Integration von Bedrohungsdaten in Microsoft Sentinel

• Gilt für::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel bietet Ihnen verschiedene Möglichkeiten, Bedrohungsdaten-Feeds zu nutzen, um die Fähigkeit Ihrer Sicherheitsanalysten zu verbessern, bekannte Bedrohungen zu erkennen und zu priorisieren.

• Verwenden Sie eines von vielen verfügbaren Produkten der Threat Intelligence-Plattform (TIP).
• Stellen Sie eine Verbindung mit TAXII-Servern her, um von STIX-kompatiblen Threat Intelligence-Quellen zu profitieren.
• Stellen Sie eine direkte Verbindung mit dem Microsoft Defender Threat Intelligence-Feed her.
• Verwenden Sie alle benutzerdefinierten Lösungen, die direkt mit der Threat Intelligence Upload Indicators-API kommunizieren können.
• Sie können auch über Playbooks eine Verbindung mit Threat Intelligence-Quellen herstellen, um Incidents mit TI-Informationen anzureichern, die direkte Untersuchungs- und Antwortaktionen unterstützen können.

Tipp

Wenn Sie über mehrere Arbeitsbereiche im selben Mandanten verfügen, z. B. für Managed Security Service Providers (MSSPs), kann es kostengünstiger sein, Bedrohungsindikatoren nur mit dem zentralisierten Arbeitsbereich zu verbinden.

Wenn Sie in jeden separaten Arbeitsbereich denselben Satz von Bedrohungsindikatoren importiert haben, können Sie arbeitsbereichsübergreifende Abfragen ausführen, um Bedrohungsindikatoren in Ihren Arbeitsbereichen zu aggregieren. Korrelieren Sie sie innerhalb Ihrer MSSP-Incidenterkennung, -untersuchung und -suche.

TAXII-Threat Intelligence-Feeds

Um eine Verbindung zu TAXII-Bedrohungsdaten-Feeds herzustellen, befolgen Sie die Anweisungen zur Verbindung von Microsoft Sentinel mit STIX/TAXII-Bedrohungsdaten-Feeds, zusammen mit den Daten, die von den Anbietern bereitgestellt werden. Möglicherweise müssen Sie sich direkt an den Anbieter wenden, um die erforderlichen Daten für die Verwendung mit dem Connector zu erhalten.

Accenture Cyber Threat Intelligence

• Erfahren Sie mehr über die Integration von Accenture Cyber Threat Intelligence (CTI) in Microsoft Sentinel.

Cybersixgill Darkfeed

• Erfahren Sie mehr über die Integration von Cybersixgill mit Microsoft Sentinel .
• Um Microsoft Sentinel mit dem Cybersixgill TAXII Server zu verbinden und Zugang zu Darkfeed zu erhalten, kontaktieren Sie azuresentinel@cybersixgill.com, um API Root, Collection ID, Benutzername und Passwort zu erhalten.

ESET

• Erfahren Sie mehr über das Angebot an Bedrohungserkennungen von ESET.
• Um Microsoft Sentinel mit dem ESET TAXII-Server zu verbinden, rufen Sie die API-Stamm-URL, die Sammlungs-ID, den Benutzernamen und das Kennwort von Ihrem ESET-Konto ab. Folgen Sie dann den allgemeinen Anweisungen und dem Knowledge Base-Artikel zu ESET.

Financial Services Information Sharing and Analysis Center (FS-ISAC)

• Treten Sie FS-ISAC bei, um die Anmeldeinformationen für den Zugriff auf diesen Feed zu erhalten.

Health Intelligence Sharing Community (H-ISAC)

• Treten Sie H-ISAC bei, um die Anmeldeinformationen für den Zugriff auf diesen Feed zu erhalten.

IBM X-Force

• Weitere Informationen zur IBM X-Force-Integration.

IntSights

• Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
• Um Microsoft Sentinel mit dem IntSights TAXII Server zu verbinden, erhalten Sie API Root, Collection ID, Benutzername und Passwort vom IntSights Portal, nachdem Sie eine Richtlinie für die Daten konfiguriert haben, die Sie an Microsoft Sentinel senden möchten.

Kaspersky

• Erfahren Sie mehr über die Integration von Kaspersky mit Microsoft Sentinel.

Pulsedive

• Erfahren Sie mehr über die Integration von Pulsedive mit Microsoft Sentinel .

ReversingLabs

• Erfahren Sie mehr über die TAXII-Integration von ReversingLabs mit Microsoft Sentinel.

Sectrio

• Weitere Informationen zur Sectrio-Integration.
• Schrittweiser Prozess zum Integrieren des TI-Feeds von Sectrio in Microsoft Sentinel.

SEKOIA.IO

• Erfahren Sie mehr über die Integration von SEKOIA.IO mit Microsoft Sentinel .

ThreatConnect

• Erfahren Sie mehr über STIX und TAXII bei ThreatConnect.
• Siehe TAXII Services-Dokumentation bei ThreatConnect

Produkte der integrierten Threat Intelligence Platform

Informationen zum Herstellen einer Verbindung mit TIP-Feeds (Threat Intelligence Platform) finden Sie unter Verbinden von Threat Intelligence-Plattformen mit Microsoft Sentinel. In den folgenden Lösungen erfahren Sie, welche zusätzlichen Informationen erforderlich sind.

Agari Phishing Defense und Brand Protection

• Um Agari Phishing Defense and Brand Protection zu verbinden, verwenden Sie den integrierten Agari-Datenkonnektor in Microsoft Sentinel.

Anomali ThreatStream

• Auf der Seite für ThreatStream-Downloads können Sie ThreatStream Integrator und Erweiterungen herunterladen. Außerdem finden Sie dort Anweisungen dazu, wie Sie ThreatStream-Daten mit der Microsoft Graph-Sicherheits-API verbinden.

AlienVault Open Threat Exchange (OTX) von AT&T Cybersecurity

• AlienVault OTX nutzt Azure Logic Apps (Playbooks) für die Verbindung mit Microsoft Sentinel. Sehen Sie sich die speziellen Anweisungen an, die erforderlich sind, um das gesamte Angebot in vollem Umfang zu nutzen.

EclecticIQ Platform

• Die EclecticIQ-Plattform lässt sich in Microsoft Sentinel integrieren, um die Erkennung, Verfolgung und Reaktion auf Bedrohungen zu verbessern. Erfahren Sie mehr über die Vorteile und Anwendungsfälle dieser bidirektionalen Integration.

GroupIB Threat Intelligence and Attribution

• Für die Verbindung von GroupIB Threat Intelligence und Attribution mit Microsoft Sentinel nutzt GroupIB Azure Logic Apps. Sehen Sie sich die speziellen Anweisungen an, die erforderlich sind, um das gesamte Angebot in vollem Umfang zu nutzen.

MISP-Open-Source-Threat Intelligence Platform

• Pushen Sie Bedrohungsindikatoren aus MISP mithilfe von MISP2Sentinel über die TI-API zum Hochladen von Indikatoren an Microsoft Sentinel.
• Hier ist der Azure Marketplace-Link für MISP2Sentinel.
• Erfahren Sie mehr über das MISP-Projekt.

Palo Alto Networks MineMeld

• Um Palo Alto MineMeld mit den Verbindungsinformationen zu Microsoft Sentinel zu konfigurieren, siehe Senden von IOCs an die Microsoft Graph Security API mit MineMeld und springen Sie zur Überschrift MineMeld Konfiguration.

Recorded Future Security Intelligence Platform

• Recorded Future nutzt Azure Logic Apps (Playbooks) für die Verbindung mit Microsoft Sentinel. Sehen Sie sich die speziellen Anweisungen an, die erforderlich sind, um das gesamte Angebot in vollem Umfang zu nutzen.

ThreatConnect-Plattform

• Anweisungen zur Verbindung von ThreatConnect mit Microsoft Sentinel finden Sie im Konfigurationshandbuch Microsoft Graph Security Threat Indicators Integration.

ThreatQuotient Threat Intelligence Platform

• Unter Microsoft Sentinel Connector für die ThreatQ-Integration finden Sie Support-Informationen und Anweisungen zur Verbindung von ThreatQuotient TIP mit Microsoft Sentinel.

Quellen für die Incidentanreicherung

Neben dem Import von Bedrohungsindikatoren können Threat-Intelligence-Feeds auch als Quelle zur Anreicherung der Informationen in Ihren Incidents verwendet werden und Ihren Untersuchungen mehr Kontext verleihen. Die folgenden Feeds dienen diesem Zweck und stellen Azure Logic Apps-Playbooks zur Verwendung in Ihrer automatisierten Reaktion auf Incidents zur Verfügung. Suchen Sie diese Anreicherungsquellen im Inhaltshub.

Weitere Informationen zum Suchen und Verwalten der Lösungen finden Sie unter Ermitteln und Bereitstellen von vorkonfigurierten Inhalten.

HYAS Insight

• Finden und aktivieren Sie Incident Enrichment Playbooks für HYAS Insight im Microsoft Sentinel GitHub Repository. Suchen Sie nach Unterordnern, die mit Enrich-Sentinel-Incident-HYAS-Insight- beginnen.
• Weitere Informationen finden Sie in der Dokumentation zum HYAS Insight Logic App-Connector.

Microsoft Defender Threat Intelligence

• Suchen und aktivieren Sie Playbooks für Vorfallsanreicherungen für Microsoft Defender Threat Intelligence im Microsoft Sentinel GitHub Repository.
• Weitere Informationen finden Sie im Blogbeitrag der MDTI Tech Community.

Recorded Future Security Intelligence Platform

• Suchen und aktivieren Sie Incident Enrichment Playbooks für Recorded Future im Microsoft Sentinel GitHub Repository. Suchen Sie nach Unterordnern, die mit RecordedFuture_ beginnen.
• Weitere Informationen finden Sie in der Dokumentation zum Recorded Future Logic App-Connector.

ReversingLabs TitaniumCloud

• Suchen Sie im Microsoft Sentinel GitHub-Repository nach Playbooks zur Anreicherung von Vorfällen für ReversingLabs und aktivieren Sie sie.
• Weitere Informationen finden Sie in der Dokumentation zum Logik-App-Connector von ReversingLabs TitaniumCloud.

RiskIQ Passive Total

• Suchen und aktivieren Sie Playbooks zur Anreicherung von Vorfällen für RiskIQ Passive Total im Microsoft Sentinel GitHub-Repository.
• Weitere Informationen zum Arbeiten mit RiskIQ-Playbooks finden Sie hier.
• Weitere Informationen finden Sie in der Dokumentation zum RiskIQ PassiveTotal Logic App-Connector.

Virus Total

• Suchen und aktivieren Sie Playbooks zur Anreicherung von Vorfällen für Virus Total im Microsoft Sentinel GitHub-Repository. Suchen Sie nach Unterordnern, die mit Get-VTURL beginnen.
• Weitere Informationen finden Sie in der Dokumentation zum Virus Total Logic App-Connector.

Nächste Schritte

In diesem Dokument haben Sie gelernt, wie Sie Ihren Threat Intelligence Provider mit Microsoft Sentinel verbinden. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln.

• Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
• Beginnen Sie mit Erkennung von Bedrohungen mithilfe von Microsoft Sentinel.