Premium Microsoft Defender Hotinformation-anslutningsprogram (förhandsversion) för Microsoft Sentinel
Microsoft Sentinel ger dig möjlighet att importera hotinformation som genereras av Microsoft för att aktivera övervakning, aviseringar och jakt. Använd den här dataanslutningsappen för att importera indikatorer för komprometter (IOCs) från Microsoft Defender Hotinformation (MDTI) till Microsoft Sentinel. Hotindikatorer kan innehålla IP-adresser, domäner, URL:er och filhashvärden osv. Obs! Det här är en betald anslutningsapp. Om du vill använda och mata in data från den köper du SKU:n "MDTI API Access" från Partnercenter.
Det här är automatiskt genererat innehåll. Om du vill ha ändringar kontaktar du lösningsleverantören.
Anslutningsattribut
| Anslutningsattribut | beskrivning |
|---|---|
| Log Analytics-tabeller | ThreatIntelligenceIndicator |
| Stöd för regler för datainsamling | Stöds för närvarande inte |
| Stöds av | Microsoft Corporation |
Exempel på frågor
Sammanfatta efter hottyp
ThreatIntelligenceIndicator
| where ExpirationDateTime > now()
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where ExpirationDateTime > now()
| join ( SigninLogs ) on $left.NetworkIP == $right.IPAddress
| summarize count() by ThreatType
Sammanfatta med 1 timmes intervall
ThreatIntelligenceIndicator
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where TimeGenerated >= ago(1d)
| summarize count()
Installationsanvisningar för leverantör
Använd den här dataanslutningsappen för att importera indikatorer för kompromisser (IOCs) från Premium Microsoft Defender Hotinformation (MDTI) till Microsoft Sentinel.
Nästa steg
Mer information finns i den relaterade lösningen på Azure Marketplace.