Integración de inteligencia sobre amenazas en Microsoft Sentinel
Microsoft Sentinel proporciona varias maneras de usar fuentes de inteligencia sobre amenazas para mejorar la capacidad de los analistas de seguridad de detectar y priorizar las amenazas conocidas:
- Use uno de los diversos productos de plataforma de inteligencia sobre amenazas (TIP) integrados disponibles.
- Conéctese a los servidores TAXII para aprovechar cualquier origen de inteligencia sobre amenazas compatible con STIX.
- Conéctese directamente a la fuente Inteligencia contra amenazas de Microsoft Defender.
- Use cualquier solución personalizada que pueda comunicarse directamente con la API de indicadores de carga de inteligencia sobre amenazas.
- Conéctese a orígenes de inteligencia sobre amenazas de cuadernos de estrategias para enriquecer incidentes con información de inteligencia sobre amenazas que puede ayudar a dirigir las acciones de investigación y respuesta.
Argibidea
Si tiene varias áreas de trabajo en el mismo inquilino, como para los Proveedores de servicios de seguridad administrada (MSSP), puede ser más rentable conectar indicadores de amenazas solo al área de trabajo centralizada.
Si tiene el mismo conjunto de indicadores de amenazas importados en cada área de trabajo independiente, puede ejecutar consultas entre áreas de trabajo para agregar indicadores de amenazas en las áreas de trabajo. Correlaciónelos en la experiencia de detección, investigación y búsqueda de incidentes de MSSP.
Para conectarse a las fuentes de inteligencia sobre amenazas TAXII, siga las instrucciones para conectar Microsoft Sentinel a las fuentes de inteligencia sobre amenazas STIX/TAXII, junto con los datos suministrados por cada proveedor. Es posible que tenga que ponerse en contacto directamente con el proveedor para obtener los datos necesarios para usarlos con el conector.
- Obtenga información sobre integración de Inteligencia sobre ciberamenazas (CTI) de Accenture con Microsoft Sentinel.
- Obtenga más información sobre la integración de Cybersixgill con Microsoft Sentinel.
- Conecte Microsoft Sentinel al servidor Cybersixgill TAXII y obtenga acceso a Darkfeed. póngase en contacto con azuresentinel@cybersixgill.com para obtener la raíz de la API, el identificador de colección, el nombre de usuario y la contraseña.
Un componente de la plataforma de inteligencia sobre amenazas de Cyware, CTIX, es hacer que Intel sea procesable con una fuente TAXII para su información de seguridad y administración de eventos. En el caso de Microsoft Sentinel, siga estas instrucciones:
- Obtenga información sobre cómo integrar con Microsoft Sentinel
- Obtenga información sobre la oferta de la inteligencia sobre amenazas de ESET.
- Conecte Microsoft Sentinel al servidor ESET TAXII. Obtenga la dirección URL raíz de la API, el identificador de colección, el nombre de usuario y la contraseña de la cuenta de ESET. A continuación, siga las instrucciones generales y el artículo de knowledge base de ESET.
- Únase a FS-ISAC para obtener las credenciales para acceder a esta fuente.
- Únase a H-ISAC para obtener las credenciales para acceder a esta fuente.
- Obtenga más información sobre la integración de IBM X-Force.
- Más información sobre IntSights integration with Microsoft Sentinel @IntSights.
- Conecte Microsoft Sentinel al servidor TAXII de IntSights. Obtenga la raíz de la API, el identificador de colección, el nombre de usuario y la contraseña del portal de IntSights después de configurar una directiva de los datos que desea enviar a Microsoft Sentinel.
- Obtenga información sobre la integración de Kaspersky con Microsoft Sentinel.
- Obtenga información sobre la integración de Pulsedive con Microsoft Sentinel.
- Obtenga información sobre la integración de ReversingLabs TAXII con Microsoft Sentinel.
- Obtenga más información sobre la integración de Sectrio.
- Obtenga información sobre el proceso paso a paso para integrar la fuente de inteligencia sobre amenazas de Sectrio en Microsoft Sentinel.
- Obtenga información sobre la integración de SEKOIA.IO con Microsoft Sentinel.
- Obtenga más información sobre STIX y TAXII en ThreatConnect.
- Consulte la documentación de los servicios TAXII en ThreatConnect.
Para conectarse a fuentes de la plataforma de inteligencia sobre amenazas, consulte Conectar plataformas de inteligencia sobre amenazas a Microsoft Sentinel. Consulte las siguientes soluciones para saber qué otra información se necesita.
- Para conectar Agari Phishing Defense y Brand Protection, use el conector de datos de Agari integrado en Microsoft Sentinel.
- Para descargar ThreatStream Integrator y sus extensiones, así como las instrucciones para conectar ThreatStream Intelligence a la API de Microsoft Graph Security, consulte la página de descargas de ThreatStream.
- Obtenga más información sobre cómo AlienVault OTX usa Azure Logic Apps (cuadernos de estrategias) para conectarse a Microsoft Sentinel. Consulte las instrucciones especializadas necesarias para aprovechar al máximo la oferta completa.
- La plataforma EclecticIQ se integra con Microsoft Sentinel para mejorar la detección y la búsqueda de amenazas, así como la respuesta ante ellas. Obtenga más información sobre las ventajas y los casos de uso de esta integración bidireccional.
- Filigran OpenCTI puede enviar inteligencia sobre amenazas a Microsoft Sentinel mediante un conector dedicado que se ejecuta en tiempo real, o bien actuando como servidor TAXII 2.1 que Sentinel sondea periódicamente. También puede recibir incidentes estructurados de Sentinel mediante el conector de incidentes de Microsoft Sentinel.
- Para conectar atribución e inteligencia sobre amenazas de GroupIB a Microsoft Sentinel, GroupIB usa Logic Apps. Consulte las instrucciones especializadas que son necesarias para aprovechar al máximo la oferta completa.
- Inserte indicadores de amenazas de MISP en Microsoft Sentinel mediante la API de indicadores de carga de inteligencia sobre amenazas con MISP2Sentinel.
- Consulte MISP2Sentinel en Azure Marketplace.
- Obtenga más información sobre el Proyecto MISP.
- Para configurar Palo Alto MineMeld con la información de conexión a Microsoft Sentinel, consulte el artículo sobre el envío de indicadores de riesgo a la API de seguridad de Microsoft Graph mediante MineMeld. Vaya al encabezado "Configuración de MineMeld".
- Obtenga información sobre cómo Recorded Future usa Logic Apps (cuadernos de estrategias) para conectarse a Microsoft Sentinel. Consulte las instrucciones especializadas necesarias para aprovechar al máximo la oferta completa.
- Consulte la guía de configuración de integración de indicadores de amenazas de seguridad de Microsoft Graph para obtener instrucciones para conectar ThreatConnect a Microsoft Sentinel.
- Consulte el artículo sobre la integración de Microsoft Sentinel Connector para ThreatQ para obtener información de soporte técnico e instrucciones para conectar ThreatQuotient TIP a Microsoft Sentinel.
Además de usarse para importar indicadores de amenazas, las fuentes de inteligencia sobre amenazas también pueden servir como origen para enriquecer la información de los incidentes y proporcionar más contexto para las investigaciones. Las fuentes siguientes sirven para este propósito y proporcionan cuadernos de estrategias de Logic Apps para usarlos en la respuesta a incidentes automatizada. Busque estos orígenes de enriquecimiento en el Centro de contenido.
Para obtener más información sobre cómo buscar y administrar las soluciones, consulte Detección e implementación de contenido de fábrica.
- Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de HYAS Insight en el repositorio de GitHub de Microsoft Sentinel. Buscar subcarpetas que empiecen por
Enrich-Sentinel-Incident-HYAS-Insight-
. - Consulte la documentación del conector de Logic Apps de HYAS Insight.
- Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de Inteligencia sobre amenazas de Microsoft Defender en el Repositorio de GitHub de Microsoft Sentinel.
- Para obtener más información, consulte la entrada del blog de la comunidad técnica de Inteligencia sobre amenazas de Defender.
- Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de Recorded Future en el repositorio de GitHub de Microsoft Sentinel. Buscar subcarpetas que empiecen por
RecordedFuture_
. - Consulte la documentación del conector de Logic Apps de Recorded Future.
- Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de ReversingLabs en el repositorio de GitHub de Microsoft Sentinel.
- Consulte la documentación del conector de Logic Apps de ReversingLabs TitaniumCloud.
- Busque y habilite los cuadernos de estrategias de enriquecimiento de incidentes de RiskIQ Passive Total en el repositorio de GitHub de Microsoft Sentinel.
- Consulte más información sobre cómo trabajar con cuadernos de estrategias de RiskIQ.
- Consulte la documentación del conector de Logic Apps de RiskIQ PassiveTotal.
- Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de VirusTotal en el repositorio de GitHub de Microsoft Sentinel. Buscar subcarpetas que empiecen por
Get-VTURL
. - Consulte la documentación del conector de Logic Apps de VirusTotal.
En este artículo, ha aprendido a conectar su proveedor de inteligencia sobre amenazas a Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: