Intégration du renseignement sur les menaces dans Microsoft Azure Sentinel

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel vous offre plusieurs façons d’utiliser les flux de veille des menaces pour améliorer la capacité de vos analystes de sécurité à détecter les menaces connues et à les classer par ordre de priorité :

• Utilisez l’un des nombreux produits de la plateforme de veille des menaces (TIP) intégrés disponibles.
• Connectez-vous à des serveurs TAXII pour bénéficier des sources de veille des menaces compatibles STIX.
• Connectez-vous directement au flux de Veille des menaces Microsoft Defender.
• Utilisez toute solution personnalisée pouvant communiquer directement avec l’API de chargement d’indicateurs de veille des menaces.
• Connectez-vous aux sources de veille des menaces à partir de playbooks pour enrichir les incidents avec des informations de veille des menaces, qui peuvent orienter les actions d’investigation et de réponse.

Conseil

Si vous avez plusieurs espaces de travail dans le même tenant (locataire), par exemple pour les fournisseurs de services de sécurité gérée (MSSP), il peut être plus rentable de connecter les indicateurs de menace uniquement à l’espace de travail centralisé.

Lorsque vous importez le même ensemble d’indicateurs de menace dans chaque espace de travail, vous pouvez exécuter des requêtes entre les espaces de travail pour agréger des indicateurs de menace dans tous vos espaces de travail. Mettez-les en corrélation au sein de votre expérience de détection d’incident, d’investigation et de chasse MSSP.

Flux de renseignement sur le renseignement sur les menaces TAXII

Pour vous connecter aux flux de veille des menaces TAXII, suivez les instructions pour Connecter Microsoft Sentinel aux flux de veille des menaces STIX/TAXII, ainsi que les données fournies par chaque fournisseur. Vous devrez peut-être contacter directement le fournisseur pour obtenir les données nécessaires à utiliser avec le connecteur.

Accenture Cyber Threat Intelligence

• Découvrez l’intégration des informations Accenture Cyber Threat Intelligence (CTI) à Microsoft Sentinel.

Cybersixgill Darkfeed

• Découvrez l’intégration de Cybersixgill à Microsoft Sentinel.
• Connectez Microsoft Sentinel au serveur TAXII Cybersixgill, puis accédez à Darkfeed. Contactez azuresentinel@cybersixgill.com pour obtenir la racine de l’API, l’ID de collection, le nom d’utilisateur et le mot de passe.

Cyware Threat Intelligence Exchange (CTIX)

L’un des composants de la plateforme TIP (Threat Intelligence Platform) de Cyware, CTIX, a pour finalité de rendre les informations actionnables avec un flux TAXII pour la gestion des informations et des événements de sécurité. Pour Microsoft Sentinel, suivez les instructions ici :

• Découvrir comment effectuer une intégration à Microsoft Sentinel

ESET

• Découvrez l’offre de veille des menaces d’ESET.
• Connectez Microsoft Sentinel au serveur TAXII ESET. Obtenez l’URL racine de l’API, l’ID de collection, le nom d’utilisateur et le mot de passe à partir de votre compte ESET. Suivez ensuite les instructions générales et l’article de la base de connaissances ESET.

Centre d’analyse et de partage des informations sur les services financiers (FS-ISAC)

• Rejoignez FS-ISAC pour récupérer les informations d’identification permettant d’accéder à ce flux.

Communauté de partage des renseignements sur le fonctionnement (H-ISAC)

• Rejoignez H-ISAC pour obtenir les informations d’identification permettant d’accéder à ce flux.

IBM X-Force

• Découvrez plus en détail l’intégration d’IBM X-Force.

IntSights

• Découvrez plus en détail l’IntSights integration with Microsoft Sentinel @IntSights.
• Connectez Microsoft Sentinel au serveur TAXII IntSights. Obtenez la racine de l’API, l’ID de collection, le nom d’utilisateur et le mot de passe à partir du portail IntSights après avoir configuré une stratégie des données à envoyer à Microsoft Sentinel.

Kaspersky

• Découvrez l’intégration de Kaspersky à Microsoft Sentinel.

Pulsedive

• Découvrez l’intégration de Pulsedive à Microsoft Sentinel.

ReversingLabs

• Découvrez l’intégration du serveur TAXII ReversingLabs à Microsoft Sentinel.

Sectrio

• Découvrez plus en détail l’intégration de Sectrio.
• Découvrez le processus pas à pas d’intégration du flux de veille des menaces de Sectrio à Microsoft Sentinel.

SEKOIA.IO

• Découvrez l’intégration de SEKOIA.IO à Microsoft Sentinel.

ThreatConnect

• Découvrez plus en détail STIX et TAXII sur ThreatConnect.
• Consultez la documentation relative aux services TAXII sur ThreatConnect.

Produits de la plateforme Threat Intelligence intégrée

Pour vous connecter aux flux TIP, consultez Connecter des plateformes de renseignement sur les menaces à Microsoft Sentinel. Consultez les solutions suivantes pour savoir quelles sont les autres informations nécessaires.

Agari Phishing Defense and Brand Protection

• Pour connecter la protection contre l’hameçonnage et la protection de marque Agari, utilisez le connecteur de données Agari intégré dans Microsoft Sentinel.

ThreatStream d’Anomali

• Pour télécharger l’intégrateur et les extensions ThreatStream, ainsi que les instructions pour la connexion de l’intelligence ThreatStream à l’API Microsoft Graph Security, consultez la page des téléchargements ThreatStream.

AlienVault Open Threat Exchange (OTX) from AT&T Cybersecurity

• Découvrez comment AlienVault OTX utilise Azure Logic Apps (playbooks) pour se connecter à Microsoft Sentinel. Consultez les instructions spécifiques nécessaires pour tirer pleinement parti de l’offre complète.

Plateforme EclecticIQ

• EclecticIQ Platform s’intègre à Microsoft Sentinel pour améliorer la détection, la chasse et la réponse aux menaces. Découvrez les avantages et les cas d’usage de cette intégration bidirectionnelle.

GroupIB Threat Intelligence and Attribution

• Pour connecter GroupIB Threat Intelligence and Attribution à Microsoft Sentinel, GroupIB utilise Logic Apps. Consultez les instructions spécialisées nécessaires pour tirer pleinement parti de l’offre complète.

Plateforme open source de veille des menaces MISP

• Envoyez (push) les indicateurs de menace de MISP à Microsoft Sentinel en utilisant l’API de chargement des indicateurs de veille des menaces avec MISP2Sentinel.
• Consultez MISP2Sentinel sur la Place de marché Azure.
• Découvrez plus en détail le projet MISP.

Palo Alto Networks MineMeld

• Pour configurer Palo Alto MineMeld avec les informations de connexion à Microsoft Sentinel, consultez Envoi d’IdC à l’API de sécurité Microsoft Graph à l’aide de MineMeld. Accédez au titre « Configuration de MineMeld ».

Plateforme de veille de sécurité Recorded Future

• Découvrez comment Recorded Future utilise Logic Apps (playbooks) pour se connecter à Microsoft Sentinel. Consultez les instructions spécifiques nécessaires pour tirer pleinement parti de l’offre complète.

Plateforme ThreatConnect

• Pour obtenir des instructions sur la connexion de ThreatConnect à Microsoft Sentinel, consultez Guide de configuration Microsoft Graph Security Threat Indicators.

Plateforme de veille des menaces ThreatQuotient

• Pour obtenir des informations de support technique et des instructions pour connecter ThreatQuotient TIP à Microsoft Sentinel, consultez Connecteur Microsoft Sentinel pour l’intégration de ThreatQ .

Sources d’enrichissement des incidents

Outre leur utilisation pour importer des indicateurs de menace, les flux d’informations sur les menaces peuvent également servir de source pour enrichir les informations de vos incidents et fournir plus de contexte à vos investigations. Les flux suivants répondent à cet objectif. Ils fournissent des playbooks Logic Apps à utiliser dans votre réponse automatisée aux incidents. Recherchez ces sources d’enrichissement dans le hub de contenu.

Pour plus d’informations sur la recherche et la gestion des solutions, consultez Découvrir et déployer un contenu prêt à l’emploi.

HYAS Insight

• Recherchez et activez les règles d’enrichissement des incidents pour HYAS Insight dans le référentiel GitHub de Microsoft Sentinel. Recherchez des sous-dossiers commençant par Enrich-Sentinel-Incident-HYAS-Insight-.
• Consultez la documentation du connecteur Logic Apps de HYAS Insight.

Microsoft Defender Threat Intelligence

• Recherchez et activez des guides opérationnels d’enrichissement des incidents relatifs à la Veille des menaces Microsoft Defender dans le référentiel GitHub de Microsoft Sentinel.
• Pour plus d’informations, consultez le billet de blog de la communauté technique de Microsoft Defender Threat Intelligence.

Recorded Future Security Intelligence Platform

• Recherchez et activez les règles d’enrichissement des incidents pour Recorded Future dans le référentiel GitHub de Microsoft Sentinel. Recherchez des sous-dossiers commençant par RecordedFuture_.
• Consultez la documentation du connecteur Logic Apps de Recorded Future.

ReversingLabs TitaniumCloud

• Recherchez et activez les règles d’enrichissement des incidents pour ReversingLabs dans le référentiel GitHub de Microsoft Sentinel.
• Consultez la documentation du connecteur Logic Apps de ReversingLabs TitaniumCloud.

RiskIQ PassiveTotal

• Recherchez et activez les playbooks d’enrichissement des incidents pour RiskIQ PassiveTotal dans le dépôt GitHub de Microsoft Sentinel.
• Découvrez plus d’informations sur l’utilisation des playbooks RiskIQ.
• Consultez la documentation du connecteur Logic Apps de RiskIQ PassiveTotal.

VirusTotal

• Recherchez et activez les playbooks d’enrichissement des incidents pour VirusTotal dans le dépôt GitHub de Microsoft Sentinel. Recherchez des sous-dossiers commençant par Get-VTURL.
• Consultez la documentation du connecteur Logic Apps de VirusTotal.

Contenu connexe

Dans cet article, vous avez appris à connecter votre fournisseur de veille des menaces à Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

• Découvrez comment avoir une visibilité sur vos données et les menaces potentielles.
• Prise en main de la détection des menaces avec Microsoft Sentinel.