Uhkien älykkyyden integrointi Microsoft Sentinel

Microsoft Sentinel tarjoaa muutamia tapoja käyttää uhkatietosyötteitä parantaaksesi tietoturva-analyytikkojen kykyä tunnistaa ja priorisoida tunnettuja uhkia:

• Käytä yhtä monista saatavilla olevista integroiduista uhkien hallintaympäristön (TIP) tuotteista.
• Muodosta yhteys TAXII-palvelimiin , jotta voit hyödyntää mitä tahansa STIX-yhteensopivaa uhkien tiedustelulähdettä.
• Muodosta yhteys suoraan Microsoft Defender Threat Intelligence syötteeseen.
• Hyödynnä mitä tahansa mukautettuja ratkaisuja, jotka voivat olla suoraan yhteydessä uhkien latauksen ilmaisimien ohjelmointirajapintaan.
• Yhteyden muodostaminen uhkatietolähteisiin pelikirjoista tapausten rikastamiseen, uhkatietoja, jotka voivat auttaa suorissa tutkinta- ja vastaustoimissa.

Vihje

Jos samassa vuokraajassa on useita työtiloja, kuten hallitun suojauksen palveluntarjoajille, uhkaindikaattoreiden yhdistäminen vain keskitettyihin työtiloihin voi olla kustannustehokkaampaa.

Kun sinulla on samat uhkailmaisimet tuotuna kuhunkin erilliseen työtilaan, voit suorittaa työtilojenväliset kyselyt koostaaksesi uhkaindikaattoreita työtiloissasi. Korreloi ne MSSP:n tapahtumantunnistus-, tutkimus- ja metsästyskokemuksessa.

TAXII-uhkatietosyötteet

Jos haluat muodostaa yhteyden TAXII-uhkatietosyötteisiin, noudata ohjeita yhdistääksesi Microsoft Sentinel STIX/TAXII-uhkatietosyötteisiin yhdessä kunkin toimittajan toimittamien tietojen kanssa. Sinun on ehkä otettava yhteyttä suoraan toimittajaan saadaksesi tarvittavat tiedot, joita voit käyttää liittimen kanssa.

Korostus kyberuhkien älykkyydessä

• Lue lisätietoja Accenturen CTI (Cyber Threat Intelligence) -integroinnista Microsoft Sentinel kanssa.

Cybersixgill Darkfeed

• Tutustu Cybersixgill-integrointiin Microsoft Sentinel kanssa.
• Muodosta yhteys Microsoft Sentinel Cybersixgill TAXII -palvelimeen ja pääse Darkfeediin. Meihin yhteyttä azuresentinel@cybersixgill.com ohjelmointirajapinnan päätason, kokoelman tunnuksen, käyttäjänimen ja salasanan hankkimiseksi.

Cyware threat intelligence exchange (CTIX)

Yksi Cywaren TIP-komponentti, CTIX, on tehdä intelable with TAXII feed for your security information and event management. Jos haluat Microsoft Sentinel, noudata ohjeita täällä:

• Opi integroimaan Microsoft Sentinel kanssa

ESET

• Lue lisää ESET:n uhkien tiedustelutarjonnasta.
• Muodosta yhteys Microsoft Sentinel ESET TAXII -palvelimeen. Hanki ohjelmointirajapinnan URL-pääosoite, kokoelman tunnus, käyttäjänimi ja salasana ESET-tililtäsi. Noudata sitten yleisiä ohjeita ja ESET tietokanta artikkelia.

Rahoituspalvelujen tietojen jakaminen ja analysointikeskus (FS-ISAC)

• Liity FS-ISAC:iin saadaksesi tunnistetiedot, jotta voit käyttää tätä syötettä.

Terveystietojen jakamisyhteisö (H-ISAC)

• Liity H-ISAC:iin saadaksesi tunnistetiedot, jotta voit käyttää tätä syötettä.

IBM X-Force

• Lue lisätietoja IBM X-Force -integroinnista.

IntSights

• Lue lisätietoja IntSights-integroinnista Microsoft Sentinel kanssa.
• Yhdistä Microsoft Sentinel IntSights TAXII -palvelimeen. Hanki ohjelmointirajapinnan pääkansio, kokoelman tunnus, käyttäjänimi ja salasana IntSights-portaalista, kun olet määrittänyt käytännön tiedoista, jotka haluat lähettää Microsoft Sentinel.

Kaspersky

• Lue lisätietoja Kasperskyn integroinnista Microsoft Sentinel kanssa.

Pulssi

• Lue lisätietoja pulsedive-integroinnista Microsoft Sentinel kanssa.

ReversingLabs

• Lue lisätietoja ReversingLabsIN TAXII-integroinnista Microsoft Sentinel kanssa.

Sectrio

• Lue lisätietoja Sectrio-integroinnista.
• Tutustu vaiheittaiseen prosessiin, joka koskee Sectrion uhkatietojen syötteen integrointia Microsoft Sentinel.

SEKOIA. IO

• Lue lisää SEKOIA:sta. IO-integrointi Microsoft Sentinel kanssa.

ThreatConnect

• Lue lisätietoja STIX:stä ja TAXII:stä ThreatConnectista.
• Katso TAXII-palveluiden dokumentaatio osoitteessa ThreatConnect.

Integroidut uhkatietoympäristön tuotteet

Jos haluat muodostaa yhteyden TIP-syötteisiin, katso Uhkatietoympäristöjen yhdistäminen Microsoft Sentinel. Seuraavissa ratkaisuissa on lisätietoja muista tarvittavista tiedoista.

Agari Phishing -puolustus ja tuotemerkkisuojaus

• Yhdistä Agari Phishing Defense ja Brand Protection käyttämällä sisäistä Agari-tietoliitintä Microsoft Sentinel.

Poikkeama ThreatStream

• Jos haluat ladata ThreatStream-integroinnin ja -laajennukset sekä ohjeet ThreatStream-tiedustelutietojen yhdistämiseen Microsoft Graph -suojauksen ohjelmointirajapinta, katso ThreatStream-lataukset-sivu.

AlienVault Open Threat Exchange (OTX) AT&T -kyberturvallisuudesta

• Lue, miten AlienVault OTX käyttää Azure Logic Appsia (pelikirjoja) yhteyden muodostamiseksi Microsoft Sentinel. Tutustu erityisiin ohjeisiin , joita tarvitaan täydellisen tarjouksen hyödyntämiseen.

EclecticIQ-ympäristö

• EclecticIQ Platform integroituu Microsoft Sentinel kanssa parantaakseen uhkien havaitsemista, metsästystä ja reagointia. Lue lisätietoja tämän kaksisuuntaisen integroinnin eduista ja käyttötapauksista .

Filigran OpenCTI

• Filigran OpenCTI voi lähettää uhkatietoja Microsoft Sentinel joko reaaliaikaisesti toimivan erillisen liittimen kautta tai toimimalla TAXII 2.1 -palvelimena, joka Sentinel tekee säännöllisesti kyselyn. Se voi myös vastaanottaa jäsennettyjä tapauksia Sentinel:stä Microsoft Sentinel Incident -liittimen kautta.

GroupIB Threat Intelligence ja Attribution

• Yhdistääkseen GroupIB Threat Intelligencen ja -attribuution Microsoft Sentinel GroupIB käyttää Logic Appsia. Tutustu erityisiin ohjeisiin , jotka ovat välttämättömiä koko tarjouksen hyödyntämiseksi.

MISP avoimen lähdekoodin uhkien tiedusteluympäristö

• Lähetä uhkailmaisimet MISP:stä Microsoft Sentinel käyttämällä uhkatietojen latausilmaisimien ohjelmointirajapintaa MISP2Sentinel-toiminnolla.
• Katso MISP2Sentinel Azure Marketplacessa.
• Lue lisätietoja MISP-projektista.

Palo Alto Networks MineMeld

• Jos haluat määrittää Palo Alto MineMeld -kohteelle Microsoft Sentinel yhteystiedot, katso IOC-kutsujen lähettäminen Microsoft Graph -suojauksen ohjelmointirajapinta MineMeldin avulla. Siirry "MineMeld Configuration" -otsikkoon.

Tallennettu tuleva suojaustietoympäristö

• Lue, miten Recorded Future käyttää Logic Appsia (pelikirjat) yhteyden muodostamiseen Microsoft Sentinel. Tutustu erityisiin ohjeisiin , joita tarvitaan täydellisen tarjouksen hyödyntämiseen.

ThreatConnect-ympäristö

• Lisätietoja ThreatConnectin yhdistämisestä Microsoft Sentinel on Microsoft Graph Security Threat Indicators -integroinnin määritysoppaassa.

ThreatQuotient-uhkien tiedusteluympäristö

• Lisätietoja threatquotient-vihjeen yhdistämisestä Microsoft Sentinel on artikkelissa Microsoft Sentinel Connector for ThreatQ -integrointi.

Tapausten täydennyslähteet

Uhkaindikaattorien tuonnin lisäksi uhkatietosyötteitä voidaan käyttää myös lähteenä, joka rikastuttaa tapausten tietoja ja antaa lisäkontekstia tutkimukseesi. Seuraavat syötteet palvelevat tätä tarkoitusta ja tarjoavat Logic Apps -pelikirjoja, joita voit käyttää automatisoidussa tapausten käsittelyssä. Etsi nämä rikastuslähteet sisältökeskuksesta.

Lisätietoja ratkaisujen etsimisestä ja hallinnasta on kohdassa Valmiiden sisältöjen löytäminen ja käyttöönotto.

HYAS Insight

• Etsi ja ota käyttöön tapausten täydennyskirjat HYAS InsightilleGitHub-säilön Microsoft Sentinel. Etsi alikansioita, joiden alussa on Enrich-Sentinel-Incident-HYAS-Insight-.
• Katso HYAS Insight Logic Apps - liittimen dokumentaatio.

Microsoft Defender Threat Intelligence

• Etsi ja ota käyttöön tapausten täydennyskirjat Microsoft Defender Threat IntelligenceMicrosoft Sentinel GitHub-säilöstä.
• Lisätietoja on Defender Threat Intelligence Tech Community -blogikirjoituksessa .

Tallennettu tuleva suojaustietoympäristö

• Etsi ja ota käyttöön tapausten täydennysten pelikirjat Tallennettu tulevaisuus-Microsoft Sentinel GitHub-säilössä. Etsi alikansioita, joiden alussa on RecordedFuture_.
• Katso Recorded Future Logic Apps - liittimen dokumentaatio.

ReversingLabs TitaniumCloud

• Etsi ja ota käyttöön tapausten täydennysten pelikirjat ReversingLabsilleGitHub-säilön Microsoft Sentinel.
• Katso ReversingLabs TitaniumCloud Logic Apps - liittimen dokumentaatio.

RiskIQ PassiveTotal

• Etsi ja ota käyttöön RiskIQ Passive Totalin tapausten täydennyskirjat Microsoft Sentinel GitHub-säilöstä.
• Katso lisätietoja RiskIQ-pelikirjojen parissa työskentelystä.
• Katso RiskIQ PassiveTotal Logic Apps - liittimen dokumentaatio.

Virustotal

• Etsi ja ota käyttöön tapausten täydennyskirjat VirusTotal-toiminnolleGitHub-säilön Microsoft Sentinel. Etsi alikansioita, joiden alussa on Get-VTURL.
• Katso VirusTotal Logic Apps - yhdistimen dokumentaatio.

Aiheeseen liittyvä sisältö

Tässä artikkelissa olet oppinut yhdistämään uhkatietopalvelun tarjoajan Microsoft Sentinel. Lisätietoja Microsoft Sentinel on seuraavissa artikkeleissa:

• Lue, miten saat näkyvyyttä tietoihisi ja mahdollisiin uhkiin.
• Aloita uhkien tunnistaminen Microsoft Sentinel avulla.