Csatlakozás Microsoft Sentinelt a STIX/TAXII fenyegetésfelderítési hírcsatornákhoz

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A fenyegetésintelligencia átvitelének legelfogadottabb iparági szabványa a STIX adatformátum és a TAXII protokoll kombinációja. Ha a szervezet fenyegetésjelzőket kap az aktuális STIX/TAXII-verziót támogató megoldásoktól (2.0 vagy 2.1), a fenyegetésjelzőket a Fenyegetésfelderítés – TAXII adatösszekötő használatával viheti be a Microsoft Sentinelbe. Ez az összekötő lehetővé teszi, hogy a Microsoft Sentinel beépített TAXII-ügyfele importálja a fenyegetésfelderítést a TAXII 2.x-kiszolgálókról.

TAXII importálási útvonala

Ha STIX formátumú fenyegetésjelzőket szeretne importálni a Microsoft Sentinelbe egy TAXII-kiszolgálóról, le kell szereznie a TAXII-kiszolgáló API gyökér- és gyűjteményazonosítóját, majd engedélyeznie kell a Fenyegetésfelderítés – TAXII adatösszekötőt a Microsoft Sentinelben.

További információ a Microsoft Sentinel fenyegetésintelligencia-hírcsatornáiról, valamint a Microsoft Sentinelbe integrálható TAXII fenyegetésfelderítési hírcsatornákról.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Lásd még: Csatlakozás a fenyegetésfelderítési platformot (TIP) a Microsoft Sentinelhez

Előfeltételek

  • Az önálló tartalmak vagy megoldások tartalomközpontban való telepítéséhez, frissítéséhez és törléséhez az erőforráscsoport szintjén a Microsoft Sentinel közreműködői szerepkörre van szükség.
  • A fenyegetésjelzők tárolásához olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.
  • Taxii 2.0 vagy TAXII 2.1 API Root URI-val és gyűjteményazonosítóval kell rendelkeznie.

A TAXII-kiszolgáló API-gyökér- és gyűjteményazonosítójának lekérése

A TAXII 2.x-kiszolgálók api-gyökereket hirdetnek, amelyek olyan URL-címek, amelyek fenyegetésfelderítési gyűjteményeket üzemeltetnek. Az API-gyökér és a gyűjteményazonosító általában a TAXII-kiszolgálót üzemeltető fenyegetésintelligencia-szolgáltató dokumentációs oldalain található.

Feljegyzés

Bizonyos esetekben a szolgáltató csak egy felderítési végpontnak nevezett URL-címet fog meghirdetni. A cURL segédprogrammal tallózhat a felderítési végponton, és kérheti az API Rootot.

A Fenyegetésfelderítési megoldás telepítése a Microsoft Sentinelben

Ha egy TAXII-kiszolgálóról szeretne fenyegetésjelzőket importálni a Microsoft Sentinelbe, kövesse az alábbi lépéseket:

  1. Az Azure PortalOn a Microsoft Sentinel esetében a Tartalomkezelés területen válassza a Content Hub lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Tartalomkezelési>tartalomközpontot.

  2. Keresse meg és válassza ki a fenyegetésfelderítési megoldást.

  3. Válassza a Telepítés/frissítés gombot.

A megoldásösszetevők kezelésével kapcsolatos további információkért tekintse meg a beépített tartalmak felderítését és üzembe helyezését ismertető cikket.

A fenyegetésintelligencia engedélyezése – TAXII-adatösszekötő

  1. A TAXII-adatösszekötő konfigurálásához válassza az Adatösszekötők menüt .

  2. Keresse meg és válassza ki a Fenyegetésintelligencia – TAXII-adatösszekötő>Összekötő megnyitása lap gombot.

    Képernyőkép az adatösszekötők oldalról a TAXII-adatösszekötő listázásával.

  3. Adjon meg egy rövid nevet ennek a TAXII-kiszolgálógyűjteménynek, az API gyökér URL-címének, a gyűjtemény azonosítójának, egy felhasználónévnek (ha szükséges) és egy jelszónak (ha szükséges), és válassza ki a mutatócsoportot és a lekérdezési gyakoriságot. Válassza a Hozzáadás gombot.

    TAXII-kiszolgálók konfigurálása

Megerősítést kell kapnia arról, hogy a TAXII-kiszolgálóval való kapcsolat sikeresen létrejött, és a fenti utolsó lépést annyiszor megismételheti, amennyit csak szeretne, hogy egy vagy több TAXII-kiszolgáló több gyűjteményéhez csatlakozzon.

Néhány percen belül a fenyegetésjelzőknek el kell indulnia ebbe a Microsoft Sentinel-munkaterületbe. Az új jelzőket a Fenyegetésintelligencia panelen találja, amely a Microsoft Sentinel navigációs menüjéből érhető el.

A Microsoft Sentinel TAXII-ügyfél IP-engedélyezési listája

Egyes TAXII-kiszolgálóknak, például az FS-ISAC-nak meg kell őrizniük a Microsoft Sentinel TAXII-ügyfél IP-címét az engedélyezési listán. A LEGTÖBB TAXII-kiszolgáló nem rendelkezik ezzel a követelményrel.

Ha releváns, a következő IP-címek szerepelnek az engedélyezési listán:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Kapcsolódó tartalom

Ebben a dokumentumban megtanulta, hogyan csatlakoztathatja a Microsoft Sentinelt a fenyegetésfelderítési hírcsatornákhoz a TAXII protokoll használatával. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben.