مشاركة عبر

توصيل Microsoft Sentinel بموجز STIX/TAXII للتحليل الذكي للمخاطر الخاصة بك

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

معيار الصناعة الأكثر اعتمادًا على نطاق واسع لنقل التحليل الذكي للمخاطر هو مزيج من تنسيق بيانات STIX وبروتوكول TAXII. إذا تلقت مؤسستك مؤشرات التهديد من الحلول التي تدعم إصدار STIX/TAXII الحالي (2.0 أو 2.1)، يمكنك استخدام موصل بيانات التحليل الذكي للمخاطر - TAXII لإحضار مؤشرات التهديد إلى Microsoft Sentinel. يمكن هذا الموصل عميل TAXII المضمن في Microsoft Sentinel من استيراد التحليل الذكي للمخاطر من خوادم TAXII 2.x.

لقطة شاشة تعرض مسار استيراد TAXII.

لاستيراد مؤشرات التهديد بتنسيق STIX إلى Microsoft Sentinel من خادم TAXII، يجب الحصول على جذر API لخادم TAXII ومعرف المجموعة. ثم تقوم بتمكين موصل بيانات التحليل الذكي للمخاطر - TAXII في Microsoft Sentinel.

تعرف على المزيد حول التحليل الذكي للمخاطر في Microsoft Sentinel، وتحديدا حول موجزات تحليل ذكي للمخاطر TAXII التي يمكنك دمجها مع Microsoft Sentinel.

إشعار

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

لمزيد من المعلومات، راجع توصيل النظام الأساسي للتحليل الذكي للمخاطر (TIP) ب Microsoft Sentinel.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

المتطلبات الأساسية

  • لتثبيت المحتوى أو الحلول المستقلة وتحديثها وحذفها في مركز المحتوى، تحتاج إلى دور مساهم Microsoft Sentinel على مستوى مجموعة الموارد.
  • يجب أن يكون لديك أذونات قراءة وكتابة إلى مساحة عمل Microsoft Azure Sentinel لتخزين مؤشرات التهديد الخاصة بك.
  • يجب أن يكون لديك URI جذر TAXII 2.0 أو TAXII 2.1 API ومعرف المجموعة.

الحصول على جذر واجهة برمجة تطبيقات خادم TAXII ومعرف المجموعة

تعلن خوادم TAXII 2.x عن جذور واجهة برمجة التطبيقات، وهي عناوين URL تستضيف مجموعات من التحليل الذكي للمخاطر. يمكنك عادة العثور على جذر واجهة برمجة التطبيقات ومعرف المجموعة في صفحات الوثائق لموفر التحليل الذكي للمخاطر الذي يستضيف خادم TAXII.

إشعار

في بعض الحالات، يعلن الموفر فقط عن عنوان URL يسمى نقطة نهاية الاكتشاف. يمكنك استخدام الأداة المساعدة cURL لاستعراض نقطة نهاية الاكتشاف وطلب جذر واجهة برمجة التطبيقات.

تثبيت حل التحليل الذكي للمخاطر في Microsoft Sentinel

لاستيراد مؤشرات التهديد إلى Microsoft Sentinel من خادم TAXII، اتبع الخطوات التالية:

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن إدارة المحتوى، حدد مركز المحتوى.

    بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد مركز محتوى إدارة>المحتوى في Microsoft Sentinel.>

  2. ابحث عن حل التحليل الذكي للمخاطر وحدده.

  3. حدد الزر تثبيت/تحديث.

لمزيد من المعلومات حول كيفية إدارة مكونات الحل، راجع اكتشاف المحتوى الجاهز ونشره.

تمكين موصل بيانات التحليل الذكي للمخاطر - TAXII

  1. لتكوين موصل بيانات TAXII، حدد قائمة موصلات البيانات.

  2. ابحث عن موصل بيانات Threat Intelligence - TAXII وحدده، ثم حدد Open connector page.

    لقطة شاشة تعرض صفحة موصلات البيانات مع موصل بيانات TAXII المدرج.

  3. أدخل اسما لمجموعة خوادم TAXII هذه في مربع النص اسم مألوف. املأ مربعات النص الخاصة بعنوان URL الجذر لواجهة برمجة التطبيقات ومعرف المجموعة واسم المستخدم (إذا لزم الأمر) وكلمة المرور (إذا لزم الأمر). اختر مجموعة المؤشرات وتكرار الاستقصاء الذي تريده. حدد إضافة.

    لقطة شاشة توضح تكوين خوادم TAXII.

يجب أن تتلقى تأكيدا بأن اتصالا بخادم TAXII قد تم إنشاؤه بنجاح. كرر الخطوة الأخيرة عدة مرات كما تريد الاتصال بمجموعات متعددة من خادم TAXII واحد أو أكثر.

في غضون بضع دقائق، يجب أن تبدأ مؤشرات التهديد بالتدفق إلى مساحة عمل Microsoft Azure Sentinel. ابحث عن المؤشرات الجديدة في جزء التحليل الذكي للمخاطر. يمكنك الوصول إليه من قائمة Microsoft Sentinel.

قائمة السماح ل IP لعميل MICROSOFT Sentinel TAXII

بعض خوادم TAXII، مثل FS-ISAC، لديها متطلبات للحفاظ على عناوين IP لعميل MICROSOFT Sentinel TAXII على قائمة السماح. لا تحتوي معظم خوادم TAXII على هذا المطلب.

عندما تكون ذات صلة، عناوين IP التالية هي العناوين التي يجب تضمينها في قائمة السماح الخاصة بك:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

المحتوى ذو الصلة

في هذه المقالة، تعلمت كيفية توصيل Microsoft Sentinel بموجزات التحليل الذكي للمخاطر باستخدام بروتوكول TAXII. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel: