Integrace analýzy hrozeb ve službě Microsoft Sentinel
Microsoft Sentinel nabízí několik různých způsobů použití informačních kanálů analýzy hrozeb k vylepšení schopnosti analytiků zabezpečení zjišťovat a určovat prioritu známých hrozeb.
- Použijte jeden z mnoha dostupných produktů pro integrovanou platformu analýzy hrozeb (TIP).
- Připojení servery TAXII, aby využívaly jakýkoli zdroj analýzy hrozeb kompatibilní s STIX.
- Připojení přímo do informačního kanálu Analýza hrozeb v programu Microsoft Defender.
- Využijte všechna vlastní řešení, která můžou komunikovat přímo s rozhraním API indikátorů nahrávání analýzy hrozeb.
- Můžete se také připojit ke zdrojům analýzy hrozeb z playbooků, abyste mohli rozšířit incidenty o informace TI, které můžou pomoct přímému vyšetřování a reakcím.
Tip
Pokud máte ve stejném tenantovi více pracovních prostorů, například pro poskytovatele spravovaných služeb zabezpečení (MSSP), může být cenově výhodnější připojit indikátory hrozeb pouze k centralizovaným pracovnímu prostoru.
Pokud máte stejnou sadu indikátorů hrozeb importovaných do každého samostatného pracovního prostoru, můžete spouštět dotazy mezi pracovními prostory, které agregují indikátory hrozeb napříč pracovními prostory. Korelujte je v rámci vašeho prostředí pro zjišťování, vyšetřování a proaktivní vyhledávání incidentů MSSP.
Informační kanály analýzy hrozeb TAXII
Pokud se chcete připojit k informačním kanálům analýzy hrozeb TAXII, připojte Microsoft Sentinel k informačním kanálům analýzy hrozeb STIX/TAXII spolu s daty poskytnutými jednotlivými dodavateli. Možná budete muset kontaktovat dodavatele přímo, abyste získali potřebná data pro použití s konektorem.
Accenture Cyber Threat Intelligence
Cybersixgill Darkfeed
- Přečtěte si o integraci Cybersixgill s Microsoft Sentinelem.
- Pokud chcete Microsoft Sentinel připojit k serveru Cybersixgill TAXII a získat přístup k darkfeed, obraťte azuresentinel@cybersixgill.com se na získání kořenového adresáře rozhraní API, ID kolekce, uživatelského jména a hesla.
Cyware Threat Intelligence eXchange (CTIX)
Jednou z komponent platformy Cyware pro analýzu hrozeb, CTIX, je akce s informačním kanálem TAXII pro váš SIEM. V případě Microsoft Sentinelu postupujte podle těchto pokynů:
ESET
- Seznamte se s nabídkou analýzy hrozeb společnosti ESET.
- Pokud chcete microsoft Sentinel připojit k serveru ESET TAXII, získejte ze svého účtu ESET kořenovou adresu URL rozhraní API, ID kolekce, uživatelské jméno a heslo. Pak postupujte podle obecných pokynů a článku společnosti ESET znalostní báze.
Centrum pro sdílení a analýzu informací o finančních službách (FS-ISAC)
- Připojte se k FS-ISAC a získejte přihlašovací údaje pro přístup k tomuto informačnímu kanálu.
Komunita sdílení informací o stavu (H-ISAC)
- Připojte se k H-ISAC a získejte přihlašovací údaje pro přístup k tomuto informačnímu kanálu.
IBM X-Force
- Přečtěte si další informace o integraci IBM X-Force.
IntSights
- Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
- Pokud chcete Microsoft Sentinel připojit k serveru IntSights TAXII, získejte kořen rozhraní API, ID kolekce, uživatelské jméno a heslo z portálu IntSights po konfiguraci zásad dat, která chcete odeslat do Služby Microsoft Sentinel.
Kaspersky
Pulsedive
ReversingLabs
Sectrio
- Přečtěte si další informace o integraci Sectrio.
- Podrobný postup integrace informačního kanálu TI od Sectrio do Microsoft Sentinelu
SEKOIA. IO
ThreatConnect
- Přečtěte si další informace o STIX a TAXII na platformě Threat Připojení.
- Viz dokumentace ke službám TAXII na webu Threat Připojení
Integrované produkty platformy analýzy hrozeb
Pokud se chcete připojit k informačním kanálům TIP (Threat Intelligence Platform), podívejte se na odkazy na platformy Analýzy hrozeb k Microsoft Sentinelu. Informace o tom, jaké další informace jsou potřeba, najdete v následujících řešeních.
Agari Phishing Defense a Brand Protection
- Pokud chcete připojit Agari Phishing Defense a Brand Protection, použijte integrovaný datový konektor Agari v Microsoft Sentinelu.
Anomálie ThreatStream
- Pokud chcete stáhnout integrátor ThreatStream a rozšíření a pokyny pro připojení analýzy ThreatStream k Rozhraní API pro zabezpečení Microsoft Graphu, podívejte se na stránku pro stahování ThreatStream.
AlienVault Open Threat Exchange (OTX) od AT&T Cybersecurity
- AlienVault OTX využívá Azure Logic Apps (playbooky) k připojení k Microsoft Sentinelu. Podívejte se na specializované pokyny potřebné k tomu, abyste plně využili kompletní nabídky.
EclecticIQ Platform
- Platforma EclecticIQ se integruje se službou Microsoft Sentinel za účelem zvýšení detekce hrozeb, proaktivního vyhledávání a reakce. Přečtěte si další informace o výhodách a případech použití této obousměrné integrace.
GroupIB Threat Intelligence and Attribution
- K propojení analýzy hrozeb GroupIB a přiřazení k Microsoft Sentinelu využívá GroupIB Azure Logic Apps. Podívejte se na specializované pokyny potřebné k tomu, abyste plně využili kompletní nabídky.
Platforma MISP Open Source Threat Intelligence
- Nasdílení indikátorů hrozeb z MISP do Microsoft Sentinelu pomocí rozhraní API indikátorů nahrání TI s MISP2Sentinel.
- Tady je odkaz na Azure Marketplace pro MISP2Sentinel.
- Přečtěte si další informace o projektu MISP.
Palo Alto Networks MineMeld
- Pokud chcete nakonfigurovat Palo Alto MineMeld s informacemi o připojení ke službě Microsoft Sentinel, přečtěte si téma Odesílání vstupně-výstupních operací do služby Microsoft Graph Rozhraní API pro zabezpečení pomocí MineMeldu a přeskočte na nadpis Konfigurace MineMeld.
Zaznamenání budoucí platformy Security Intelligence
- Funkce Recorded Future využívá Azure Logic Apps (playbooky) k připojení k Microsoft Sentinelu. Podívejte se na specializované pokyny potřebné k tomu, abyste plně využili kompletní nabídky.
Hrozba Připojení Platform
- Pokyny pro připojení Připojení hrozeb k Microsoft Sentinelu najdete v průvodci konfigurací indikátorů hrozeb v Microsoft Graphu.
ThreatQuotient Threat Intelligence Platform
- Informace o podpoře a pokyny pro připojení tipu ThreatQuotient k Microsoft Sentinelu najdete v Připojení oru Microsoft Sentinelu pro integraci ThreatQ.
Zdroje rozšiřování incidentů
Kromě toho, že se používají k importu indikátorů hrozeb, můžou informační kanály analýzy hrozeb sloužit také jako zdroj k obohacení informací ve vašich incidentech a poskytnutí dalšího kontextu pro vyšetřování. Následující informační kanály slouží k tomuto účelu a poskytují playbooky aplikace logiky, které se použijí v automatizované reakci na incidenty. Tyto zdroje rozšiřování najdete v centru obsahu.
Další informace o tom, jak najít a spravovat řešení, najdete v tématu Zjišťování a nasazení obsahu před nasazením.
HYAS Insight
- Vyhledejte a povolte playbooky pro rozšiřování incidentů pro přehled HYAS v úložišti GitHub pro Microsoft Sentinel. Vyhledejte podsložky začínající na
Enrich-Sentinel-Incident-HYAS-Insight-
. - Viz dokumentace ke konektoru logic appu HYAS Insight.
Microsoft Defender Analýza hrozeb
- Vyhledejte a povolte playbooky pro rozšiřování incidentů pro Analýza hrozeb v programu Microsoft Defender v úložišti Microsoft Sentinel Na GitHubu.
- Další informace najdete v blogovém příspěvku technické komunity MDTI.
Zaznamenání budoucí platformy Security Intelligence
- Vyhledejte a povolte playbooky pro rozšiřování incidentů v úložišti Microsoft Sentinel Na GitHubu pro zaznamenané budoucnost. Vyhledejte podsložky začínající na
RecordedFuture_
. - Viz dokumentace ke konektoru Zaznamenané budoucí aplikace logiky.
ReversingLabs TitaniumCloud
- Vyhledejte a povolte playbooky pro rozšiřování incidentů pro ReversingLabs v úložišti Microsoft Sentinel Na GitHubu.
- Viz dokumentace k konektoru ReversingLabs TitanumCloud Logic App.
RiskIQ Passive Total
- V úložišti Microsoft Sentinel Na GitHubu vyhledejte a povolte playbooky pro rozšiřování incidentů pro riskIQ Passive Total.
- Podívejte se na další informace o práci s playbooky RiskIQ.
- Viz dokumentace ke konektoru Aplikace logiky RiskIQ PassiveTotal.
Virus Total
- V úložišti Microsoft Sentinel Na GitHubu vyhledejte a povolte playbooky pro rozšiřování incidentů pro virus Total. Vyhledejte podsložky začínající na
Get-VTURL
. - Viz dokumentace ke konektoru Virus Total Logic App.
Další kroky
V tomto dokumentu jste zjistili, jak propojit poskytovatele analýzy hrozeb s Microsoft Sentinelem. Další informace o Službě Microsoft Sentinel najdete v následujících článcích.
- Zjistěte, jak získat přehled o datech a potenciálních hrozbách.
- Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel.