Csatlakozás Microsoft Sentinelt a STIX/TAXII fenyegetésfelderítési hírcsatornákhoz
A fenyegetésintelligencia átvitelének legelfogadottabb iparági szabványa a STIX adatformátum és a TAXII protokoll kombinációja. Ha a szervezet fenyegetésjelzőket kap az aktuális STIX/TAXII-verziót támogató megoldásoktól (2.0 vagy 2.1), a fenyegetésjelzőket a Fenyegetésfelderítés – TAXII adatösszekötő használatával viheti be a Microsoft Sentinelbe. Ez az összekötő lehetővé teszi, hogy a Microsoft Sentinel beépített TAXII-ügyfele importálja a fenyegetésfelderítést a TAXII 2.x-kiszolgálókról.
Ha STIX formátumú fenyegetésjelzőket szeretne importálni a Microsoft Sentinelbe egy TAXII-kiszolgálóról, le kell szereznie a TAXII-kiszolgáló API gyökér- és gyűjteményazonosítóját, majd engedélyeznie kell a Fenyegetésfelderítés – TAXII adatösszekötőt a Microsoft Sentinelben.
További információ a Microsoft Sentinel fenyegetésintelligencia-hírcsatornáiról, valamint a Microsoft Sentinelbe integrálható TAXII fenyegetésfelderítési hírcsatornákról.
Feljegyzés
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Lásd még: Csatlakozás a fenyegetésfelderítési platformot (TIP) a Microsoft Sentinelhez
Előfeltételek
- Az önálló tartalmak vagy megoldások tartalomközpontban való telepítéséhez, frissítéséhez és törléséhez az erőforráscsoport szintjén a Microsoft Sentinel közreműködői szerepkörre van szükség.
- A fenyegetésjelzők tárolásához olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.
- Taxii 2.0 vagy TAXII 2.1 API Root URI-val és gyűjteményazonosítóval kell rendelkeznie.
A TAXII-kiszolgáló API-gyökér- és gyűjteményazonosítójának lekérése
A TAXII 2.x-kiszolgálók api-gyökereket hirdetnek, amelyek olyan URL-címek, amelyek fenyegetésfelderítési gyűjteményeket üzemeltetnek. Az API-gyökér és a gyűjteményazonosító általában a TAXII-kiszolgálót üzemeltető fenyegetésintelligencia-szolgáltató dokumentációs oldalain található.
Feljegyzés
Bizonyos esetekben a szolgáltató csak egy felderítési végpontnak nevezett URL-címet fog meghirdetni. A cURL segédprogrammal tallózhat a felderítési végponton, és kérheti az API Rootot.
A Fenyegetésfelderítési megoldás telepítése a Microsoft Sentinelben
Ha egy TAXII-kiszolgálóról szeretne fenyegetésjelzőket importálni a Microsoft Sentinelbe, kövesse az alábbi lépéseket:
Az Azure PortalOn a Microsoft Sentinel esetében a Tartalomkezelés területen válassza a Content Hub lehetőséget.
Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Tartalomkezelési>tartalomközpontot.Keresse meg és válassza ki a fenyegetésfelderítési megoldást.
Válassza a Telepítés/frissítés gombot.
A megoldásösszetevők kezelésével kapcsolatos további információkért tekintse meg a beépített tartalmak felderítését és üzembe helyezését ismertető cikket.
A fenyegetésintelligencia engedélyezése – TAXII-adatösszekötő
A TAXII-adatösszekötő konfigurálásához válassza az Adatösszekötők menüt .
Keresse meg és válassza ki a Fenyegetésintelligencia – TAXII-adatösszekötő>Összekötő megnyitása lap gombot.
Adjon meg egy rövid nevet ennek a TAXII-kiszolgálógyűjteménynek, az API gyökér URL-címének, a gyűjtemény azonosítójának, egy felhasználónévnek (ha szükséges) és egy jelszónak (ha szükséges), és válassza ki a mutatócsoportot és a lekérdezési gyakoriságot. Válassza a Hozzáadás gombot.
Megerősítést kell kapnia arról, hogy a TAXII-kiszolgálóval való kapcsolat sikeresen létrejött, és a fenti utolsó lépést annyiszor megismételheti, amennyit csak szeretne, hogy egy vagy több TAXII-kiszolgáló több gyűjteményéhez csatlakozzon.
Néhány percen belül a fenyegetésjelzőknek el kell indulnia ebbe a Microsoft Sentinel-munkaterületbe. Az új jelzőket a Fenyegetésintelligencia panelen találja, amely a Microsoft Sentinel navigációs menüjéből érhető el.
A Microsoft Sentinel TAXII-ügyfél IP-engedélyezési listája
Egyes TAXII-kiszolgálóknak, például az FS-ISAC-nak meg kell őrizniük a Microsoft Sentinel TAXII-ügyfél IP-címét az engedélyezési listán. A LEGTÖBB TAXII-kiszolgáló nem rendelkezik ezzel a követelményrel.
Ha releváns, a következő IP-címek szerepelnek az engedélyezési listán:
- 20.193.17.32
- 20.197.219.106
- 20.48.128.36
- 20.199.186.58
- 40.80.86.109
- 52.158.170.36
- 20.52.212.85
- 52.251.70.29
- 20.74.12.78
- 20.194.150.139
- 20.194.17.254
- 51.13.75.153
- 102.133.139.160
- 20.197.113.87
- 40.123.207.43
- 51.11.168.197
- 20.71.8.176
- 40.64.106.65
Kapcsolódó tartalom
Ebben a dokumentumban megtanulta, hogyan csatlakoztathatja a Microsoft Sentinelt a fenyegetésfelderítési hírcsatornákhoz a TAXII protokoll használatával. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben.
- Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
- Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.