Partager via


Intégration du renseignement sur les menaces dans Microsoft Azure Sentinel

Microsoft Sentinel vous offre plusieurs façons d’utiliser les flux de veille des menaces pour améliorer la capacité de vos analystes de sécurité à détecter les menaces connues et à les classer par ordre de priorité :

Conseil

Si vous avez plusieurs espaces de travail dans le même tenant (locataire), par exemple pour les fournisseurs de services de sécurité gérée (MSSP), il peut être plus rentable de connecter les indicateurs de menace uniquement à l’espace de travail centralisé.

Lorsque vous importez le même ensemble d’indicateurs de menace dans chaque espace de travail, vous pouvez exécuter des requêtes entre les espaces de travail pour agréger des indicateurs de menace dans tous vos espaces de travail. Mettez-les en corrélation au sein de votre expérience de détection d’incident, d’investigation et de chasse MSSP.

Flux de renseignement sur le renseignement sur les menaces TAXII

Pour vous connecter aux flux de veille des menaces TAXII, suivez les instructions pour Connecter Microsoft Sentinel aux flux de veille des menaces STIX/TAXII, ainsi que les données fournies par chaque fournisseur. Vous devrez peut-être contacter directement le fournisseur pour obtenir les données nécessaires à utiliser avec le connecteur.

Accenture Cyber Threat Intelligence

Cybersixgill Darkfeed

Cyware Threat Intelligence Exchange (CTIX)

L’un des composants de la plateforme TIP (Threat Intelligence Platform) de Cyware, CTIX, a pour finalité de rendre les informations actionnables avec un flux TAXII pour la gestion des informations et des événements de sécurité. Pour Microsoft Sentinel, suivez les instructions ici :

ESET

Centre d’analyse et de partage des informations sur les services financiers (FS-ISAC)

  • Rejoignez FS-ISAC pour récupérer les informations d’identification permettant d’accéder à ce flux.

Communauté de partage des renseignements sur le fonctionnement (H-ISAC)

  • Rejoignez H-ISAC pour obtenir les informations d’identification permettant d’accéder à ce flux.

IBM X-Force

IntSights

  • Découvrez plus en détail l’IntSights integration with Microsoft Sentinel @IntSights.
  • Connectez Microsoft Sentinel au serveur TAXII IntSights. Obtenez la racine de l’API, l’ID de collection, le nom d’utilisateur et le mot de passe à partir du portail IntSights après avoir configuré une stratégie des données à envoyer à Microsoft Sentinel.

Kaspersky

Pulsedive

ReversingLabs

Sectrio

SEKOIA.IO

ThreatConnect

Produits de la plateforme Threat Intelligence intégrée

Pour vous connecter aux flux TIP, consultez Connecter des plateformes de renseignement sur les menaces à Microsoft Sentinel. Consultez les solutions suivantes pour savoir quelles sont les autres informations nécessaires.

Agari Phishing Defense and Brand Protection

ThreatStream d’Anomali

AlienVault Open Threat Exchange (OTX) from AT&T Cybersecurity

  • Découvrez comment AlienVault OTX utilise Azure Logic Apps (playbooks) pour se connecter à Microsoft Sentinel. Consultez les instructions spécifiques nécessaires pour tirer pleinement parti de l’offre complète.

Plateforme EclecticIQ

  • EclecticIQ Platform s’intègre à Microsoft Sentinel pour améliorer la détection, la chasse et la réponse aux menaces. Découvrez les avantages et les cas d’usage de cette intégration bidirectionnelle.

Filigran OpenCTI

GroupIB Threat Intelligence and Attribution

Plateforme open source de veille des menaces MISP

  • Envoyez (push) les indicateurs de menace de MISP à Microsoft Sentinel en utilisant l’API de chargement des indicateurs de veille des menaces avec MISP2Sentinel.
  • Consultez MISP2Sentinel sur la Place de marché Azure.
  • Découvrez plus en détail le projet MISP.

Palo Alto Networks MineMeld

Plateforme de veille de sécurité Recorded Future

  • Découvrez comment Recorded Future utilise Logic Apps (playbooks) pour se connecter à Microsoft Sentinel. Consultez les instructions spécifiques nécessaires pour tirer pleinement parti de l’offre complète.

Plateforme ThreatConnect

Plateforme de veille des menaces ThreatQuotient

Sources d’enrichissement des incidents

Outre leur utilisation pour importer des indicateurs de menace, les flux d’informations sur les menaces peuvent également servir de source pour enrichir les informations de vos incidents et fournir plus de contexte à vos investigations. Les flux suivants répondent à cet objectif. Ils fournissent des playbooks Logic Apps à utiliser dans votre réponse automatisée aux incidents. Recherchez ces sources d’enrichissement dans le hub de contenu.

Pour plus d’informations sur la recherche et la gestion des solutions, consultez Découvrir et déployer un contenu prêt à l’emploi.

HYAS Insight

Microsoft Defender Threat Intelligence

Recorded Future Security Intelligence Platform

ReversingLabs TitaniumCloud

RiskIQ PassiveTotal

VirusTotal

Dans cet article, vous avez appris à connecter votre fournisseur de veille des menaces à Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :