Conexión de Microsoft Sentinel a las fuentes de inteligencia sobre amenazas STIX/TAXII

  • Artículo
  • Se aplica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

El estándar del sector más ampliamente adoptado para la transmisión de la inteligencia sobre amenazas es una combinación del formato de datos STIX y el protocolo TAXII. Si su organización recibe indicadores de amenazas de soluciones que admiten la versión actual de STIX/TAXII (2.0 o 2.1), puede usar el conector de datos Inteligencia sobre amenazas: TAXII para incorporar sus indicadores de amenazas a Microsoft Sentinel. Este conector habilita un cliente de TAXII integrado en Microsoft Sentinel para importar inteligencia sobre amenazas desde servidores TAXII 2.x.

Ruta de acceso de importación de TAXII

Para importar indicadores de amenazas con formato STIX a Microsoft Sentinel desde un servidor TAXII, debe obtener la raíz de API del servidor TAXII y el identificador de colección y, a continuación, habilitar el conector de datos Inteligencia sobre amenazas:TAXII en Microsoft Sentinel.

Obtenga más información sobre la inteligencia sobre amenazas en Microsoft Sentinel y específicamente sobre las fuentes de inteligencia sobre amenazas TAXII que se pueden integrar con Microsoft Sentinel.

Nota:

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Consulte también: Conexión de su plataforma de inteligencia sobre amenazas (TIP) a Microsoft Sentinel

Requisitos previos

  • Para instalar, actualizar y eliminar soluciones o contenido independiente en el centro de contenidos, se necesita el rol de Colaborador de Microsoft Sentinel en el nivel de grupo de recursos.
  • Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel para almacenar los indicadores de amenazas.
  • Debe tener un URI raíz de API y un Id. de colección de TAXII 2.0 o TAXII 2.1.

Obtenga el Id. de colección y la raíz de API del servidor TAXII.

Los servidores TAXII 2.x anuncian raíces de API, que son direcciones URL que hospedan colecciones de inteligencia sobre amenazas. Normalmente puede encontrar la raíz de API y el Id. de colección en las páginas de documentación del proveedor de inteligencia sobre amenazas que hospeda el servidor TAXII.

Nota

En algunos casos, el proveedor solo publicitará una dirección URL, denominada punto de conexión de detección. Puede usar la utilidad cURL para examinar el punto de conexión de detección y solicitar la raíz de API.

Instalación de la solución de inteligencia sobre amenazas en Microsoft Sentinel

Para importar indicadores de amenazas en Microsoft Sentinel desde un servidor TAXII, siga estos pasos:

  1. Para Microsoft Sentinel en Azure Portal, en Administración de contenido, seleccione Centro de contenido.
    Para Microsoft Sentinel en Portal Defender, seleccione Microsoft Sentinel>Administración de contenido>Centro de contenido.

  2. Busque y seleccione la solución de inteligencia sobre amenazas.

  3. Seleccione el botón Instalar o actualizar.

Para obtener más información sobre cómo administrar los componentes de la solución, consulte Detección e implementación de contenido de forma lista para su uso.

Habilitación del conector de datos Inteligencia sobre amenazas: TAXII

  1. Para configurar el conector de datos TAXII, seleccione el menú Conectores de datos.

  2. Busque y seleccione el conector de datos Inteligencia sobre amenazas: TAXII> botón Abrir página del conector.

    Captura de pantalla en la que se muestra la página de conectores de datos con el conector de datos TAXII en la lista.

  3. Especifique un nombre descriptivo para esta colección del servidor TAXII, la dirección URL raíz de API, el Id. de colección, un nombre de usuario (si es necesario) y una contraseña (si es necesario), y elija el grupo de indicadores y la frecuencia de sondeo que desee. Seleccione el botón Agregar.

    Configuración de servidores TAXII

Debe recibir una confirmación de que se ha establecido correctamente una conexión al servidor TAXII. Puede repetir el último paso anterior tantas veces como desee para conectarse a varias colecciones desde uno o más servidores TAXII.

En cuestión de minutos, los indicadores de amenazas deberían empezar a fluir en esta área de trabajo de Microsoft Sentinel. Puede encontrar los nuevos indicadores en la hoja Inteligencia sobre amenazas, a la que se puede acceder desde el menú de navegación de Microsoft Sentinel.

Lista de permitidos de IP para el cliente TAXII de Microsoft Sentinel

Algunos servidores TAXII, como FS-ISAC, tienen el requisito de mantener las direcciones IP del cliente TAXII de Microsoft Sentinel en la lista de permitidos. La mayoría de los servidores TAXII no tienen este requisito.

Cuando proceda, las siguientes direcciones IP son las que se incluirán en la lista de permitidos:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Contenido relacionado

En este documento ha obtenido información sobre cómo conectar Microsoft Sentinel a fuentes de inteligencia sobre amenazas mediante el protocolo TAXII. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos.