Fenyegetésfelderítési adatok integrálása a Microsoft Sentinelbe

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Sentinel néhány módszert kínál a fenyegetésintelligencia-hírcsatornák használatára, hogy a biztonsági elemzők képesek legyenek felismerni és rangsorolni az ismert fenyegetéseket:

• Használja a számos elérhető integrált fenyegetésfelderítési platform (TIP) termék egyikét.
• Csatlakozzon a TAXII-kiszolgálókhoz, hogy kihasználhassa a STIX-kompatibilis fenyegetésintelligencia-forrás előnyeit.
• Csatlakozzon közvetlenül a Microsoft Defender Intelligens veszélyforrás-felderítés csatornához.
• Használjon olyan egyéni megoldásokat, amelyek közvetlenül kommunikálhatnak a Threat Intelligence Upload Indicators API-val.
• Csatlakozzon a forgatókönyvekből származó fenyegetésfelderítési forrásokhoz, hogy az incidenseket olyan fenyegetésfelderítési információkkal bővítse, amelyek segíthetnek a közvetlen kivizsgálásban és a reagálási műveletekben.

Tipp.

Ha több munkaterülete van ugyanabban a bérlőben, például felügyelt biztonsági szolgáltatók (MSSP-k) esetében, költséghatékonyabb lehet, ha csak a központi munkaterülethez csatlakoztatja a fenyegetésjelzőket.

Ha ugyanazokat a veszélyforrás-jelzőket importálja minden egyes különálló munkaterületre, munkaterületek közötti lekérdezéseket futtathat a fenyegetésjelzők összesítéséhez a munkaterületeken. Korrelálja őket az MSSP incidensészlelési, vizsgálati és vadászati élményében.

TAXII fenyegetésintelligencia-hírcsatornák

A TAXII fenyegetésintelligencia-hírcsatornákhoz való csatlakozáshoz kövesse a Microsoft Sentinel STIX/TAXII fenyegetésfelderítési hírcsatornákhoz való csatlakoztatására vonatkozó utasításokat, valamint az egyes szállítók által megadott adatokat. Előfordulhat, hogy közvetlenül a szállítóval kell felvennie a kapcsolatot az összekötővel való használathoz szükséges adatok beszerzéséhez.

Kiberfenyegetettség-intelligencia kiemelése

• Ismerje meg az Accenture kiberfenyegetési intelligencia (CTI) és a Microsoft Sentinel integrációját.

Cybersixgill Darkfeed

• További információ a Cybersixgill És a Microsoft Sentinel integrációjáról.
• Csatlakoztassa a Microsoft Sentinelt a Cybersixgill TAXII-kiszolgálóhoz, és szerezzen hozzáférést a Darkfeedhez. Lépjen kapcsolatba azuresentinel@cybersixgill.com az API-gyökér, a gyűjteményazonosító, a felhasználónév és a jelszó beszerzéséhez.

Cyware threat intelligence exchange (CTIX)

A Cyware TIP-jének, a CTIX-nek az egyik összetevője, hogy az intel egy TAXII-csatornával kezelhető legyen a biztonsági információk és az eseménykezelés érdekében. A Microsoft Sentinel esetében kövesse az alábbi utasításokat:

• Ismerje meg, hogyan integrálható a Microsoft Sentinel

ESET

• Ismerje meg az ESET fenyegetésfelderítési ajánlatát.
• Csatlakoztassa a Microsoft Sentinelt az ESET TAXII-kiszolgálóhoz. Szerezze be az API fő URL-címét, gyűjteményazonosítóját, felhasználónevét és jelszavát az ESET-fiókjából. Ezután kövesse az általános utasításokat és az ESET tudásbázis cikkét.

Pénzügyi szolgáltatások információmegosztási és elemzőközpontja (FS-ISAC)

• Csatlakozzon az FS-ISAC-hoz a hírcsatorna eléréséhez szükséges hitelesítő adatok lekéréséhez.

Egészségügyiintelligencia-megosztó közösség (H-ISAC)

• Csatlakozzon a H-ISAC-hoz a hírcsatorna eléréséhez szükséges hitelesítő adatok lekéréséhez.

IBM X-Force

• További információ az IBM X-Force integrációjáról.

IntSights

• További információ a IntSights integration with Microsoft Sentinel @IntSights.
• Csatlakoztassa a Microsoft Sentinelt az IntSights TAXII-kiszolgálóhoz. Az API-gyökér, a gyűjteményazonosító, a felhasználónév és a jelszó beszerzése az IntSights portálon, miután konfigurálta a Microsoft Sentinelnek elküldeni kívánt adatok szabályzatát.

Kaspersky

• További információ a Kaspersky Microsoft Sentinellel való integrációjáról.

Impulzusos

• Ismerje meg a Pulsedive integrációt a Microsoft Sentinellel.

ReversingLabs

• További információ a ReversingLabs TAXII és a Microsoft Sentinel integrációjáról.

Sectrio

• További információ a Sectrio integrációjáról.
• Ismerje meg a Sectrio fenyegetésfelderítési hírcsatornájának a Microsoft Sentinelbe való integrálásának lépésenkénti folyamatát.

SEKOIA. IO

• További információ a SEKOIA-ról . I/O-integráció a Microsoft Sentinellel.

ThreatConnect

• További információ a STIX-ről és a TAXII-ról a ThreatConnectnél.
• Tekintse meg a TAXII-szolgáltatások dokumentációját a ThreatConnect webhelyen.

Integrált fenyegetésfelderítési platform termékei

A TIP-hírcsatornákhoz való csatlakozásról a Fenyegetésfelderítési platformok csatlakoztatása a Microsoft Sentinelhez című témakörben olvashat. Az alábbi megoldásokból megtudhatja, milyen egyéb információkra van szükség.

Agari Phishing Defense és Brand Protection

• Az Agari Phishing Defense és a Brand Protection összekapcsolásához használja a Microsoft Sentinel beépített Agari-adatösszekötőt.

Anomali ThreatStream

• A ThreatStream Integrator és -bővítmények letöltéséhez, valamint a ThreatStream-intelligencia Microsoft Graph-Biztonsági API való csatlakoztatására vonatkozó utasításokért tekintse meg a ThreatStream letöltési oldalát.

AlienVault Open Threat Exchange (OTX) az AT&T kiberbiztonságából

• Megtudhatja, hogy az AlienVault OTX hogyan használja az Azure Logic Appst (forgatókönyveket) a Microsoft Sentinelhez való csatlakozáshoz. Tekintse meg a teljes ajánlat teljes kihasználásához szükséges speciális utasításokat .

EclecticIQ Platform

• Az EclecticIQ Platform integrálható a Microsoft Sentinellel a fenyegetésészlelés, a vadászat és a reagálás javítása érdekében. További információ a kétirányú integráció előnyeiről és használati eseteiről .

GroupIB Threat Intelligence and Attribution

• A GroupIB Fenyegetésfelderítés és -hozzárendelés a Microsoft Sentinelhez való csatlakoztatásához a GroupIB a Logic Appst használja. Tekintse meg azokat a speciális utasításokat , amelyek a teljes ajánlat teljes kihasználásához szükségesek.

MISP nyílt forráskódú fenyegetésfelderítési platform

• Leküldéses fenyegetésjelzők a MISP-ből a Microsoft Sentinelbe a Threat Intelligence Upload Indicators API és a MISP2Sentinel használatával.
• Lásd: MISP2Sentinel az Azure Marketplace-en.
• További információ a MISP-projektről.

Palo Alto Networks MineMeld

• Ha a Palo Alto MineMeldet a Microsoft Sentinel kapcsolati adataival szeretné konfigurálni, olvassa el az IOCs-ek küldése a Microsoft Graph Biztonsági API a MineMeld használatával című témakört. Lépjen a "MineMeld Configuration" fejlécre.

Rögzített jövőbeli biztonságiintelligencia-platform

• Megtudhatja, hogyan használja a Rögzített jövő a Logic Appst (forgatókönyveket) a Microsoft Sentinelhez való csatlakozáshoz. Tekintse meg a teljes ajánlat teljes kihasználásához szükséges speciális utasításokat .

ThreatConnect Platform

• A ThreatConnect a Microsoft Sentinelhez való csatlakoztatására vonatkozó utasításokért tekintse meg a Microsoft Graph biztonsági fenyegetésjelzőinek integrációs útmutatóját.

ThreatQuotient fenyegetésfelderítési platform

• A ThreatQuotient TIP és a Microsoft Sentinel összekapcsolására vonatkozó támogatási információkért és utasításokért tekintse meg a Microsoft Sentinel Connector for ThreatQ-integrációt.

Incidensek kibővítési forrásai

A fenyegetésjelzők importálása mellett a fenyegetésintelligencia-hírcsatornák is szolgálhatnak forrásként az incidensek információinak gazdagításához, és több kontextust biztosíthatnak a vizsgálatokhoz. Az alábbi hírcsatornák ezt a célt szolgálják, és a Logic Apps forgatókönyveket biztosítanak az automatikus incidenskezeléshez. Keresse meg ezeket a bővítési forrásokat a Tartalomközpontban.

A megoldások keresésével és kezelésével kapcsolatos további információkért lásd a beépített tartalmak felderítését és üzembe helyezését.

HYAS Insight

• Incidensbővítési forgatókönyvek keresése és engedélyezése a HYAS Insighthoz a Microsoft Sentinel GitHub-adattárban. Almappák keresése a következővel kezdődően Enrich-Sentinel-Incident-HYAS-Insight-: .
• Tekintse meg a HYAS Insight Logic Apps-összekötő dokumentációját.

Microsoft Defender Intelligens veszélyforrás-felderítés

• Incidensbővítési forgatókönyvek keresése és engedélyezése Microsoft Defender Intelligens veszélyforrás-felderítés a Microsoft Sentinel GitHub-adattárban.
• További információt a Defender Threat Intelligence Tech Community blogbejegyzésében talál.

Rögzített jövőbeli biztonságiintelligencia-platform

• Incidensbővítési forgatókönyvek keresése és engedélyezése a Rögzített jövőhöz a Microsoft Sentinel GitHub-adattárban. Almappák keresése a következővel kezdődően RecordedFuture_: .
• Tekintse meg a Rögzített Jövő Logic Apps-összekötő dokumentációját.

ReversingLabs TitaniumCloud

• Incidensbővítési forgatókönyvek keresése és engedélyezése a ReversingLabs számára a Microsoft Sentinel GitHub-adattárban.
• Tekintse meg a ReversingLabs TitaniumCloud Logic Apps-összekötő dokumentációját.

RiskIQ PassiveTotal

• Keresse meg és engedélyezze a RiskIQ Passive Total incidensbővítési forgatókönyveit a Microsoft Sentinel GitHub-adattárban.
• További információk a RiskIQ-forgatókönyvek használatával kapcsolatban .
• Tekintse meg a RiskIQ PassiveTotal Logic Apps-összekötő dokumentációját.

VirusTotal

• Incidensbővítési forgatókönyvek keresése és engedélyezése a VirusTotalhoz a Microsoft Sentinel GitHub-adattárban. Almappák keresése a következővel kezdődően Get-VTURL: .
• Tekintse meg a VirusTotal Logic Apps-összekötő dokumentációját.

Kapcsolódó tartalom

Ebből a cikkből megtudhatja, hogyan csatlakoztathatja fenyegetésfelderítési szolgáltatóját a Microsoft Sentinelhez. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

• Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
• Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.