Импорт аналитики угроз в Microsoft Sentinel с помощью API отправки (предварительная версия)
Импорт аналитики угроз для использования в Microsoft Sentinel с API отправки. Независимо от того, используете ли вы платформу аналитики угроз или пользовательское приложение, используйте этот документ в качестве дополнительной ссылки на инструкции, описанные в руководстве по подключению к API отправки. Установка соединителя данных не требуется для подключения к API. Аналитика угроз, которую можно импортировать, включает индикаторы компрометации и других объектов домена STIX.
Внимание
Этот API в настоящее время находится в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Структурированное выражение информации об угрозах (STIX) — это язык для выражения кибер-угроз и наблюдаемой информации. Расширенная поддержка следующих объектов домена включается в API отправки:
- индикатор
- Шаблон атаки
- субъект угроз
- identity
- отношение
Дополнительные сведения см. в разделе "Введение в STIX".
Примечание.
Api предыдущих индикаторов отправки теперь является устаревшим. Если вам нужно ссылаться на этот API при переходе на этот новый API отправки, ознакомьтесь с API устаревших индикаторов отправки.
Вызов API
Вызов API отправки содержит пять компонентов:
- URI запроса...
- Заголовок сообщения HTTP-запроса
- Текст сообщения HTTP-запроса
- При необходимости обработать заголовок сообщения HTTP-ответа
- При необходимости обработайте текст сообщения HTTP-ответа
Регистрация клиентского приложения с помощью идентификатора Microsoft Entra
Чтобы пройти проверку подлинности в Microsoft Sentinel, запрос к API отправки требует допустимого маркера доступа Microsoft Entra. Дополнительные сведения о регистрации приложений см. в статье "Регистрация приложения с помощью платформа удостоверений Майкрософт" или см. в основных шагах в рамках аналитики угроз Connect с настройкой API отправки.
Для этого API требуется, чтобы вызывающее приложение Microsoft Entra было предоставлено роль участника Microsoft Sentinel на уровне рабочей области.
Создание запроса
В этом разделе рассматриваются первые три из пяти компонентов, рассмотренных ранее. Сначала необходимо получить маркер доступа из идентификатора Microsoft Entra, который используется для сборки заголовка сообщения запроса.
Получение маркера доступа
Получите маркер доступа Microsoft Entra с проверкой подлинности OAuth 2.0. Версии 1.0 и V2.0 являются допустимыми маркерами, принятыми API.
Версия маркера (версия 1.0 или версия 2.0) определяется accessTokenAcceptedVersion свойством в манифесте приложения API, вызываемого приложением. Если accessTokenAcceptedVersion задано значение 1, приложение получает маркер версии 1.0.
Используйте библиотеку проверки подлинности Майкрософт (MSAL) для получения маркера доступа версии 1.0 или версии 2.0. Или отправьте запросы в REST API в следующем формате:
- POST
https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/token - Заголовки для использования приложения Microsoft Entra:
- grant_type: "client_credentials"
- client_id: {Идентификатор клиента приложения Microsoft Entra}
- client_secret: {secret of Microsoft Entra App}
- размах:
"https://management.azure.com/.default"
Если accessTokenAcceptedVersion в манифесте приложения задано значение 1, приложение получает маркер доступа версии 1.0, даже если он вызывает конечную точку маркера версии 2.
Значение ресурса или области — это аудитория маркера. Этот API принимает только следующие аудитории:
https://management.core.windows.net/https://management.core.windows.nethttps://management.azure.com/https://management.azure.com
Сборка сообщения запроса
URI запроса
Управление версиями API: api-version=2024-02-01-preview
Конечная точка: https://api.ti.sentinel.azure.com/workspaces/{workspaceId}/threat-intelligence-stix-objects:upload?api-version={apiVersion}
Метод: POST
Заголовок запроса
Authorization: содержит маркер носителя OAuth2
Content-Type: application/json
Текст запроса
Объект JSON для текста содержит следующие поля:
| Имя поля | Тип данных | Description |
|---|---|---|
sourcesystem (обязательно) |
строка | Определите имя исходной системы. Значение Microsoft Sentinel ограничено. |
stixobjects (обязательно) |
array | Массив объектов STIX в формате STIX 2.0 или 2.1 |
Создайте массив объектов STIX с помощью спецификации формата STIX. Некоторые спецификации свойств STIX развернуты здесь для удобства со ссылками на соответствующие разделы документа STIX. Кроме того, обратите внимание на некоторые свойства, допустимые для STIX, не имеют соответствующих свойств схемы объектов в Microsoft Sentinel.
Общие свойства
Все объекты, импортируемые с помощью API отправки, используют эти общие свойства.
| Имя свойства | Type | Описание |
|---|---|---|
id (обязательно) |
строка | Идентификатор, используемый для идентификации объекта STIX. См. раздел 2.9 для спецификаций idо том, как создать объект. Формат выглядит примерно так: indicator--<UUID> |
spec_version (необязательно) |
строка | Версия объекта STIX. Это значение требуется в спецификации STIX, но так как этот API поддерживает только STIX 2.0 и 2.1, если это поле не задано, API по умолчанию используется 2.1 |
type (обязательно) |
строка | Значение этого свойства должно быть поддерживаемым объектом STIX. |
created (обязательно) |
TIMESTAMP | См. раздел 3.2 для спецификаций этого общего свойства. |
created_by_ref (необязательно) |
строка | Свойство created_by_ref указывает свойство идентификатора сущности, созданной этим объектом. Если этот атрибут опущен, источник этой информации не определен. Для создателей объектов, желающих оставаться анонимными, сохраните это значение неопределенным. |
modified (обязательно) |
TIMESTAMP | См. раздел 3.2 для спецификаций этого общего свойства. |
revoked (необязательно) |
boolean | Отозванные объекты больше не считаются допустимыми создателем объекта. Отзыв объекта является постоянным; Будущие версии объекта с этим idне должны быть созданы.Значение по умолчанию для этого свойства — false. |
labels (необязательно) |
список строк | Свойство labels задает набор терминов, используемых для описания этого объекта. Термины определяются пользователем или группа доверия. Эти метки отображаются как теги в Microsoft Sentinel. |
confidence (необязательно) |
integer | Свойство confidence определяет уверенность, что создатель имеет правильность своих данных. Значение достоверности должно быть числом в диапазоне от 0 до 100.Приложение A содержит таблицу нормативных сопоставлений с другими шкалами достоверности, которые необходимо использовать при представлении достоверности в одном из этих масштабов. Если свойство достоверности отсутствует, то достоверность содержимого не определена. |
lang (необязательно) |
строка | Свойство lang определяет язык текстового содержимого в этом объекте. В настоящее время это должен быть языковой код, соответствующий RFC5646. Если свойство отсутствует, язык содержимого — en (английский).Это свойство должно присутствовать, если тип объекта содержит преобразованные текстовые свойства (например, имя, описание). Язык отдельных полей в этом объекте может переопределить lang свойство в детализированной маркировке (см. раздел 7.2.3). |
object_marking_refs (необязательно, включая TLP) |
список строк | Свойство object_marking_refs задает список свойств идентификатора объектов маркировки, применяемых к этому объекту. Например, используйте идентификатор определения определения маркировки протокола TLP для обозначения конфиденциальности источника индикатора. Дополнительные сведения о том, какие идентификаторы маркировки используются для содержимого TLP, см. в разделе 7.2.1.4В некоторых случаях, хотя и редко, сами определения маркировки могут быть помечены с помощью общих или обрабатывавших рекомендаций. В этом случае это свойство не должно содержать ссылки на тот же объект "Определение маркировки" (т. е. не может содержать циклические ссылки). Дополнительные сведения об определении маркировки данных см. в разделе 7.2.2 . |
external_references (необязательно) |
список объектов | Свойство external_references задает список внешних ссылок, который ссылается на сведения, отличные от STIX. Это свойство используется для предоставления одного или нескольких URL-адресов, описаний или идентификаторов записей в других системах. |
granular_markings (необязательно) |
список детализированной маркировки | Свойство granular_markings помогает определить части индикатора по-разному. Например, язык индикатора — английский, en но описание — немецкий. deВ некоторых случаях, хотя и редко, сами определения маркировки могут быть помечены с помощью общих или обрабатывавших рекомендаций. В этом случае это свойство не должно содержать ссылки на тот же объект "Определение маркировки" (т. е. не может содержать циклические ссылки). Дополнительные сведения об определении маркировки данных см. в разделе 7.2.3 . |
Дополнительные сведения см. в разделе общие свойства STIX.
Индикатор
| Имя свойства | Type | Описание |
|---|---|---|
name (необязательно) |
строка | Имя, используемое для идентификации индикатора. Производители должны предоставить это свойство, чтобы помочь продуктам и аналитикам понять, что этот индикатор на самом деле делает. |
description (необязательно) |
строка | Описание, предоставляющее дополнительные сведения и контекст о индикаторе, потенциально включая его назначение и ключевые характеристики. Производители должны предоставить это свойство, чтобы помочь продуктам и аналитикам понять, что этот индикатор на самом деле делает. |
indicator_types (необязательно) |
список строк | Набор классификаций для этого индикатора. Значения этого свойства должны поступать из индикатора типа ov |
pattern (обязательно) |
строка | Шаблон обнаружения для этого индикатора может быть выражен как шаблон STIX или другой подходящий язык, например SNORT, YARA и т. д. |
pattern_type (обязательно) |
строка | Язык шаблона, используемый в этом индикаторе. Значение этого свойства должно поступать из типов шаблонов. Значение этого свойства должно соответствовать типу данных шаблона, включенным в свойство шаблона. |
pattern_version (необязательно) |
строка | Версия языка шаблона, используемого для данных в свойстве шаблона, которая должна соответствовать типу данных шаблона, включенным в свойство шаблона. Для шаблонов, не имеющих официальной спецификации, следует использовать версию сборки или кода, с которым должен работать шаблон. Для языка шаблонов STIX версия спецификации объекта определяет значение по умолчанию. Для других языков значение по умолчанию должно быть последней версией языка шаблонирования во время создания этого объекта. |
valid_from (обязательно) |
TIMESTAMP | Время, с которого этот индикатор считается допустимым индикатором поведения, с которым он связан или представляет. |
valid_until (необязательно) |
TIMESTAMP | Время, когда этот индикатор больше не должен считаться допустимым индикатором поведения, с которым он связан или представляет. Если свойство valid_until опущено, ограничение на последнее время, для которого индикатор действителен, нет ограничений. Эта метка времени должна превышать метку времени valid_from. |
kill_chain_phases (необязательно) |
список строк | Этапы цепочки убийств, к которым соответствует этот индикатор. Значение этого свойства должно поступать из этапа цепочки убийств. |
Дополнительные сведения см. в разделе STIX.
Шаблон атаки
Дополнительные сведения см. в статье о шаблоне атаки STIX.
Идентификация
Дополнительные сведения см. в разделе "Удостоверение STIX".
Субъект угроз
Дополнительные сведения см. в разделе субъекта угроз STIX.
Отношение
Дополнительные сведения см. в разделе "Связь STIX".
Обработка сообщения ответа
Заголовок ответа содержит код состояния HTTP. Дополнительные сведения о интерпретации результата вызова API см. в этой таблице.
| Код состояния | Description |
|---|---|
| 200 | Успех. API возвращает значение 200, когда один или несколько объектов STIX успешно проверяются и публикуются. |
| 400 | Недопустимый формат. Что-то в запросе неправильно отформатировано. |
| 401 | Не авторизовано. |
| 404 | Файл не найден. Обычно эта ошибка возникает, когда идентификатор рабочей области не найден. |
| 429 | Превышено максимальное количество запросов в минуту. |
| 500 | Ошибка сервера. Обычно ошибка в службах API или Microsoft Sentinel. |
Текст ответа — это массив сообщений об ошибках в формате JSON:
| Имя поля | Тип данных | Description |
|---|---|---|
| ошибки | Массив объектов ошибок | Список ошибок проверки |
Объект Error
| Имя поля | Тип данных | Description |
|---|---|---|
| recordIndex | INT | Индекс объектов STIX в запросе |
| errorMessages | Массив строк | Сообщения об ошибках |
Ограничения регулирования для API
Все ограничения применяются для каждого пользователя:
- 100 объектов на запрос.
- 100 запросов в минуту.
Если в заголовке ответа больше запросов, 429 код состояния HTTP возвращается со следующим текстом ответа:
{
"statusCode": 429,
"message": "Rate limit is exceeded. Try again in <number of seconds> seconds."
}
Приблизительно 10 000 объектов в минуту является максимальной пропускной способностью перед получением ошибки регулирования.
Пример текста запроса индикатора
В следующем примере показано, как представить два индикатора в спецификации STIX.
Test Indicator 2 выделяет протокол TLP, заданный как белый с сопоставленной маркировкой объекта, и уточняя его описание и метки на английском языке.
{
"sourcesystem": "test",
"stixobjects":[
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--10000003-71a2-445c-ab86-927291df48f8",
"name": "Test Indicator 1",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"pattern": "[ipv4-addr:value = '172.29.6.7']",
"pattern_type": "stix",
"valid_from": "2015-02-26T18:29:07.778Z"
},
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--67e62408-e3de-4783-9480-f595d4fdae52",
"created": "2023-01-01T18:29:07.778Z",
"modified": "2025-02-26T18:29:07.778Z",
"created_by_ref": "identity--19f33886-d196-468e-a14d-f37ff0658ba7",
"revoked": false,
"labels": [
"label 1",
"label 2"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "External Test Source",
"description": "Test Report",
"external_id": "e8085f3f-f2b8-4156-a86d-0918c98c498f",
"url": "https://fabrikam.com//testreport.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--613f2e26-407d-48c7-9eca-b8e91df99dc9"
],
"granular_markings": [
{
"marking_ref": "marking-definition--beb3ec79-03aa-4594-ad24-09982d399b80",
"selectors": [ "description", "labels" ],
"lang": "en"
}
],
"name": "Test Indicator 2",
"description": "This is a test indicator to demo valid fields",
"indicator_types": [
"threatstream-severity-low", "threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '192.168.1.1']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2023-01-01T18:29:07.778Z",
"valid_until": "2025-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Пример текста ответа с ошибкой проверки
Если все объекты STIX успешно проверены, состояние HTTP 200 возвращается с пустым текстом ответа.
Если проверка завершается ошибкой для одного или нескольких объектов, текст ответа возвращается с дополнительными сведениями. Например, если вы отправляете массив с четырьмя индикаторами, и первые три хороши, но четвертый не имеет id (обязательное поле), то ответ состояния HTTP 200 создается вместе со следующим текстом:
{
"errors": [
{
"recordIndex":3,
"errorMessages": [
"Error for Property=id: Required property is missing. Actual value: NULL."
]
}
]
}
Объекты отправляются в виде массива, поэтому recordIndex начинается с 0.
Другие примеры
Пример индикатора
В этом примере индикатор помечается зеленым TLP. Дополнительные атрибуты toxicity расширения и rank также включены. Хотя эти свойства не входят в схему Microsoft Sentinel для индикаторов, прием объекта с этими свойствами не вызывает ошибку. Свойства просто не ссылаются или индексируются в рабочей области.
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "indicator",
"spec_version": "2.1",
"id": "indicator--12345678-71a2-445c-ab86-927291df48f8",
"created": "2010-02-26T18:29:07.778Z",
"modified": "2011-02-26T18:29:07.778Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"name": "Indicator 2.1 Test",
"description": "TS ID: 35766958; iType: bot_ip; State: active; Org: 52.3667; Source: Emerging Threats - Compromised",
"indicator_types": [
"threatstream-severity-low",
"threatstream-confidence-80"
],
"pattern": "[ipv4-addr:value = '94.102.52.185']",
"pattern_type": "stix",
"pattern_version": "2.1",
"valid_from": "2015-02-26T18:29:07.778Z",
"valid_until": "2016-02-26T18:29:07.778Z",
"kill_chain_phases": [
{
"kill_chain_name": "lockheed-martin-cyber-kill-chain",
"phase_name": "reconnaissance"
}
]
}
]
}
Пример шаблона атаки
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "attack-pattern",
"spec_version": "2.1",
"id": "attack-pattern--fb6aa549-c94a-4e45-b4fd-7e32602dad85",
"created": "2015-05-15T09:12:16.432Z",
"modified": "2015-05-20T09:12:16.432Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": false,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"extensions": {
"extension-definition--d83fce45-ef58-4c6c-a3f4-1fbc32e98c6e": {
"extension_type": "property-extension",
"rank": 5,
"toxicity": 8
}
},
"external_references": [
{
"source_name": "capec",
"description": "spear phishing",
"external_id": "CAPEC-163"
}
],
"name": "Attack Pattern 2.1",
"description": "menuPass appears to favor spear phishing to deliver payloads to the intended targets. While the attackers behind menuPass have used other RATs in their campaign, it appears that they use PIVY as their primary persistence mechanism.",
"kill_chain_phases": [
{
"kill_chain_name": "mandiant-attack-lifecycle-model",
"phase_name": "initial-compromise"
}
],
"aliases": [
"alias_1",
"alias_2"
]
}
]
}
Пример связи с субъектом угроз и удостоверением
{
"sourcesystem": "TestStixObjects",
"stixobjects": [
{
"type": "identity",
"spec_version": "2.1",
"id": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"created": "2016-08-23T18:05:49.307Z",
"modified": "2016-08-23T18:05:49.307Z",
"name": "Identity 2.1",
"description": "Disco Team is the name of an organized threat actor crime-syndicate.",
"identity_class": "organization",
"contact_information": "disco-team@stealthemail.com",
"roles": [
"administrators"
],
"sectors": [
"education"
],
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
},
{
"type": "threat-actor",
"spec_version": "2.1",
"id": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"created": "2014-11-19T23:39:03.893Z",
"modified": "2014-11-19T23:39:03.893Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
],
"name": "Threat Actor 2.1",
"description": "This organized threat actor group operates to create profit from all types of crime.",
"threat_actor_types": [
"crime-syndicate"
],
"aliases": [
"Equipo del Discoteca"
],
"first_seen": "2014-01-19T23:39:03.893Z",
"last_seen": "2014-11-19T23:39:03.893Z",
"roles": [
"agent"
],
"goals": [
"Steal Credit Card Information"
],
"sophistication": "expert",
"resource_level": "organization",
"primary_motivation": "personal-gain",
"secondary_motivations": [
"dominance"
],
"personal_motivations": [
"revenge"
]
},
{
"type": "relationship",
"spec_version": "2.1",
"id": "relationship--a2e3efb5-351d-4d46-97a0-6897ee7c77a0",
"created": "2020-02-29T18:01:28.577Z",
"modified": "2020-02-29T18:01:28.577Z",
"relationship_type": "attributed-to",
"description": "Description Relationship 2.1",
"source_ref": "threat-actor--dfaa8d77-07e2-4e28-b2c8-92e9f7b04428",
"target_ref": "identity--733c5838-34d9-4fbf-949c-62aba761184c",
"start_time": "2020-02-29T18:01:28.577Z",
"stop_time": "2020-03-01T18:01:28.577Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"revoked": true,
"labels": [
"heartbleed",
"has-logo"
],
"confidence": 55,
"lang": "en",
"external_references": [
{
"source_name": "veris",
"description": "Threat report",
"external_id": "0001AA7F-C601-424A-B2B8-BE6C9F5164E7",
"url": "https://abc.com//example.json",
"hashes": {
"SHA-256": "6db12788c37247f2316052e142f42f4b259d6561751e5f401a1ae2a6df9c674b"
}
}
],
"object_marking_refs": [
"marking-definition--34098fce-860f-48ae-8e50-ebd3cc5e41da"
],
"granular_markings": [
{
"marking_ref": "marking-definition--089a6ecb-cc15-43cc-9494-767639779123",
"selectors": [
"description",
"labels"
],
"lang": "en"
}
]
}
]
}
Следующие шаги
Дополнительные сведения о работе с аналитикой угроз в Microsoft Sentinel см. в следующих статьях:
- Общие сведения об аналитике угроз
- Работа с индикаторами угроз
- Использование аналитики сопоставления для обнаружения угроз
- Использование веб-канала аналитики от Майкрософт и включение соединителя данных MDTI