Integración de inteligencia sobre amenazas en Microsoft Sentinel
Microsoft Sentinel proporciona varias maneras diferentes de usar fuentes de inteligencia sobre amenazas para mejorar la capacidad de los analistas de seguridad de detectar y priorizar las amenazas conocidas.
- Use uno de los diversos productos de plataforma de inteligencia sobre amenazas (TIP) integrados disponibles.
- Conéctese a los servidores TAXII para aprovechar cualquier origen de inteligencia sobre amenazas compatible con STIX.
- Conéctese directamente a la fuente Inteligencia contra amenazas de Microsoft Defender.
- Use cualquier solución personalizada que pueda comunicarse directamente con la API de indicadores de carga de inteligencia sobre amenazas.
- También puede conectarse a orígenes de inteligencia sobre amenazas a partir de cuadernos de estrategias, con el fin de enriquecer los incidentes con información de TI que puede ayudar a dirigir acciones de investigación y respuesta.
Sugerencia
Si tiene varias áreas de trabajo en el mismo inquilino, como para los Proveedores de servicios de seguridad administrada (MSSP), puede ser más rentable conectar indicadores de amenazas solo al área de trabajo centralizada.
Si tiene el mismo conjunto de indicadores de amenazas importados en cada área de trabajo independiente, puede ejecutar consultas entre áreas de trabajo para agregar indicadores de amenazas en las áreas de trabajo. Correlaciónelos en la experiencia de detección, investigación y búsqueda de incidentes de MSSP.
Fuentes de inteligencia sobre amenazas TAXII
Para conectarse a las fuentes de inteligencia sobre amenazas TAXII, siga las instrucciones para conectar Microsoft Sentinel a las fuentes de inteligencia sobre amenazas STIX/TAXII, junto con los datos suministrados por cada proveedor. Es posible que tenga que ponerse en contacto directamente con el proveedor para obtener los datos necesarios para usarlos con el conector.
Inteligencia sobre ciberamenazas de Accenture
Cybersixgill Darkfeed
- Obtenga más información sobre la integración de Cybersixgill con Microsoft Sentinel.
- Para conectar Microsoft Sentinel a Cybersixgill TAXII Server y obtener acceso a Darkfeed, póngase en contacto azuresentinel@cybersixgill.com para obtener la raíz de la API, el Id. de recogida, el nombre de usuario y la contraseña.
Intercambio de información sobre amenazas de Cyware (CTIX)
Uno de los componentes de la plataforma de inteligencia sobre amenazas de Cyware, CTIX, es la acción de inteligencia con una fuente TAXII para su SIEM. En el caso de Microsoft Sentinel, siga estas instrucciones:
ESET
- Obtenga información sobre la oferta de inteligencia sobre amenazas de ESET.
- Para conectar Microsoft Sentinel al servidor ESET TAXII, obtenga la URL raíz de la API, el Id. de recopilación, el nombre de usuario y la contraseña de su cuenta de ESET. A continuación, siga las instrucciones generales y el artículo de knowledge base de ESET.
Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC)
- Únase a FS-ISAC para obtener las credenciales para acceder a esta fuente.
Comunidad de intercambio de inteligencia sanitaria (H-ISAC)
- Únase a H-ISAC para obtener las credenciales para acceder a esta fuente.
IBM X-Force
IntSights
- Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
- Para conectar Microsoft Sentinel al servidor TAXII de IntSights, obtenga la raíz de la API, el identificador de colección, el nombre de usuario y la contraseña del portal de IntSights después de configurar una directiva de los datos que desea enviar a Microsoft Sentinel.
Kaspersky
Pulsedive
ReversingLabs
Sectrio
- Obtenga más información sobre la integración de Sectrio.
- Proceso paso a paso para integrar la fuente de TI de Sectrio en Microsoft Sentinel.
SEKOIA.IO
ThreatConnect
- Obtenga más información sobre STIX y TAXII en ThreatConnect.
- Consulte la documentación de TAXII Services en ThreatConnect
Productos de la plataforma de inteligencia sobre amenazas integrada
Para conectarse a las fuentes de Threat Intelligence Platform (TIP), consulte.Conectar plataformas de Threat Intelligence a Microsoft Sentinel. Consulte las siguientes soluciones para saber qué información adicional se necesita.
Agari Phishing Defense y Agari Brand Protection
- Para conectar Agari Phishing Defense y Brand Protection, use el conector de datos de Agari integrado en Microsoft Sentinel.
Anomali ThreatStream
- Para descargar ThreatStream Integrator y sus extensiones, así como las instrucciones para conectar ThreatStream Intelligence a la API de Microsoft Graph Security, consulte la página de descargas de ThreatStream.
AlienVault Open Threat Exchange (OTX) de AT&T Cybersecurity
- AlienVault OTX usa Azure Logic Apps (cuadernos de estrategias) para conectarse a Microsoft Sentinel. Consulte las instrucciones especializadas necesarias para aprovechar al máximo la oferta completa.
Plataforma EclecticIQ
- La plataforma EclecticIQ se integra con Microsoft Sentinel para mejorar la detección y la búsqueda de amenazas, así como la respuesta ante ellas. Obtenga más información sobre las ventajas y los casos de uso de esta integración bidireccional.
GroupIB Threat Intelligence & Attribution
- Para conectar atribución e inteligencia sobre amenazas de GroupIB a Microsoft Sentinel, GroupIB usa Azure Logic Apps. Consulte las instrucciones especializadas necesarias para aprovechar al máximo la oferta completa.
Plataforma de inteligencia sobre amenazas de código abierto de MISP
- Inserte indicadores de amenazas de MISP en Microsoft Sentinel mediante la API de indicadores de carga de TI con MISP2Sentinel.
- Aquí está el vínculo DEL Azure MarketplaceMISP2Sentinel.
- Obtenga más información sobre el proyecto MISP.
Palo Alto Networks MineMeld
- Para configurar Palo Alto MineMeld con la información de conexión a Microsoft Sentinel, consulte el artículo sobre el envío de indicadores de riesgo a la API de seguridad de Microsoft Graph mediante MineMeld y vaya directamente al encabezado de configuración de MineMeId.
Plataforma de inteligencia de seguridad Recorded Future
- Recorded Future usa Azure Logic Apps (cuadernos de estrategias) para conectarse a Microsoft Sentinel. Consulte las instrucciones especializadas necesarias para aprovechar al máximo la oferta completa.
Plataforma ThreatConnect
- Consulte la guía de configuración de integración de indicadores de amenazas de seguridad de Microsoft Graph para obtener instrucciones para conectar ThreatConnect a Microsoft Sentinel.
Plataforma de inteligencia sobre amenazas ThreatQ
- Consulte el artículo sobre la integración de Microsoft Sentinel Connector para ThreatQ para obtener información de soporte técnico e instrucciones para conectar ThreatQuotient TIP a Microsoft Sentinel.
Orígenes de enriquecimiento de incidentes
Además de usarse para importar indicadores de amenazas, las fuentes de inteligencia sobre amenazas también pueden servir como origen para enriquecer la información de los incidentes y proporcionar más contexto para las investigaciones. Las fuentes siguientes sirven para este propósito y proporcionan cuadernos de estrategias de aplicación lógica para usarlos en la respuesta a incidentes automatizada. Busque estos orígenes de enriquecimiento en el Centro de contenido.
Para obtener más información sobre cómo buscar y administrar las soluciones, consulte Detección e implementación de contenido de fábrica.
HYAS Insight
- Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de HYAS Insight en el repositorio de GitHub de Microsoft Sentinel. Buscar subcarpetas que empiecen por
Enrich-Sentinel-Incident-HYAS-Insight-
. - Consulte la documentación del conector de aplicaciones lógicas de HYAS Insight.
Inteligencia contra amenazas de Microsoft Defender
- Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de Inteligencia sobre amenazas de Microsoft Defender en el Repositorio de GitHub de Microsoft Sentinel.
- Consulte la entrada de blog MDTI Tech Community para obtener más información.
Plataforma de inteligencia de seguridad Recorded Future
- Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de Recorded Future en el repositorio de GitHub de Microsoft Sentinel. Buscar subcarpetas que empiecen por
RecordedFuture_
. - Consulte la documentación del conector de aplicaciones lógicas de Recorded Future.
ReversingLabs TitaniumCloud
- Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de ReversingLabs en el repositorio de GitHub de Microsoft Sentinel.
- Vea la documentación del conector ReversingLabs TitaniumCloud Logic App.
RiskIQ PassiveTotal
- Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de RiskIQ Passive Total en el repositorio de GitHub de Microsoft Sentinel.
- Consulte más información sobre cómo trabajar con cuadernos de estrategias de RiskIQ.
- Consulte la documentación del conector de aplicaciones lógicas de RiskIQ PassiveTotal.
VirusTotal
- Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de VirusTotal en el repositorio de GitHub de Microsoft Sentinel. Buscar subcarpetas que empiecen por
Get-VTURL
. - Consulte la documentación del conector de aplicaciones lógicas de VirusTotal.
Pasos siguientes
En este documento, ha aprendido a conectar su proveedor de inteligencia sobre amenazas a Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos.