Microsoft Defender Threat Intelligence (MDTI) Microsoft Defender Threat Intelligence (MDTI)

Referenz für externe Threat Intelligence, Infrastruktur Pivoting, Reputationsbewertung, Analystenwissen und Integrationen mit Sentinel sowie Defender XDR. Reference for external threat intelligence, infrastructure pivoting, reputation analysis, analyst knowledge, and integrations with Sentinel and Defender XDR.

Fokus Focus

MDTI konzentriert sich auf externe Infrastruktur, Bedrohungsakteure, Kampagnen und beobachtete Angriffsoberflächen. MDTI focuses on external infrastructure, threat actors, campaigns, and observed attack surfaces.

Daten Data

Artikel, Indikatoren, WHOIS, Passive DNS, Zertifikate, Tracker und weitere Beziehungen werden zusammengeführt. Articles, indicators, WHOIS, passive DNS, certificates, trackers, and other relationships are brought together.

Mehrwert Value

Analysten können Infrastrukturketten nachverfolgen, verdächtige Hosts bewerten und Erkenntnisse in Projekte überführen. Analysts can trace infrastructure chains, score suspicious hosts, and move findings into projects.

Integration Integration

Sentinel, Defender XDR und Graph Security APIs helfen, Erkenntnisse operational nutzbar zu machen. Sentinel, Defender XDR, and Graph Security APIs help operationalize findings.

ℹ️ Externe Sicht ergänzenAdd external perspective

MDTI ist besonders wertvoll als Ergänzung zu internem Telemetrie Kontext. Es beantwortet, wem eine Domain ähnelt, welche Zertifikate zusammenhängen und wie Infrastruktur in Kampagnen eingebettet ist. MDTI is most valuable as a complement to internal telemetry. It answers who a domain resembles, which certificates are linked, and how infrastructure is embedded in campaigns.

Überblick: MDTI Overview: MDTI

Microsoft Defender Threat Intelligence ist eine Analystenoberfläche und API Landschaft für externe Bedrohungsinformationen. Sie bündelt Forschung, Telemetrie und Infrastrukturbeziehungen. Microsoft Defender Threat Intelligence is an analyst interface and API surface for external threat intelligence. It combines research, telemetry, and infrastructure relationships.

Im Gegensatz zu rein signaturbasierten Feeds liefert MDTI Kontext: Wer betreibt eine Infrastruktur, welche Bedrohungsakteure wurden beobachtet und welche Datenpunkte stützen eine Einschätzung. Unlike purely signature-based feeds, MDTI provides context: who operates an infrastructure set, which threat actors were observed, and which data points support an assessment.

Typische Anwendungsfälle sind Triage verdächtiger Domains, Threat Hunting, Incident Enrichment, Priorisierung von Blocklisten und Schutz exponierter Marken. Typical use cases include triage of suspicious domains, threat hunting, incident enrichment, blocklist prioritization, and protection of exposed brands.

Kernfunktionen Core capabilities

Suche nach Akteuren, Kampagnen, Indikatoren und Infrastrukturartefakten. Search for actors, campaigns, indicators, and infrastructure artifacts.
Pivoting zwischen Hosts, Zertifikaten, WHOIS Daten, Komponenten und Host Pairs. Pivot between hosts, certificates, WHOIS data, components, and host pairs.
Reputationsbewertung und Analystenkommentare zur Priorisierung. Use reputation scoring and analyst commentary for prioritization.
Projekte und Tags für kollaborative Untersuchungen und Wissensspeicherung. Use projects and tags for collaborative investigations and knowledge retention.

Threat Articles Threat articles

Threat Articles liefern kuratierte Analystenberichte zu Bedrohungsakteuren, Kampagnen, Malware Familien, Taktiken und relevanten Schwachstellen. Threat articles provide curated analyst reports on threat actors, campaigns, malware families, tactics, and relevant vulnerabilities.

Artikel enthalten Hinweise auf Ziele, Motivationen, verwendete Infrastruktur, zeitliche Entwicklung und typische Erkennungspunkte. Für Hunting und Incident Response sind sie oft der schnellste Einstieg. Articles contain clues on targets, motivations, infrastructure use, temporal evolution, and common detection points. For hunting and incident response, they are often the fastest on-ramp.

Artikeltyp Article type	Inhalt Content	Operativer Nutzen Operational value
Threat Actor Profiles Threat actor profiles	Alias Namen, Ziele, Regionen, Motivationen, TTPs und historische Aktivitäten. Alias names, targets, regions, motivations, TTPs, and historical activity.	Hilft bei Attribution, Priorisierung und Management Kommunikation. Helps with attribution, prioritization, and management communication.
Tooling Tooling	Malware Familien, Loader, Frameworks, Phishing Kits und Hilfswerkzeuge. Malware families, loaders, frameworks, phishing kits, and supporting tools.	Beschleunigt Erkennungslogik und Jagd nach verwandten Artefakten. Speeds up detection logic and hunting for related artifacts.
Vulnerabilities Vulnerabilities	Ausgenutzte Schwachstellen, Exploit Kontexte und betroffene Technologien. Exploited vulnerabilities, exploit context, and affected technologies.	Unterstützt Patch Priorisierung und Exposure Bewertung. Supports patch prioritization and exposure analysis.
Campaigns Campaigns	Zeitlich und thematisch zusammenhängende Aktivitäten über mehrere Indikatoren hinweg. Time-bound and thematically linked activity across multiple indicators.	Verbindet einzelne Hinweise zu einer operativen Geschichte. Connects isolated clues into an operational story.

Wie Analysten Artikel nutzen How analysts use articles

Neue Indikatoren gegen bekannte Bedrohungsakteure oder Kampagnen abgleichen. Match new indicators against known actors or campaigns.
Erkennungshypothesen für Hunting Sitzungen aus TTP Beschreibungen ableiten. Derive hunting hypotheses from TTP descriptions.
Management Briefings mit Kontext anreichern statt nur IOC Listen zu liefern. Enrich management briefings with context instead of only delivering IOC lists.
Relevante Schwachstellen oder Werkzeuge in Exposure Programme übernehmen. Feed relevant vulnerabilities or tooling into exposure programs.

Indikatortypen Indicator types

MDTI arbeitet mit einer breiten Palette technischer Indikatoren. Die Stärke liegt nicht nur im einzelnen Wert, sondern im Kontext und in den Beziehungen zu weiteren Datenpunkten. MDTI works with a broad range of technical indicators. Its strength lies not only in the single value, but also in the surrounding context and its relationships to other data points.

Indikatortyp Indicator type	Beispielhafte Nutzung Example use	Worauf achten What to watch
Domains Domains	Phishing Domains, C2 Infrastruktur oder Lookalike Marken untersuchen. Investigate phishing domains, C2 infrastructure, or lookalike brands.	Auf WHOIS, Passive DNS, Zertifikate und Subdomains pivoten. Pivot to WHOIS, passive DNS, certificates, and subdomains.
IPs IPs	Hosting Standorte, co gehostete Services oder Blocklistenentscheidungen prüfen. Review hosting locations, co-hosted services, or blocklist decisions.	Mit Host Pairs und DNS Auflösungen kombinieren. Combine with host pairs and DNS resolutions.
URLs URLs	Spezifische Landing Pages, Download Pfade oder Umleitungsziele bewerten. Assess specific landing pages, download paths, or redirect targets.	Pfad, Parameter und Shortener Beziehungen berücksichtigen. Consider path, parameters, and shortener relationships.
File Hashes File hashes	Schadsoftware Artefakte mit Kampagnen oder EDR Funden verknüpfen. Link malware artifacts with campaigns or EDR findings.	Hash Kontext erst mit Verteilung und Infrastruktur voll auswerten. Interpret hashes fully only with distribution and infrastructure context.
Email Addresses Email addresses	Absender, Betrugsadressen oder Kontaktpunkte analysieren. Analyze senders, fraud addresses, or contact points.	Mit Domains, Display Names und BEC Mustern korrelieren. Correlate with domains, display names, and BEC patterns.
Certificates Certificates	Gemeinsame TLS Nutzung und Infrastrukturgruppen erkennen. Detect shared TLS use and infrastructure clusters.	Issuer, Subject, SANs und Wiederverwendung analysieren. Analyze issuer, subject, SANs, and reuse.

Reputation Scoring Reputation scoring

MDTI stellt Reputationshinweise für Infrastruktur und Indikatoren bereit. Die exakte Gewichtung ist Microsoft intern und sollte immer zusammen mit Kontext gelesen werden. MDTI provides reputation guidance for infrastructure and indicators. The exact weighting is internal to Microsoft and should always be read with context.

Für operative Entscheidungen ist nicht nur relevant, ob ein Wert auffällig ist, sondern warum: neue Registrierung, ungewöhnliche Zertifikatskette, Kampagnenbezug oder verdächtige Ko Hosting Muster. For operations, it is not enough to know whether a value is suspicious; you also need to know why: new registration, unusual certificate chain, campaign linkage, or suspicious co-hosting patterns.

Scoring Faktor Scoring factor	Einfluss auf Bewertung Influence on rating	Analystenfrage Analyst question
Sichtungen und Telemetrie Sightings and telemetry	Mehrere bösartige Sichtungen erhöhen Relevanz und Vertrauen. Multiple malicious sightings increase relevance and confidence.	Wo und wie oft wurde die Infrastruktur beobachtet? Where and how often was the infrastructure observed?
Infrastrukturbeziehungen Infrastructure relationships	Nähe zu bekannten Clustern oder Host Pairs kann Risiko erhöhen. Closeness to known clusters or host pairs can increase risk.	Ist der Indikator Teil eines größeren Netzes? Is the indicator part of a broader network?
Alter und Registrierungsverhalten Age and registration behavior	Neue, schnell rotierende oder kurzlebige Assets wirken verdächtiger. New, rapidly rotating, or short-lived assets appear more suspicious.	Deutet die Lebensdauer auf Wegwerf Infrastruktur hin? Does the lifecycle suggest disposable infrastructure?
Inhalt und Komponenten Content and components	Tracker, Formulare oder bekannte Kits prägen den Score. Trackers, forms, or known kits influence the score.	Welche Bausteine sprechen für legitime oder bösartige Nutzung? Which components argue for legitimate or malicious use?
Analystenkuration Analyst curation	Manuelle Bewertungen und Kampagnenverknüpfungen geben zusätzliche Sicherheit. Manual assessments and campaign links add extra confidence.	Gibt es bestätigte Zusammenhänge mit bekannten Akteuren? Are there confirmed links to known actors?

Praktische Interpretation Practical interpretation

Reputation nie isoliert als Block Kriterium verwenden. Never use reputation alone as a blocking criterion.
Neue auffällige Infrastruktur kann manuelle Eskalation statt Sofortblockade rechtfertigen. New suspicious infrastructure may justify manual escalation instead of instant blocking.
Legitime Shared Hosting Umgebungen brauchen oft Zusatzprüfung. Legitimate shared hosting environments often require extra validation.

Datenbestände und Infrastrukturansichten Data sets and infrastructure views

Ein großer Mehrwert von MDTI ist die Zusammenführung mehrerer Datensätze in einer Untersuchung. So wird aus einem isolierten IOC ein belastbares Infrastrukturprofil. A major value of MDTI is the combination of multiple data sets inside one investigation. This turns an isolated IOC into a defensible infrastructure profile.

Datensatz Data set	Wofür genutzt Used for	Typische Frage Typical question
WHOIS WHOIS	Registrant, Registrar, Lebenszyklus und Registrierungsdetails nachvollziehen. Review registrant, registrar, lifecycle, and registration details.	Wer hat die Domain registriert und wann? Who registered the domain and when?
Passive DNS Passive DNS	Historische Zuordnungen zwischen Hostnamen und IPs erkennen. See historical mappings between hostnames and IP addresses.	Welche Infrastruktur trug die Domain in der Vergangenheit? Which infrastructure hosted the domain in the past?
DNS Resolutions DNS resolutions	Aktuelle oder zeitnahe Auflösungen betrachten. Inspect current or near-current resolutions.	Wohin zeigt der Host aktuell? Where does the host currently resolve?
Certificates Certificates	TLS Beziehungen und Wiederverwendung über SANs oder Fingerprints verfolgen. Track TLS relationships and reuse across SANs or fingerprints.	Teilt sich der Host Zertifikate mit anderen Assets? Does the host share certificates with other assets?
Subdomains Subdomains	Untergeordnete Namensräume und thematische Cluster identifizieren. Identify subordinate namespaces and thematic clusters.	Welche Subdomains deuten auf Login, CDN oder Kampagnenlogik hin? Which subdomains hint at login, CDN, or campaign logic?
Trackers Trackers	Wiederkehrende Tracking oder Analytics Artefakte auf Webseiten erkennen. Identify recurring tracking or analytics artifacts on web pages.	Welche Seiten teilen dieselbe Mess oder Ad Tech Spur? Which pages share the same measurement or ad-tech trace?
Components Components	Eingesetzte Bibliotheken, Skripte, Kits oder Plattformen vergleichen. Compare deployed libraries, scripts, kits, or platforms.	Wird dieselbe Komponente in mehreren verdächtigen Hosts verwendet? Is the same component used across multiple suspicious hosts?
Host Pairs Host pairs	Gemeinsam beobachtete Host Beziehungen und Infrastrukturketten analysieren. Analyze commonly observed host relationships and infrastructure chains.	Welche Hosts treten wiederholt zusammen auf? Which hosts repeatedly appear together?
Cookies Cookies	Gemeinsame Web Identitäten und Zusammenhänge zwischen Seiten erkennen. Reveal shared web identities and relationships between sites.	Verknüpfen Cookie Marker mehrere Seiten oder Kampagnen? Do cookie markers connect multiple pages or campaigns?

Analyst Insights, Intelligence Profiles und Infrastructure Mapping Analyst insights, intelligence profiles, and infrastructure mapping

MDTI ist mehr als eine Suche nach Datenpunkten. Analyst Insights beschreiben, wie Signale interpretiert werden, welche Bedrohungsaktivität wahrscheinlich dahintersteht und welche Folgeschritte sinnvoll sind. MDTI is more than a search interface for data points. Analyst insights explain how signals are interpreted, what threat activity is likely behind them, and which next steps make sense.

Intelligence Profiles bündeln Wissen zu Akteuren, Malware, Kampagnen oder Sektoren. Infrastructure Mapping zeigt Beziehungen zwischen Domains, Zertifikaten, Hosting, Komponenten und Verhaltensmustern. Intelligence profiles bundle knowledge about actors, malware, campaigns, or sectors. Infrastructure mapping shows relationships among domains, certificates, hosting, components, and behavior patterns.

Typische Mapping Fragen Typical mapping questions

Welche Domains teilen Zertifikate, Tracker oder Komponenten mit dem auffälligen Host? Which domains share certificates, trackers, or components with the suspicious host?
Welche Infrastruktur wurde historisch oder gleichzeitig mit derselben Kampagne beobachtet? Which infrastructure was observed historically or concurrently with the same campaign?
Welche Hosting Muster oder Registrare deuten auf denselben Betreiber hin? Which hosting patterns or registrars suggest the same operator?
Welche Erkenntnisse sind stabil genug für Detection, Hunting oder Blocklisten? Which findings are stable enough for detection, hunting, or block lists?

💡 Von Artikeln zu Infrastruktur pivotenPivot from articles into infrastructure

Ein guter Untersuchungsweg startet oft bei einem Artikel oder Profil und verzweigt dann in passive DNS, Zertifikate, Subdomains und Host Pairs. A strong investigation path often starts with an article or profile and then branches into passive DNS, certificates, subdomains, and host pairs.

Projects und Zusammenarbeit Projects and collaboration

Projekte strukturieren Untersuchungen, bündeln Indikatoren, dokumentieren Hypothesen und erleichtern die Zusammenarbeit zwischen SOC, Threat Intel und Incident Response. Projects structure investigations, collect indicators, document hypotheses, and improve collaboration across the SOC, threat intel, and incident response teams.

Durch Freigabe von Projekten können Teams eine gemeinsame Sicht auf Infrastruktur, Artikel, Tags und Analystennotizen behalten. Das reduziert Wissensverlust. By sharing projects, teams keep a common view of infrastructure, articles, tags, and analyst notes. This reduces knowledge loss.

Projektfunktion Project feature	Nutzen Benefit
Untersuchungscontainer Investigation container	Sammelt relevante Hosts, Artikel, Screenshots, Notizen und Schlussfolgerungen. Collects relevant hosts, articles, screenshots, notes, and conclusions.
Teilen Sharing	Ermöglicht abgestimmte Arbeit über SOC, Threat Intel und Leadership hinweg. Enables coordinated work across the SOC, threat intel, and leadership.
Priorisierung Prioritization	Wichtige Artefakte können markiert und für Folgemaßnahmen vorbereitet werden. Important artifacts can be highlighted and prepared for follow-up actions.
Nachvollziehbarkeit Traceability	Entscheidungen und Hypothesen bleiben später für Lessons Learned sichtbar. Decisions and hypotheses remain visible later for lessons learned.

Gute Projektpraxis Good project practice

Projekte nach Incident, Kampagne, Lieferant oder Bedrohungsakteur strukturieren. Structure projects by incident, campaign, supplier, or threat actor.
Hypothesen klar trennen von bestätigten Erkenntnissen. Clearly separate hypotheses from confirmed findings.
Teilen nur mit Rollen, die den Kontext wirklich brauchen. Share only with roles that genuinely need the context.
Ergebnisse am Ende in Detection, Blocklisten oder Executive Summary überführen. At the end, convert results into detections, block lists, or an executive summary.

Tags: System und Custom Tags Tags: system and custom tags

Tags helfen, Infrastruktur schnell zu klassifizieren und über verschiedene Untersuchungen hinweg wiederzufinden. MDTI nutzt systemseitige und kundenspezifische Tags. Tags help classify infrastructure quickly and rediscover it across different investigations. MDTI uses system-provided and custom tags.

Tag Typ Tag type	Beispiel Example	Nutzen Value
System Tags System tags	Phishing, Malware Distribution, Newly Registered, Shared Infrastructure. Phishing, Malware Distribution, Newly Registered, Shared Infrastructure.	Ermöglichen schnelle Filterung nach Microsoft Einschätzung oder Dateneigenschaft. Enable rapid filtering based on Microsoft assessment or data property.
Custom Tags Custom tags	BEC Campaign, Supplier Review, VIP Exposure, Watchlist Candidate. BEC Campaign, Supplier Review, VIP Exposure, Watchlist Candidate.	Verankern internes Wissen, Priorität und Verantwortlichkeit. Capture internal knowledge, priority, and ownership.

Tag Governance Tag governance

Ein kontrolliertes Tag Vokabular verhindert Wildwuchs und doppelte Begriffe. A controlled tag vocabulary prevents sprawl and duplicate terms.
Tags sollten Ermittlungsstatus, Risikoklasse oder Geschäftsrelevanz widerspiegeln. Tags should reflect investigation state, risk class, or business relevance.
Custom Tags eignen sich gut für Übergänge nach Sentinel, Watchlists oder Ticketing. Custom tags work well for transitions into Sentinel, watchlists, or ticketing.

Suche, Filter und Pivot Analyse Search, filtering, and pivot analysis

MDTI Suche reicht von direkter IOC Eingabe bis zu kontextbezogenen Recherchen nach Akteuren, Kampagnen oder Infrastrukturclustern. Die größte Stärke liegt im iterativen Pivoting. MDTI search spans direct IOC lookup to context-rich research on actors, campaigns, or infrastructure clusters. Its greatest strength lies in iterative pivoting.

Filter helfen, Suchräume nach Typ, Relevanz, Reputation, Zeitbezug oder Beobachtungskontext einzugrenzen. Dadurch gelangt ein Analyst schnell von einer URL zu einem Cluster verwandter Hosts. Filters help narrow the search space by type, relevance, reputation, timeframe, or observation context. This lets an analyst move quickly from one URL to a cluster of related hosts.

Query Typ Query type	Wofür geeignet Best for
Direkter IOC Lookup Direct IOC lookup	Schnelle Bewertung einzelner Domains, IPs, URLs, Hashes oder Zertifikate. Fast assessment of individual domains, IPs, URLs, hashes, or certificates.
Threat Actor oder Campaign Suche Threat actor or campaign search	Top down Einstieg über bekannte Akteure, Cluster oder laufende Kampagnen. Top-down entry through known actors, clusters, or active campaigns.
Pivot Analyse Pivot analysis	Schrittweises Wechseln zwischen Datensätzen, etwa von Domain zu Zertifikat zu Host Pairs. Stepwise movement between data sets, such as domain to certificate to host pairs.
Infrastructure Chaining Infrastructure chaining	Verkettung mehrerer Beziehungen, um gemeinsam betriebene Assets zu finden. Chain multiple relationships to find jointly operated assets.

Bewährte Pivot Muster Common pivot patterns

Domain → WHOIS → Registrar → weitere neu registrierte Domains. Domain → WHOIS → registrar → additional newly registered domains.
Domain → Passive DNS → IP → Host Pairs → Zertifikate. Domain → passive DNS → IP → host pairs → certificates.
URL → Komponenten → Tracker → verwandte Seiten. URL → components → trackers → related pages.
Artikel → Kampagne → beobachtete Infrastruktur → Custom Tags → Sentinel Watchlist. Article → campaign → observed infrastructure → custom tags → Sentinel watchlist.

Beispiel Suchpfade Example search paths


actor:Storm-0558
campaign:credential-harvest
indicator:contoso-login-example.com
certificate:thumbprint:ABCD1234

API: MDTI Graph Security APIs und Indicator Management API: MDTI Graph Security APIs and indicator management

Graph Security APIs machen MDTI in Automatisierungen nutzbar. Typische Aufgaben sind Artikelsuche, Host Abfragen, Export relevanter Erkenntnisse und Management eigener Threat Indicators. Graph Security APIs make MDTI available to automation. Typical tasks include article search, host queries, export of relevant findings, and management of your own threat indicators.

Für produktive Nutzung sollten Berechtigungen, Lizenzumfang, API Limits und Lebenszyklus von Indikatoren sauber dokumentiert werden. Nicht jede Portalansicht ist identisch per API verfügbar. For production use, permissions, licensing scope, API limits, and the indicator lifecycle should be documented carefully. Not every portal view is exposed identically through API.

API Bereich API area	Typische Aufgabe Typical task	Hinweis Note
Threat Intelligence Artikel Threat intelligence articles	Suche und Abruf von Bedrohungsartikeln oder Profilen. Search and retrieval of threat articles or profiles.	Gut für Case Enrichment und Briefings. Useful for case enrichment and briefings.
Infrastructure Lookups Infrastructure lookups	Abfragen zu Hosts, Subdomains, Zertifikaten oder Passive DNS Beziehungen. Queries for hosts, subdomains, certificates, or passive DNS relationships.	Besonders hilfreich für Hunting und Triage. Especially helpful for hunting and triage.
tiIndicators tiIndicators	Eigene Indicators erstellen, aktualisieren oder zurückziehen. Create, update, or retire your own indicators.	Wichtig für Sentinel, Blocklisten und Operationalisierung. Important for Sentinel, block lists, and operationalization.

Graph API Graph API


Connect-MgGraph -Scopes "ThreatIntelligence.Read.All"
Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/security/threatIntelligence/articles?$search=Storm"

Graph API Graph API


$body = @{
  action = 'alert'
  confidence = 85
  description = 'MDTI validated phishing domain'
  expirationDateTime = '2026-12-31T23:59:59Z'
  externalId = 'mdti-demo-001'
  targetProduct = 'Azure Sentinel'
  tlpLevel = 'amber'
  domainName = 'example-bad-domain.tld'
  threatType = 'phishing'
} | ConvertTo-Json

Invoke-MgGraphRequest -Method POST -Uri 'https://graph.microsoft.com/v1.0/security/tiIndicators' -Body $body -ContentType 'application/json'

⚠️ API und Portal nicht verwechselnDo not confuse portal and API

Einige Portalansichten kombinieren Daten, die in Automatisierungen aus mehreren API Aufrufen zusammengesetzt werden müssen. Some portal views combine data that must be assembled from multiple API calls in automation.

Sentinel Integration Sentinel integration

MDTI ergänzt Microsoft Sentinel durch kontextreiche externe Informationen. Besonders relevant sind TI Connectoren, Matching Analytics und Workbooks. MDTI complements Microsoft Sentinel with context-rich external intelligence. Particularly relevant are TI connectors, matching analytics, and workbooks.

Sentinel Baustein Sentinel component	Nutzen Value
Threat Intelligence Connector Threat intelligence connector	Bringt Indicators in Sentinel, damit Abgleich mit Logdaten möglich wird. Brings indicators into Sentinel so they can be matched against log data.
Matching Analytics Matching analytics	Korrelieren IPs, Domains, URLs oder Hashes aus Telemetrie mit bekannten Indicators. Correlate IPs, domains, URLs, or hashes from telemetry with known indicators.
Workbooks Workbooks	Visualisieren Trend, Treffer, Kampagnen und Priorisierung für SOC und Leadership. Visualize trends, hits, campaigns, and prioritization for SOC and leadership.
Playbooks Playbooks	Automatisieren Benachrichtigungen, Ticketing oder Blocklistenaktualisierung nach Treffern. Automate notifications, ticketing, or blocklist updates after hits.

Operationalisierung in Sentinel Operationalizing in Sentinel

Wichtige MDTI Erkenntnisse als tiIndicators oder Watchlists für Analytics Regeln aufbereiten. Convert key MDTI findings into tiIndicators or watchlists for analytics rules.
Treffer mit Host, Benutzer, Prozess und Incident Kontext anreichern. Enrich hits with host, user, process, and incident context.
Workbooks für Management, Hunting und Kampagnenbeobachtung trennen. Separate workbooks for management, hunting, and campaign monitoring.

Defender XDR Integration Defender XDR integration

In Defender XDR hilft MDTI vor allem bei Enrichment und Incident Korrelation. Verdächtige Domains, URLs, Zertifikate oder Hashes können mit Artikelkontext und Infrastrukturbeziehungen angereichert werden. In Defender XDR, MDTI primarily helps with enrichment and incident correlation. Suspicious domains, URLs, certificates, or hashes can be enriched with article context and infrastructure relationships.

Dadurch wird aus einem einzelnen Alert schneller ein priorisierbarer Incident. Analysten erkennen eher, ob eine Beobachtung isoliert oder Teil eines größeren Clusters ist. This turns a single alert into a more easily prioritized incident. Analysts can better tell whether an observation is isolated or part of a broader cluster.

XDR Nutzen XDR value	Beispiel Example
Enrichment Enrichment	Alarm zu verdächtiger URL wird mit Reputation, Subdomains und Kampagnenkontext ergänzt. An alert about a suspicious URL is enriched with reputation, subdomains, and campaign context.
Incident Korrelation Incident correlation	Mehrere schwache Hinweise werden durch gemeinsame Infrastrukturbeziehungen zusammengeführt. Multiple weak signals are tied together through shared infrastructure relationships.
Priorisierung Prioritization	Akteurs und Kampagnenbezug hebt relevante Vorfälle schneller hervor. Actor and campaign linkage surfaces important incidents more quickly.

Typische XDR Fragen Common XDR questions

Ist diese URL Teil einer bekannten Phishing Kampagne? Is this URL part of a known phishing campaign?
Hängt die beobachtete Domain mit weiteren verdächtigen Hosts oder Zertifikaten zusammen? Is the observed domain related to other suspicious hosts or certificates?
Gibt es Indizien, dass neue externe Infrastruktur in interne Incidents einfließt? Is there evidence that new external infrastructure is feeding into internal incidents?

Lizenzierung: Standalone versus Included Licensing: standalone versus included

MDTI Lizenzierung sollte immer gegen aktuelle Microsoft Produktbedingungen geprüft werden. In der Praxis ist zwischen vollständigem eigenständigem MDTI und eingebetteten Erfahrungen in anderen Security Produkten zu unterscheiden. MDTI licensing should always be validated against current Microsoft product terms. In practice, distinguish between full standalone MDTI and embedded experiences in other security products.

Standalone liefert den umfassendsten Analystenarbeitsplatz mit tiefen Datenbeständen, Artikeln und Projektfunktionen. Enthaltene Erfahrungen bieten wertvolles Enrichment, sind aber nicht immer gleichwertig. Standalone delivers the broadest analyst workspace with deep data sets, articles, and project features. Included experiences provide valuable enrichment but are not always equivalent.

Modell Model	Typischer Umfang Typical scope	Wann sinnvoll When it makes sense
Standalone MDTI Standalone MDTI	Volle Recherche, Datenbestände, Artikel, Projekte und tiefes Pivoting. Full research experience, data sets, articles, projects, and deep pivoting.	Für dedizierte Threat Intel Teams und fortgeschrittene SOCs. For dedicated threat intel teams and advanced SOCs.
Included oder Integrated Experience Included or integrated experience	Teilweise Enrichment, Connectoren oder Datenzugänge in umliegenden Workflows. Partial enrichment, connectors, or data access inside surrounding workflows.	Wenn primär operative Incidents angereichert werden sollen. When the primary need is to enrich operational incidents.

⚠️ Lizenzumfang regelmäßig validierenValidate licensing scope regularly

Produktpakete, Namensgebung und enthaltene Rechte ändern sich. Prüfen Sie vor Beschaffung und Automatisierung stets den aktuellen Lizenzumfang. Packages, naming, and included rights can change. Validate the current licensing scope before procurement and automation.

Untersuchungsworkflow und Best Practices Investigation workflow and best practices

Ein strukturierter Workflow erhöht den Nutzen von MDTI deutlich. Gute Teams starten mit einer klaren Frage, pivoten systematisch und operationalisieren Ergebnisse schnell. A structured workflow significantly increases MDTI value. Strong teams start with a clear question, pivot systematically, and operationalize results quickly.

Mit einem initialen IOC, einem Artikel oder einem Incident Hinweis starten. Start with an initial IOC, an article, or an incident clue.
Reputation, WHOIS und Passive DNS als erste Kontextschicht prüfen. Check reputation, WHOIS, and passive DNS as the first context layer.
Über Zertifikate, Komponenten, Host Pairs und Subdomains in Cluster pivoten. Pivot through certificates, components, host pairs, and subdomains into clusters.
Bestätigte Ergebnisse mit Custom Tags, Projekten und tiIndicators sichern. Preserve confirmed findings with custom tags, projects, and tiIndicators.
Erkenntnisse nach Sentinel, Defender XDR, Ticketing oder Blocklisten exportieren. Export findings into Sentinel, Defender XDR, ticketing, or block lists.
Am Ende dokumentieren, was Vermutung blieb und was belegt werden konnte. At the end, document what remained hypothesis and what was validated.

Kurze FAQ Quick FAQ

MDTI ersetzt keine interne Telemetrie, sondern ergänzt sie. Der größte Mehrwert entsteht, wenn externe Infrastrukturinformationen mit Defender, Sentinel und lokalen Geschäftsrisiken kombiniert werden. MDTI does not replace internal telemetry; it complements it. The biggest value comes from combining external infrastructure context with Defender, Sentinel, and local business risk.