Připojení informační kanály analýzy hrozeb PRO STIX/TAXII od Microsoft Sentinelu

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nejrozšířenější oborový standard pro přenos analýzy hrozeb je kombinace datového formátu STIX a protokolu TAXII. Pokud vaše organizace obdrží indikátory hrozeb z řešení, která podporují aktuální verzi STIX/TAXII (2.0 nebo 2.1), můžete pomocí datového konektoru Threat Intelligence – TAXII přenést indikátory hrozeb do Microsoft Sentinelu. Tento konektor umožňuje integrovanému klientovi TAXII v Microsoft Sentinelu importovat analýzu hrozeb ze serverů TAXII 2.x.

Cesta importu TAXII

Pokud chcete importovat indikátory hrozeb ve formátu STIX do Microsoft Sentinelu ze serveru TAXII, musíte získat kořenové rozhraní API serveru TAXII a ID kolekce a pak povolit datový konektor Analýza hrozeb – TAXII v Microsoft Sentinelu.

Přečtěte si další informace o analýze hrozeb v Microsoft Sentinelu a konkrétně o informačních kanálech ANALÝZY hrozeb TAXII, které je možné integrovat s Microsoft Sentinelem.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Viz také: Připojení platformě analýzy hrozeb (TIP) do Microsoft Sentinelu

Požadavky

  • K instalaci, aktualizaci a odstranění samostatného obsahu nebo řešení v centru obsahu potřebujete roli Přispěvatel Služby Microsoft Sentinel na úrovni skupiny prostředků.
  • Abyste mohli ukládat indikátory hrozeb, musíte mít oprávnění ke čtení a zápisu do pracovního prostoru Microsoft Sentinelu.
  • Musíte mít IDENTIFIKÁTOR URI kořenového identifikátoru URI rozhraní API TAXII 2.0 nebo TAXII 2.1.

Získání ID kořenového adresáře a kolekce serveru TAXII

Servery TAXII 2.x inzerují kořeny rozhraní API, což jsou adresy URL, které hostují kolekce analýzy hrozeb. Kořen rozhraní API a ID kolekce obvykle najdete na stránkách dokumentace poskytovatele analýzy hrozeb hostujícího server TAXII.

Poznámka:

V některých případech poskytovatel bude inzerovat pouze adresu URL s názvem Koncový bod zjišťování. Pomocí nástroje cURL můžete procházet koncový bod zjišťování a požadovat kořen rozhraní API.

Instalace řešení Analýza hrozeb v Microsoft Sentinelu

Pokud chcete importovat indikátory hrozeb do Služby Microsoft Sentinel ze serveru TAXII, postupujte takto:

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa obsahu vyberte Centrum obsahu.
    Pro Microsoft Sentinel na portálu Defender vyberte centrum obsahu pro správu>obsahu služby Microsoft Sentinel>.

  2. Vyhledejte a vyberte řešení Analýzy hrozeb .

  3. Vyberte tlačítko Instalovat/Aktualizovat.

Další informace o správě komponent řešení najdete v tématu Zjišťování a nasazení obsahu před nasazením.

Povolení datového konektoru TAXII pro analýzu hrozeb

  1. Pokud chcete nakonfigurovat datový konektor TAXII, vyberte nabídku Datové konektory .

  2. Najděte a vyberte tlačítko Otevřít konektor > Konektor pro analýzu hrozeb – TAXII.

    Snímek obrazovky zobrazující stránku datových konektorů se zobrazeným datovým konektorem TAXII

  3. Zadejte popisný název pro tuto kolekci serverů TAXII, kořenovou adresu URL rozhraní API, ID kolekce, uživatelské jméno (v případě potřeby) a heslo (v případě potřeby) a zvolte skupinu indikátorů a požadovanou frekvenci dotazování. Vyberte tlačítko Přidat.

    Konfigurace serverů TAXII

Měli byste obdržet potvrzení, že připojení k serveru TAXII bylo úspěšně navázáno, a můžete opakovat poslední krok výše tolikrát, kolikrát chcete, abyste se připojili k více kolekcí z jednoho nebo více serverů TAXII.

Během několika minut by se indikátory hrozeb měly začít spouštět do tohoto pracovního prostoru Služby Microsoft Sentinel. Nové indikátory najdete v okně Analýza hrozeb, které jsou přístupné z navigační nabídky Microsoft Sentinelu.

Seznam povolených IP adres pro klienta TAXII služby Microsoft Sentinel

Některé servery TAXII, jako je FS-ISAC, mají požadavek na zachování IP adres klienta TAXII služby Microsoft Sentinel na seznamu povolených. Většina serverů TAXII tento požadavek nemá.

Pokud je to relevantní, jsou tyto IP adresy, které se mají zahrnout do seznamu povolených adres:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Související obsah

V tomto dokumentu jste zjistili, jak připojit Microsoft Sentinel k informačním kanálům analýzy hrozeb pomocí protokolu TAXII. Další informace o Službě Microsoft Sentinel najdete v následujících článcích.