Connecter Microsoft Sentinel aux flux de renseignements sur les menaces STIX/TAXII
La norme du secteur la plus largement adoptée pour la transmission du renseignement sur les menaces est une combinaison du format de données STIX et du protocole TAXII. Si votre organisation reçoit des indicateurs de menace de solutions prenant en charge la version actuelle de STIX/TAXII (2.0 ou 2.1), vous pouvez utiliser le connecteur de données Threat Intelligence – TAXII pour transférer vos indicateurs de menace dans Microsoft Sentinel. Ce connecteur permet à un client TAXII intégré à Microsoft Sentinel d’importer le renseignement sur les menaces à partir de serveurs TAXII 2.x.
Pour importer des indicateurs de menace au format STIX vers Microsoft Sentinel à partir d’un serveur TAXII, vous devez obtenir la racine et l’ID de regroupement de l’API du serveur TAXII, puis activer le connecteur de données Threat Intelligence - TAXII dans Microsoft Sentinel.
En savoir plus sur le renseignement sur les menaces dans Microsoft Sentinel, et plus particulièrement sur les flux de renseignements sur les menaces TAXII qui peuvent être intégrés à Microsoft Sentinel.
Remarque
Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.
Important
Microsoft Sentinel est maintenant en disponibilité générale dans la plateforme d’opérations de sécurité unifiée Microsoft dans le portail Microsoft Defender. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.
Voir aussi : Connecter votre plateforme de renseignement sur les menaces (TIP) à Microsoft Sentinel
Prérequis
- Pour installer, mettre à jour et supprimer du contenu autonome ou des solutions dans le hub de contenu, vous avez besoin du rôle Contributeur Microsoft Sentinel au niveau du groupe de ressources.
- Vous devez disposer d’autorisations en lecture et en écriture sur l’espace de travail Microsoft Sentinel pour stocker vos indicateurs de menace.
- Vous devez disposer d’un URI racine d’API et d’un ID de collection pour TAXII 2.0 ou TAXII 2.1.
Obtenir la racine d’API et l’ID de collection du serveur TAXII
Les serveurs TAXII 2.x publient les racines d’API, qui sont des URL hébergeant des collections de renseignement sur les menaces. Vous pouvez généralement trouver la racine d’API et l’ID de collection dans les pages de documentation du fournisseur de renseignements sur les menaces qui héberge le serveur TAXII.
Notes
Dans certains cas, le fournisseur ne publiera qu’une URL appelée « Point de terminaison de détection ». Vous pouvez recourir à l’utilitaire cURL pour parcourir le point de terminaison de détection et demander la racine d’API.
Installer la solution Threat Intelligence dans Microsoft Sentinel
Pour importer des indicateurs de menace dans Microsoft Sentinel à partir d’un serveur TAXII, effectuez les étapes suivantes :
Dans Microsoft Sentinel, dans le Portail Azure, sous Gestion du contenu, sélectionnez Hub de contenu.
Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion du contenu>Hub de contenu.Recherchez et sélectionnez la solution Threat Intelligence.
Sélectionnez le bouton Installer/Mettre à jour.
Pour plus d’informations sur la gestion des composants de la solution, consultez Découvrir et déployer du contenu prête à l’emploi.
Activer Threat Intelligence : connecteur de données TAXII
Pour configurer le connecteur de données TAXII, sélectionnez le menu Connecteurs de données.
Recherchez et sélectionnez le bouton Threat Intelligence – TAXII de connecteur de données >Ouvrir la page du connecteur.
Entrez un nom convivial pour cette collection du serveur TAXII, l’URL racine d’API, l’ID de collection, un nom d’utilisateur (le cas échéant) et un mot de passe (le cas échéant), et choisissez le groupe d’indicateurs et la fréquence d’interrogation que vous souhaitez. Sélectionnez le bouton Ajouter.
Vous devriez recevoir la confirmation qu’une connexion au serveur TAXII a été établie et vous pouvez répéter la dernière étape ci-dessus autant de fois que vous le souhaitez pour vous connecter à plusieurs collections à partir d’un ou plusieurs serveurs TAXII.
Après quelques minutes, les indicateurs de menace doivent commencer à circuler dans cet espace de travail Microsoft Sentinel. Vous pouvez trouver les nouveaux indicateurs dans le panneau Renseignement sur les menaces, accessible depuis le menu de navigation de Microsoft Sentinel.
Liste d’autorisation d’IP pour le client Microsoft Sentinel TAXII
Certains serveurs TAXII, comme FS-ISAC, ont besoin de conserver les adresses IP du client Microsoft Sentinel TAXII sur la liste d'autorisation. La plupart des serveurs TAXII n’ont pas cette exigence.
Le cas échéant, les adresses IP suivantes sont celles qui doivent être incluses dans votre liste d'autorisation :
- 20.193.17.32
- 20.197.219.106
- 20.48.128.36
- 20.199.186.58
- 40.80.86.109
- 52.158.170.36
- 20.52.212.85
- 52.251.70.29
- 20.74.12.78
- 20.194.150.139
- 20.194.17.254
- 51.13.75.153
- 102.133.139.160
- 20.197.113.87
- 40.123.207.43
- 51.11.168.197
- 20.71.8.176
- 40.64.106.65
Contenu connexe
Dans ce document, vous avez appris à connecter Microsoft Sentinel à des flux de renseignements sur les menaces à l’aide du protocole TAXII. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment avoir une visibilité sur vos données et les menaces potentielles.
- Prise en main de la détection des menaces avec Microsoft Sentinel.