Threat Intelligence-Integration in Microsoft Sentinel

Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel bietet Ihnen einige Möglichkeiten, Threat Intelligence-Feeds zu verwenden, um die Fähigkeit Ihrer Sicherheitsanalysten zu verbessern, bekannte Bedrohungen zu erkennen und zu priorisieren:

Verwenden Sie eines von vielen verfügbaren Produkten der integrierten Threat Intelligence-Plattform (TIP).
Stellen Sie eine Verbindung mit TAXII-Servern her, um jede STIX-kompatible Threat Intelligence-Quelle zu nutzen.
Stellen Sie eine direkte Verbindung mit dem Microsoft Defender Threat Intelligence-Feed her.
Verwenden Sie alle benutzerdefinierten Lösungen, die direkt mit der Api für Uploadindikatoren für Threat Intelligence kommunizieren können.
Stellen Sie eine Verbindung mit Threat Intelligence-Quellen aus Playbooks her, um Incidents mit Threat Intelligence-Informationen anzureichern, die direkte Untersuchungs- und Reaktionsaktionen unterstützen können.

Tipp

Wenn Sie mehrere Arbeitsbereiche im selben Mandanten haben, z. B. für Managed Security Service Providers (MSSPs), ist es möglicherweise kostengünstiger, Bedrohungsindikatoren nur mit dem zentralen Arbeitsbereich zu verbinden.

Wenn Sie denselben Satz von Bedrohungsindikatoren in jeden separaten Arbeitsbereich importiert haben, können Sie arbeitsbereichsübergreifende Abfragen ausführen, um Bedrohungsindikatoren in Ihren Arbeitsbereichen zu aggregieren. Korrelieren Sie sie in Ihrer MSSP-Erfahrung zur Erkennung, Untersuchung und Suche von Vorfällen.

TAXII Threat Intelligence-Feeds

Um eine Verbindung mit TAXII Threat Intelligence-Feeds herzustellen, befolgen Sie die Anweisungen, um Microsoft Sentinel mit STIX/TAXII Threat Intelligence-Feeds zusammen mit den von den einzelnen Anbietern bereitgestellten Daten zu verbinden. Möglicherweise müssen Sie sich direkt an den Anbieter wenden, um die erforderlichen Daten für die Verwendung mit dem Connector zu erhalten.

Akzente für Cyber Threat Intelligence

Erfahren Sie mehr über die Integration von Accenture Cyber Threat Intelligence (CTI) mit Microsoft Sentinel.

Cybersixgill Darkfeed

Erfahren Sie mehr über die Cybersixgill-Integration mit Microsoft Sentinel.
Verbinden Sie Microsoft Sentinel mit dem Cybersixgill TAXII-Server, und erhalten Sie Zugriff auf Darkfeed. Kontakt azuresentinel@cybersixgill.com , um den API-Stamm, die Sammlungs-ID, den Benutzernamen und das Kennwort abzurufen.

Cyware Threat Intelligence Exchange (CTIX)

Eine Komponente von Cywares TIP, CTIX, besteht darin, Intel mit einem TAXII-Feed für Ihre Sicherheitsinformations- und Ereignisverwaltung umsetzbar zu machen. Befolgen Sie für Microsoft Sentinel die anweisungen hier:

Erfahren Sie, wie Sie die Integration in Microsoft Sentinel

ESET

Erfahren Sie mehr über das Threat Intelligence-Angebot von ESET.
Verbinden Sie Microsoft Sentinel mit dem ESET TAXII-Server. Rufen Sie die API-Stamm-URL, die Sammlungs-ID, den Benutzernamen und das Kennwort aus Ihrem ESET-Konto ab. Befolgen Sie dann die allgemeinen Anweisungen und den Wissensdatenbank Artikel von ESET.

Treten Sie FS-ISAC bei, um die Anmeldeinformationen für den Zugriff auf diesen Feed zu erhalten.

Treten Sie dem H-ISAC bei, um die Anmeldeinformationen für den Zugriff auf diesen Feed zu erhalten.

IBM X-Force

Erfahren Sie mehr über die IBM X-Force-Integration.

IntSights

Erfahren Sie mehr über die IntSights-Integration mit Microsoft Sentinel.
Stellen Sie Microsoft Sentinel mit dem IntSights TAXII-Server her. Rufen Sie den API-Stamm, die Sammlungs-ID, den Benutzernamen und das Kennwort aus dem IntSights-Portal ab, nachdem Sie eine Richtlinie der Daten konfiguriert haben, die Sie an Microsoft Sentinel senden möchten.

Produkte der integrierten Threat Intelligence-Plattform

Informationen zum Herstellen einer Verbindung mit TIP-Feeds finden Sie unter Verbinden von Threat Intelligence-Plattformen mit Microsoft Sentinel. Sehen Sie sich die folgenden Lösungen an, um zu erfahren, welche weiteren Informationen erforderlich sind.

Agari Phishing Defense und Markenschutz

Verwenden Sie zum Verbinden von Agari Phishing Defense und Brand Protection den integrierten Agari-Datenconnector in Microsoft Sentinel.

Anomali ThreatStream

Informationen zum Herunterladen von ThreatStream Integrator und Erweiterungen sowie die Anweisungen zum Verbinden von ThreatStream Intelligence mit dem Microsoft Graph-Sicherheits-API finden Sie auf der ThreatStream-Downloadseite.

AlienVault Open Threat Exchange (OTX) von AT&T Cybersecurity

Erfahren Sie, wie AlienVault OTX Azure Logic Apps (Playbooks) verwendet, um eine Verbindung mit Microsoft Sentinel herzustellen. Sehen Sie sich die speziellen Anweisungen an, die erforderlich sind, um das vollständige Angebot in vollem Umfang nutzen zu können.

EclecticIQ-Plattform

EclecticIQ Platform lässt sich in Microsoft Sentinel integrieren, um die Erkennung, Suche und Reaktion auf Bedrohungen zu verbessern. Erfahren Sie mehr über die Vorteile und Anwendungsfälle dieser bidirektionalen Integration.

Filigran OpenCTI

Filigran OpenCTI kann Threat Intelligence an Microsoft Sentinel senden, entweder über einen dedizierten Connector, der in Echtzeit ausgeführt wird, oder indem er als TAXII 2.1-Server fungiert, der Sentinel regelmäßig abruft. Sie kann auch strukturierte Incidents von Sentinel über den Microsoft Sentinel Incident-Connector empfangen.

GroupIB Threat Intelligence und Attribution

Um GroupIB Threat Intelligence und Attribution mit Microsoft Sentinel zu verbinden, verwendet GroupIB Logic Apps. Sehen Sie sich die speziellen Anweisungen an, die erforderlich sind, um das vollständige Angebot in vollem Umfang nutzen zu können.

MISP-Open-Source-Threat Intelligence-Plattform

Pushen Sie Bedrohungsindikatoren von MISP an Microsoft Sentinel, indem Sie die Threat Intelligence-API zum Hochladen von Indikatoren mit MISP2Sentinel verwenden.
Weitere Informationen finden Sie unter MISP2Sentinel im Azure Marketplace.
Erfahren Sie mehr über das MISP-Projekt.

Palo Alto Networks MineMeld

Informationen zum Konfigurieren von Palo Alto MineMeld mit den Verbindungsinformationen zu Microsoft Sentinel finden Sie unter Senden von IOCs an die Microsoft Graph-Sicherheits-API mit MineMeld. Wechseln Sie zur Überschrift "MineMeld-Konfiguration".

Recorded Future Security Intelligence-Plattform

Erfahren Sie, wie Recorded Future Logic Apps (Playbooks) verwendet, um eine Verbindung mit Microsoft Sentinel herzustellen. Sehen Sie sich die speziellen Anweisungen an, die erforderlich sind, um das vollständige Angebot in vollem Umfang nutzen zu können.

ThreatConnect-Plattform

Anweisungen zum Verbinden von ThreatConnect mit Microsoft Sentinel finden Sie im Microsoft Graph Security Threat Indicators Integrationshandbuch.

ThreatQuotient Threat Intelligence-Plattform

Supportinformationen und Anweisungen zum Verbinden von ThreatQuotient TIP mit Microsoft Sentinel finden Sie unter Microsoft Sentinel Connector für die ThreatQ-Integration.

Incidentanreicherungsquellen

Neben dem Importieren von Bedrohungsindikatoren können Threat Intelligence-Feeds auch als Quelle dienen, um die Informationen in Ihren Vorfällen anzureichern und Ihren Untersuchungen mehr Kontext zu bieten. Die folgenden Feeds dienen diesem Zweck und stellen Logic Apps-Playbooks bereit, die sie in Ihrer automatisierten Reaktion auf Vorfälle verwenden können. Suchen Sie diese Anreicherungsquellen im Inhaltshub.

Weitere Informationen zum Suchen und Verwalten der Lösungen finden Sie unter Ermitteln und Bereitstellen von sofort einsatzbereiten Inhalten.

HYAS Insight

Suchen und aktivieren Sie Playbooks zur Incidentanreicherung für HYAS Insight im Microsoft Sentinel GitHub-Repository. Suchen Sie nach Unterordnern, die mit Enrich-Sentinel-Incident-HYAS-Insight-beginnen.
Weitere Informationen finden Sie in der Dokumentation zum HYAS Insight Logic Apps-Connector.

Microsoft Defender Threat Intelligence

Suchen und aktivieren Sie Playbooks zur Incidentanreicherung für Microsoft Defender Threat Intelligence im Microsoft Sentinel GitHub-Repository.
Weitere Informationen finden Sie im Blogbeitrag der Defender Threat Intelligence Tech Community .

Aufgezeichnete zukünftige Security Intelligence-Plattform

Suchen und aktivieren Sie Playbooks zur Anreicherung von Vorfällen für aufgezeichnete Zukunft im Microsoft Sentinel GitHub-Repository. Suchen Sie nach Unterordnern, die mit RecordedFuture_beginnen.
Weitere Informationen finden Sie in der Dokumentation zum Recorded Future Logic Apps-Connector.

ReversingLabs TitaniumCloud

Suchen und aktivieren Sie Playbooks zur Incidentanreicherung für ReversingLabs im Microsoft Sentinel GitHub-Repository.
Weitere Informationen finden Sie in der Dokumentation zum ReversingLabs TitaniumCloud Logic Apps-Connector.

RiskIQ PassiveTotal

Suchen und aktivieren Sie die Incidentanreicherungsplaybooks für RiskIQ Passive Total im Microsoft Sentinel GitHub-Repository.
Weitere Informationen zum Arbeiten mit RiskIQ-Playbooks finden Sie hier.
Weitere Informationen finden Sie in der Dokumentation zum RiskIQ PassiveTotal Logic Apps-Connector.

Virustotal

Suchen und aktivieren Sie Playbooks zur Incidentanreicherung für VirusTotal im Microsoft Sentinel GitHub-Repository. Suchen Sie nach Unterordnern, die mit Get-VTURLbeginnen.
Weitere Informationen finden Sie in der Dokumentation zum VirusTotal Logic Apps-Connector.

In diesem Artikel haben Sie erfahren, wie Sie Ihren Threat Intelligence-Anbieter mit Microsoft Sentinel verbinden. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
Erste Schritte beim Erkennen von Bedrohungen mit Microsoft Sentinel.

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-23