Conector Premium do Microsoft Defender Threat Intelligence (Preview) para o Microsoft Sentinel
O Microsoft Sentinel oferece a capacidade de importar informações sobre ameaças geradas pela Microsoft para permitir o monitoramento, alertas e caça. Use este conector de dados para importar indicadores de comprometimento (IOCs) do Microsoft Defender Threat Intelligence (MDTI) para o Microsoft Sentinel. Os indicadores de ameaça podem incluir endereços IP, domínios, URLs e hashes de ficheiros, etc. Nota: Este é um conector pago. Para usar e ingerir dados dele, adquira o SKU "MDTI API Access" no Partner Center.
Trata-se de conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | ThreatIntelligenceIndicator |
| Suporte a regras de coleta de dados | Não é suportado atualmente |
| Apoiado por | Corporação Microsoft |
Exemplos de consulta
Resumir por tipo de ameaça
ThreatIntelligenceIndicator
| where ExpirationDateTime > now()
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where ExpirationDateTime > now()
| join ( SigninLogs ) on $left.NetworkIP == $right.IPAddress
| summarize count() by ThreatType
Resumir por compartimentos de 1 hora
ThreatIntelligenceIndicator
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where TimeGenerated >= ago(1d)
| summarize count()
Instruções de instalação do fornecedor
Use este conector de dados para importar Indicadores de Comprometimento (IOCs) do Premium Microsoft Defender Threat Intelligence (MDTI) para o Microsoft Sentinel.
Próximos passos
Para obter mais informações, vá para a solução relacionada no Azure Marketplace.