Integrace analýzy hrozeb ve službě Microsoft Sentinel
Microsoft Sentinel nabízí několik způsobů použití informačních kanálů analýzy hrozeb k vylepšení schopnosti analytiků zabezpečení zjišťovat a určovat prioritu známých hrozeb:
- Použijte jeden z mnoha dostupných produktů pro integrovanou platformu analýzy hrozeb (TIP).
- Připojte se k serverům TAXII a využijte výhod libovolného zdroje analýzy hrozeb kompatibilních s STIX.
- Připojte se přímo k informačnímu kanálu Analýza hrozeb v programu Microsoft Defender.
- Využijte všechna vlastní řešení, která můžou komunikovat přímo s rozhraním API indikátorů nahrávání analýzy hrozeb.
- Připojte se ke zdrojům analýzy hrozeb z playbooků a obohaťte incidenty informacemi o analýze hrozeb, které můžou pomoct s přímým vyšetřováním a reakcemi.
Tip
Pokud máte ve stejném tenantovi více pracovních prostorů, například pro poskytovatele spravovaných služeb zabezpečení (MSSP), může být cenově výhodnější připojit indikátory hrozeb pouze k centralizovaným pracovnímu prostoru.
Pokud máte stejnou sadu indikátorů hrozeb importovaných do každého samostatného pracovního prostoru, můžete spouštět dotazy mezi pracovními prostory, které agregují indikátory hrozeb napříč pracovními prostory. Korelujte je v rámci vašeho prostředí pro zjišťování, vyšetřování a proaktivní vyhledávání incidentů MSSP.
Informační kanály analýzy hrozeb TAXII
Pokud se chcete připojit k informačním kanálům analýzy hrozeb TAXII, připojte Microsoft Sentinel k informačním kanálům analýzy hrozeb STIX/TAXII spolu s daty poskytnutými jednotlivými dodavateli. Možná budete muset kontaktovat dodavatele přímo, abyste získali potřebná data pro použití s konektorem.
Accenture cyber threat intelligence
- Seznamte se s integrací analýzy kybernetických hrozeb (CTI) Společnosti Accenture se službou Microsoft Sentinel.
Cybersixgill Darkfeed
- Přečtěte si o integraci Cybersixgill s Microsoft Sentinelem.
- Připojte Microsoft Sentinel k serveru Cybersixgill TAXII a získejte přístup k aplikaci Darkfeed. Kontakt azuresentinel@cybersixgill.com pro získání kořenového adresáře rozhraní API, ID kolekce, uživatelského jména a hesla
Výměna Cyware threat intelligence (CTIX)
Jednou z komponent Cyware TIP, CTIX, je učinit intel actionable with a TAXII feed for your security information and event management. Pro Microsoft Sentinel postupujte podle zde uvedených pokynů:
- Informace o integraci s Microsoft Sentinelem
ESET
- Seznamte se s nabídkou analýzy hrozeb společnosti ESET.
- Připojte Microsoft Sentinel k serveru ESET TAXII. Získejte kořenovou adresu URL rozhraní API, ID kolekce, uživatelské jméno a heslo ze svého účtu ESET. Pak postupujte podle obecných pokynů a článku společnosti ESET znalostní báze.
Centrum pro sdílení a analýzu informací o finančních službách (FS-ISAC)
- Připojte se k FS-ISAC a získejte přihlašovací údaje pro přístup k tomuto informačnímu kanálu.
Komunita sdílení informací o stavu (H-ISAC)
- Připojte se k H-ISAC a získejte přihlašovací údaje pro přístup k tomuto informačnímu kanálu.
IBM X-Force
- Přečtěte si další informace o integraci IBM X-Force.
IntSights
- Další informace o nástroji IntSights integration with Microsoft Sentinel @IntSights.
- Připojte Microsoft Sentinel k serveru IntSights TAXII. Po konfiguraci zásad dat, která chcete odeslat do Microsoft Sentinelu, získejte z portálu IntSights kořen rozhraní API, ID kolekce, uživatelské jméno a heslo.
Kaspersky
Pulsedive
- Přečtěte si o integraci Pulsedive s Microsoft Sentinelem.
ReversingLabs
- Přečtěte si o integraci ReversingLabs TAXII s Microsoft Sentinelem.
Sectrio
- Přečtěte si další informace o integraci Sectrio.
- Seznamte se s podrobným procesem integrace informačního kanálu analýzy hrozeb Sectrio do Microsoft Sentinelu.
SEKOIA. IO
- Přečtěte si informace o SEKOIA. Integrace vstupně-výstupních operací s Microsoft Sentinelem
ThreatConnect
- Přečtěte si další informace o STIX a TAXII na ThreatConnect.
- Viz dokumentace ke službám TAXII na webu ThreatConnect.
Integrované produkty platformy analýzy hrozeb
Pokud se chcete připojit k informačním kanálům TIP, přečtěte si téma Připojení platforem analýzy hrozeb k Microsoft Sentinelu. V následujících řešeních se dozvíte, jaké další informace jsou potřeba.
Agari Phishing Defense a Brand Protection
- Pokud chcete připojit Agari Phishing Defense a Brand Protection, použijte integrovaný datový konektor Agari v Microsoft Sentinelu.
Anomálie ThreatStream
- Pokud chcete stáhnout integrátor ThreatStream a rozšíření a pokyny pro připojení analýzy ThreatStream k Rozhraní API pro zabezpečení Microsoft Graphu, podívejte se na stránku pro stahování ThreatStream.
AlienVault Open Threat Exchange (OTX) od AT&T Cybersecurity
- Zjistěte, jak AlienVault OTX využívá Azure Logic Apps (playbooky) k připojení k Microsoft Sentinelu. Podívejte se na specializované pokyny potřebné k tomu, abyste plně využili kompletní nabídky.
EclecticIQ Platform
- EclecticIQ Platform se integruje se službou Microsoft Sentinel za účelem zvýšení detekce hrozeb, proaktivního vyhledávání a reakce. Přečtěte si další informace o výhodách a případech použití této obousměrné integrace.
GroupIB Threat Intelligence and Attribution
- K propojení analýzy hrozeb GroupIB a přiřazení k Microsoft Sentinelu využívá GroupIB Logic Apps. Podívejte se na specializované pokyny , které jsou nezbytné k tomu, abyste plně využili kompletní nabídky.
Open source platforma analýzy hrozeb MISP
- Nasdílení indikátorů hrozeb z MISP do Microsoft Sentinelu pomocí rozhraní API indikátorů pro nahrání analýzy hrozeb s FUNKCÍ MISP2Sentinel.
- Viz MISP2Sentinel na Azure Marketplace.
- Přečtěte si další informace o projektu MISP.
Palo Alto Networks MineMeld
- Pokud chcete nakonfigurovat Palo Alto MineMeld s informacemi o připojení ke službě Microsoft Sentinel, přečtěte si téma Odesílání vstupně-výstupních operací do microsoft Graphu Rozhraní API pro zabezpečení pomocí MineMeldu. Přejděte na nadpis "MineMeld Configuration".
Zaznamenaná platforma pro analýzu zabezpečení v budoucnu
- Přečtěte si, jak funkce Recorded Future využívá Logic Apps (playbooky) k připojení k Microsoft Sentinelu. Podívejte se na specializované pokyny potřebné k tomu, abyste plně využili kompletní nabídky.
ThreatConnect Platform
- Pokyny pro připojení ThreatConnect k Microsoft Sentinelu najdete v průvodci konfigurací indikátorů ohrožení zabezpečení v Microsoft Graphu.
ThreatQuotient Threat Intelligence Platform
- Informace o podpoře a pokyny pro připojení tipu ThreatQuotient k Microsoft Sentinelu najdete v tématu Integrace konektoru Microsoft Sentinelu pro ThreatQ.
Zdroje rozšiřování incidentů
Kromě toho, že se používají k importu indikátorů hrozeb, můžou informační kanály analýzy hrozeb sloužit také jako zdroj k obohacení informací ve vašich incidentech a poskytnutí dalšího kontextu pro vyšetřování. Následující informační kanály slouží k tomuto účelu a poskytují playbooky Logic Apps, které se mají použít ve vaší automatizované reakci na incidenty. Tyto zdroje rozšiřování najdete v centru obsahu.
Další informace o tom, jak najít a spravovat řešení, najdete v tématu Zjišťování a nasazení obsahu před nasazením.
HYAS Insight
- Vyhledejte a povolte playbooky pro rozšiřování incidentů pro přehled HYAS v úložišti GitHub pro Microsoft Sentinel. Vyhledejte podsložky začínající na
Enrich-Sentinel-Incident-HYAS-Insight-
. - Viz dokumentace ke konektoru HYAS Insight Logic Apps.
Microsoft Defender Analýza hrozeb
- Vyhledejte a povolte playbooky pro rozšiřování incidentů pro Analýza hrozeb v programu Microsoft Defender v úložišti Microsoft Sentinel Na GitHubu.
- Další informace najdete v blogovém příspěvku technické komunity Defender Threat Intelligence.
Zaznamenání budoucí platformy Security Intelligence
- Vyhledejte a povolte playbooky pro rozšiřování incidentů v úložišti Microsoft Sentinel Na GitHubu pro zaznamenané budoucnost. Vyhledejte podsložky začínající na
RecordedFuture_
. - Viz dokumentace ke konektoru Recorded Future Logic Apps.
ReversingLabs TitaniumCloud
- Vyhledejte a povolte playbooky pro rozšiřování incidentů pro ReversingLabs v úložišti Microsoft Sentinel Na GitHubu.
- Viz dokumentace ke konektoru ReversingLabs TitanumCloud Logic Apps.
RiskIQ PassiveTotal
- V úložišti Microsoft Sentinel Na GitHubu vyhledejte a povolte playbooky pro rozšiřování incidentů pro riskIQ Passive Total.
- Podívejte se na další informace o práci s playbooky RiskIQ.
- Viz dokumentace ke konektoru RiskIQ PassiveTotal Logic Apps.
VirusTotal
- V úložišti Microsoft Sentinel Na GitHubu vyhledejte a povolte playbooky pro rozšiřování incidentů pro VirusTotal. Vyhledejte podsložky začínající na
Get-VTURL
. - Viz dokumentace ke konektoru VirusTotal Logic Apps.
Související obsah
V tomto článku jste zjistili, jak propojit poskytovatele analýzy hrozeb s Microsoft Sentinelem. Další informace o službě Microsoft Sentinel najdete v následujících článcích:
- Zjistěte, jak získat přehled o datech a potenciálních hrozbách.
- Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel.