Integrace analýzy hrozeb ve službě Microsoft Sentinel

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel nabízí několik způsobů použití informačních kanálů analýzy hrozeb k vylepšení schopnosti analytiků zabezpečení zjišťovat a určovat prioritu známých hrozeb:

• Použijte jeden z mnoha dostupných produktů pro integrovanou platformu analýzy hrozeb (TIP).
• Připojte se k serverům TAXII a využijte výhod libovolného zdroje analýzy hrozeb kompatibilních s STIX.
• Připojte se přímo k informačnímu kanálu Analýza hrozeb v programu Microsoft Defender.
• Využijte všechna vlastní řešení, která můžou komunikovat přímo s rozhraním API indikátorů nahrávání analýzy hrozeb.
• Připojte se ke zdrojům analýzy hrozeb z playbooků a obohaťte incidenty informacemi o analýze hrozeb, které můžou pomoct s přímým vyšetřováním a reakcemi.

Tip

Pokud máte ve stejném tenantovi více pracovních prostorů, například pro poskytovatele spravovaných služeb zabezpečení (MSSP), může být cenově výhodnější připojit indikátory hrozeb pouze k centralizovaným pracovnímu prostoru.

Pokud máte stejnou sadu indikátorů hrozeb importovaných do každého samostatného pracovního prostoru, můžete spouštět dotazy mezi pracovními prostory, které agregují indikátory hrozeb napříč pracovními prostory. Korelujte je v rámci vašeho prostředí pro zjišťování, vyšetřování a proaktivní vyhledávání incidentů MSSP.

Informační kanály analýzy hrozeb TAXII

Pokud se chcete připojit k informačním kanálům analýzy hrozeb TAXII, připojte Microsoft Sentinel k informačním kanálům analýzy hrozeb STIX/TAXII spolu s daty poskytnutými jednotlivými dodavateli. Možná budete muset kontaktovat dodavatele přímo, abyste získali potřebná data pro použití s konektorem.

Accenture cyber threat intelligence

• Seznamte se s integrací analýzy kybernetických hrozeb (CTI) Společnosti Accenture se službou Microsoft Sentinel.

Cybersixgill Darkfeed

• Přečtěte si o integraci Cybersixgill s Microsoft Sentinelem.
• Připojte Microsoft Sentinel k serveru Cybersixgill TAXII a získejte přístup k aplikaci Darkfeed. Kontakt azuresentinel@cybersixgill.com pro získání kořenového adresáře rozhraní API, ID kolekce, uživatelského jména a hesla

Výměna Cyware threat intelligence (CTIX)

Jednou z komponent Cyware TIP, CTIX, je učinit intel actionable with a TAXII feed for your security information and event management. Pro Microsoft Sentinel postupujte podle zde uvedených pokynů:

• Informace o integraci s Microsoft Sentinelem

ESET

• Seznamte se s nabídkou analýzy hrozeb společnosti ESET.
• Připojte Microsoft Sentinel k serveru ESET TAXII. Získejte kořenovou adresu URL rozhraní API, ID kolekce, uživatelské jméno a heslo ze svého účtu ESET. Pak postupujte podle obecných pokynů a článku společnosti ESET znalostní báze.

Centrum pro sdílení a analýzu informací o finančních službách (FS-ISAC)

• Připojte se k FS-ISAC a získejte přihlašovací údaje pro přístup k tomuto informačnímu kanálu.

Komunita sdílení informací o stavu (H-ISAC)

• Připojte se k H-ISAC a získejte přihlašovací údaje pro přístup k tomuto informačnímu kanálu.

IBM X-Force

• Přečtěte si další informace o integraci IBM X-Force.

IntSights

• Další informace o nástroji IntSights integration with Microsoft Sentinel @IntSights.
• Připojte Microsoft Sentinel k serveru IntSights TAXII. Po konfiguraci zásad dat, která chcete odeslat do Microsoft Sentinelu, získejte z portálu IntSights kořen rozhraní API, ID kolekce, uživatelské jméno a heslo.

Kaspersky

• Seznamte se s integrací Společnosti Kaspersky se službou Microsoft Sentinel.

Pulsedive

• Přečtěte si o integraci Pulsedive s Microsoft Sentinelem.

ReversingLabs

• Přečtěte si o integraci ReversingLabs TAXII s Microsoft Sentinelem.

Sectrio

• Přečtěte si další informace o integraci Sectrio.
• Seznamte se s podrobným procesem integrace informačního kanálu analýzy hrozeb Sectrio do Microsoft Sentinelu.

SEKOIA. IO

• Přečtěte si informace o SEKOIA. Integrace vstupně-výstupních operací s Microsoft Sentinelem

ThreatConnect

• Přečtěte si další informace o STIX a TAXII na ThreatConnect.
• Viz dokumentace ke službám TAXII na webu ThreatConnect.

Integrované produkty platformy analýzy hrozeb

Pokud se chcete připojit k informačním kanálům TIP, přečtěte si téma Připojení platforem analýzy hrozeb k Microsoft Sentinelu. V následujících řešeních se dozvíte, jaké další informace jsou potřeba.

Agari Phishing Defense a Brand Protection

• Pokud chcete připojit Agari Phishing Defense a Brand Protection, použijte integrovaný datový konektor Agari v Microsoft Sentinelu.

Anomálie ThreatStream

• Pokud chcete stáhnout integrátor ThreatStream a rozšíření a pokyny pro připojení analýzy ThreatStream k Rozhraní API pro zabezpečení Microsoft Graphu, podívejte se na stránku pro stahování ThreatStream.

AlienVault Open Threat Exchange (OTX) od AT&T Cybersecurity

• Zjistěte, jak AlienVault OTX využívá Azure Logic Apps (playbooky) k připojení k Microsoft Sentinelu. Podívejte se na specializované pokyny potřebné k tomu, abyste plně využili kompletní nabídky.

EclecticIQ Platform

• EclecticIQ Platform se integruje se službou Microsoft Sentinel za účelem zvýšení detekce hrozeb, proaktivního vyhledávání a reakce. Přečtěte si další informace o výhodách a případech použití této obousměrné integrace.

GroupIB Threat Intelligence and Attribution

• K propojení analýzy hrozeb GroupIB a přiřazení k Microsoft Sentinelu využívá GroupIB Logic Apps. Podívejte se na specializované pokyny , které jsou nezbytné k tomu, abyste plně využili kompletní nabídky.

Open source platforma analýzy hrozeb MISP

• Nasdílení indikátorů hrozeb z MISP do Microsoft Sentinelu pomocí rozhraní API indikátorů pro nahrání analýzy hrozeb s FUNKCÍ MISP2Sentinel.
• Viz MISP2Sentinel na Azure Marketplace.
• Přečtěte si další informace o projektu MISP.

Palo Alto Networks MineMeld

• Pokud chcete nakonfigurovat Palo Alto MineMeld s informacemi o připojení ke službě Microsoft Sentinel, přečtěte si téma Odesílání vstupně-výstupních operací do microsoft Graphu Rozhraní API pro zabezpečení pomocí MineMeldu. Přejděte na nadpis "MineMeld Configuration".

Zaznamenaná platforma pro analýzu zabezpečení v budoucnu

• Přečtěte si, jak funkce Recorded Future využívá Logic Apps (playbooky) k připojení k Microsoft Sentinelu. Podívejte se na specializované pokyny potřebné k tomu, abyste plně využili kompletní nabídky.

ThreatConnect Platform

• Pokyny pro připojení ThreatConnect k Microsoft Sentinelu najdete v průvodci konfigurací indikátorů ohrožení zabezpečení v Microsoft Graphu.

ThreatQuotient Threat Intelligence Platform

• Informace o podpoře a pokyny pro připojení tipu ThreatQuotient k Microsoft Sentinelu najdete v tématu Integrace konektoru Microsoft Sentinelu pro ThreatQ.

Zdroje rozšiřování incidentů

Kromě toho, že se používají k importu indikátorů hrozeb, můžou informační kanály analýzy hrozeb sloužit také jako zdroj k obohacení informací ve vašich incidentech a poskytnutí dalšího kontextu pro vyšetřování. Následující informační kanály slouží k tomuto účelu a poskytují playbooky Logic Apps, které se mají použít ve vaší automatizované reakci na incidenty. Tyto zdroje rozšiřování najdete v centru obsahu.

Další informace o tom, jak najít a spravovat řešení, najdete v tématu Zjišťování a nasazení obsahu před nasazením.

HYAS Insight

• Vyhledejte a povolte playbooky pro rozšiřování incidentů pro přehled HYAS v úložišti GitHub pro Microsoft Sentinel. Vyhledejte podsložky začínající na Enrich-Sentinel-Incident-HYAS-Insight-.
• Viz dokumentace ke konektoru HYAS Insight Logic Apps.

Microsoft Defender Analýza hrozeb

• Vyhledejte a povolte playbooky pro rozšiřování incidentů pro Analýza hrozeb v programu Microsoft Defender v úložišti Microsoft Sentinel Na GitHubu.
• Další informace najdete v blogovém příspěvku technické komunity Defender Threat Intelligence.

Zaznamenání budoucí platformy Security Intelligence

• Vyhledejte a povolte playbooky pro rozšiřování incidentů v úložišti Microsoft Sentinel Na GitHubu pro zaznamenané budoucnost. Vyhledejte podsložky začínající na RecordedFuture_.
• Viz dokumentace ke konektoru Recorded Future Logic Apps.

ReversingLabs TitaniumCloud

• Vyhledejte a povolte playbooky pro rozšiřování incidentů pro ReversingLabs v úložišti Microsoft Sentinel Na GitHubu.
• Viz dokumentace ke konektoru ReversingLabs TitanumCloud Logic Apps.

RiskIQ PassiveTotal

• V úložišti Microsoft Sentinel Na GitHubu vyhledejte a povolte playbooky pro rozšiřování incidentů pro riskIQ Passive Total.
• Podívejte se na další informace o práci s playbooky RiskIQ.
• Viz dokumentace ke konektoru RiskIQ PassiveTotal Logic Apps.

VirusTotal

• V úložišti Microsoft Sentinel Na GitHubu vyhledejte a povolte playbooky pro rozšiřování incidentů pro VirusTotal. Vyhledejte podsložky začínající na Get-VTURL.
• Viz dokumentace ke konektoru VirusTotal Logic Apps.

Související obsah

V tomto článku jste zjistili, jak propojit poskytovatele analýzy hrozeb s Microsoft Sentinelem. Další informace o službě Microsoft Sentinel najdete v následujících článcích:

• Zjistěte, jak získat přehled o datech a potenciálních hrozbách.
• Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel.