Соединитель Аналитика угроз Microsoft Defender класса Premium (предварительная версия) для Microsoft Sentinel
Microsoft Sentinel предоставляет возможность импорта аналитики угроз, созданной корпорацией Майкрософт, для включения мониторинга, оповещения и охоты. Используйте этот соединитель данных для импорта индикаторов компрометации (IOCs) из Аналитика угроз Microsoft Defender (MDTI) в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов и т. д. Примечание. Это платный соединитель. Чтобы использовать и прием данных из него, приобретите номер SKU "ДОСТУП к API MDTI" из Центра партнеров.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
Атрибуты соединителя
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | ThreatIntelligenceIndicator |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Сводка по типу угрозы
ThreatIntelligenceIndicator
| where ExpirationDateTime > now()
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where ExpirationDateTime > now()
| join ( SigninLogs ) on $left.NetworkIP == $right.IPAddress
| summarize count() by ThreatType
Суммирование по 1 часу корзин
ThreatIntelligenceIndicator
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where TimeGenerated >= ago(1d)
| summarize count()
Инструкции по установке поставщика
Используйте этот соединитель данных для импорта индикаторов компрометации (IOCs) из premium Аналитика угроз Microsoft Defender (MDTI) в Microsoft Sentinel.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.