Connecteur Microsoft Defender Threat Intelligence (Preview) Premium pour Microsoft Sentinel
Microsoft Sentinel vous offre la possibilité d’importer le renseignement généré sur les menaces par Microsoft pour activer la surveillance, les alertes et le repérage. Utilisez ce connecteur de données pour importer des indicateurs de compromission (IOC)depuis Microsoft Defender Threat Intelligence (MDTI) dans Microsoft Sentinel. Les indicateurs de menace peuvent comprendre des adresses IP, des domaines, des URL, des codes de hachage de fichiers, etc. Remarque : il s'agit d'un connecteur payant. Pour utiliser et ingérer des données, veuillez acheter le SKU « MDTI API Access » auprès du Centre des partenaires.
Ce contenu est généré automatiquement. Pour toute modification, contactez le fournisseur de la solution.
Attributs du connecteur
| Attribut du connecteur | Description |
|---|---|
| Table(s) Log Analytics | ThreatIntelligenceIndicator |
| Prise en charge des règles de collecte de données | Non prise en charge pour le moment |
| Pris en charge par | Microsoft Corporation |
Exemples de requête
Résumez par type de menace
ThreatIntelligenceIndicator
| where ExpirationDateTime > now()
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where ExpirationDateTime > now()
| join ( SigninLogs ) on $left.NetworkIP == $right.IPAddress
| summarize count() by ThreatType
Résumez par tranches d'une heure
ThreatIntelligenceIndicator
| where SourceSystem == "Premium Microsoft Defender Threat Intelligence"
| where TimeGenerated >= ago(1d)
| summarize count()
Instructions d’installation du fournisseur
Utilisez ce connecteur de données pour importer des indicateurs de compromission (IOC) de Premium Microsoft Defender Threat Intelligence (MDTI) dans Microsoft Sentinel.
Étapes suivantes
Pour plus d’informations, accédez à la solution associée dans la Place de marché Azure.