conector Premium das Informações sobre Ameaças do Microsoft Defender (Versão prévia) para o Microsoft Sentinel
O Microsoft Sentinel fornece a capacidade de importar as informações sobre ameças geradas pela Microsoft para permitir monitoramento, alertas e busca. Use esse conector de dados para importar os IOCs (indicadores de comprometimento) das Informações sobre Ameaças do Microsoft Defender (MDTI) para o Microsoft Sentinel. Os indicadores de ameaça podem incluir endereços IP, domínios, URLs, hashes de arquivo etc. Observação: este é um conector pago. Para usar e ingerir dados dele, compre o SKU "Acesso à API MDTI" no Partner Center.
Esse é conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | ThreatIntelligenceIndicator |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
Resumir por tipo de ameaça
ThreatIntelligenceIndicator
| where ExpirationDateTime > now()
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where ExpirationDateTime > now()
| join ( SigninLogs ) on $left.NetworkIP == $right.IPAddress
| summarize count() by ThreatType
Resumir por compartimentos de 1 hora
ThreatIntelligenceIndicator
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where TimeGenerated >= ago(1d)
| summarize count()
Instruções de instalação do fornecedor
Use esse conector de dados para importar Indicadores de Comprometimento (IOCs) das Informações sobre Ameaças do Microsoft Defender Premium (MDTI) para o Microsoft Sentinel.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.