Fenyegetésfelderítési adatok integrálása a Microsoft Sentinelbe

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Sentinel többféle módszert is kínál a fenyegetésfelderítési hírcsatornák használatára annak érdekében, hogy a biztonsági elemzők képesek legyenek felismerni és rangsorolni az ismert fenyegetéseket.

• Használja a számos elérhető integrált fenyegetésfelderítési platform (TIP) termék egyikét.
• Csatlakozás a TAXII-kiszolgálókra, hogy kihasználják az STIX-kompatibilis fenyegetésfelderítési forrás előnyeit.
• Csatlakozás közvetlenül a Microsoft Defender Intelligens veszélyforrás-felderítés csatornához.
• Használjon olyan egyéni megoldásokat, amelyek közvetlenül kommunikálhatnak a Threat Intelligence Upload Indicators API-val.
• A forgatókönyvekből származó fenyegetésfelderítési forrásokhoz is csatlakozhat, hogy ti-információkkal bővítse az incidenseket, amelyek segíthetnek a közvetlen kivizsgálásban és a reagálási műveletekben.

Tipp.

Ha több munkaterülete van ugyanabban a bérlőben, például felügyelt biztonsági szolgáltatók (MSSP-k) esetében, költséghatékonyabb lehet, ha csak a központosított munkaterülethez csatlakoztatja a fenyegetésjelzőket.

Ha ugyanazokat a veszélyforrás-jelzőket importálja minden egyes különálló munkaterületre, munkaterületek közötti lekérdezéseket futtathat a fenyegetésjelzők összesítéséhez a munkaterületeken. Korrelálja őket az MSSP incidensészlelési, vizsgálati és vadászati élményében.

TAXII fenyegetésintelligencia-hírcsatornák

A TAXII fenyegetésintelligencia-hírcsatornákhoz való csatlakozáshoz kövesse a Microsoft Sentinel STIX/TAXII fenyegetésfelderítési hírcsatornákhoz való csatlakoztatására vonatkozó utasításokat, valamint az egyes szállítók által megadott adatokat. Előfordulhat, hogy közvetlenül a szállítóval kell felvennie a kapcsolatot az összekötővel való használathoz szükséges adatok beszerzéséhez.

Kiberfenyegetettség-intelligencia kiemelése

• Ismerje meg az Accenture Cyber Threat Intelligence (CTI) és a Microsoft Sentinel integrációját.

Cybersixgill Darkfeed

• További információ a Cybersixgill És a Microsoft Sentinel integrációjáról.
• Ha csatlakoztatni szeretné a Microsoft Sentinelt a Cybersixgill TAXII-kiszolgálóhoz, és hozzáférést szeretne kapni a Darkfeedhez, lépjen kapcsolatba azuresentinel@cybersixgill.com az API-gyökér, a gyűjteményazonosító, a felhasználónév és a jelszó beszerzéséhez.

E Standard kiadás T

• Ismerje meg az E Standard kiadás T fenyegetésfelderítési ajánlatát.
• A Microsoft Sentinel E Standard kiadás T TAXII-kiszolgálóhoz való csatlakoztatásához szerezze be az API fő URL-címét, gyűjteményazonosítóját, felhasználónevét és jelszavát az E Standard kiadás T-fiókjából. Ezután kövesse az általános utasításokat és az E Standard kiadás T tudásbázis cikkét.

Pénzügyi szolgáltatások információmegosztási és elemzőközpontja (FS-ISAC)

• Csatlakozzon az FS-ISAC-hoz a hírcsatorna eléréséhez szükséges hitelesítő adatok lekéréséhez.

Egészségügyiintelligencia-megosztó közösség (H-ISAC)

• Csatlakozzon a H-ISAC-hoz a hírcsatorna eléréséhez szükséges hitelesítő adatok lekéréséhez.

IBM X-Force

• További információ az IBM X-Force integrációjáról.

IntSights

• Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
• Ha csatlakoztatni szeretné a Microsoft Sentinelt az IntSights TAXII-kiszolgálóhoz, szerezze be az API-gyökerét, gyűjteményazonosítóját, felhasználónevét és jelszavát az IntSights portálról, miután konfigurálta a Microsoft Sentinelnek elküldeni kívánt adatok szabályzatát.

Kaspersky

• További információ a Kaspersky Microsoft Sentinellel való integrációjáról.

Impulzusos

• Ismerje meg a Pulsedive integrációt a Microsoft Sentinellel.

ReversingLabs

• További információ a ReversingLabs TAXII és a Microsoft Sentinel integrációjáról.

Sectrio

• További információ a Sectrio integrációjáról.
• A Sectrio TI-hírcsatornájának a Microsoft Sentinelbe való integrálásának lépésenkénti folyamata.

Standard kiadás KOIA. IO

• További információ a Standard kiadás KOIA-ról. I/O-integráció a Microsoft Sentinellel.

Fenyegetés Csatlakozás

• További információ a STIX-ről és a TAXII-ról a Threatben Csatlakozás.
• Lásd a TAXII Services dokumentációját a Threatben Csatlakozás

Integrált fenyegetésfelderítési platform termékei

A fenyegetésintelligencia-platform (TIP) hírcsatornáihoz való csatlakozással kapcsolatban lásd : Fenyegetésfelderítési platformok csatlakoztatása a Microsoft Sentinelhez. Az alábbi megoldásokból megtudhatja, hogy milyen további információkra van szükség.

Agari Phishing Defense és Brand Protection

• Az Agari Phishing Defense és a Brand Protection összekapcsolásához használja a Microsoft Sentinel beépített Agari-adatösszekötőt.

Anomali ThreatStream

• A ThreatStream Integrator és -bővítmények letöltéséhez, valamint a ThreatStream-intelligencia Microsoft Graph-Biztonsági API való csatlakoztatására vonatkozó utasításokért tekintse meg a ThreatStream letöltési oldalát.

AlienVault Open Threat Exchange (OTX) az AT&T kiberbiztonságából

• Az AlienVault OTX az Azure Logic Apps (forgatókönyvek) használatával csatlakozik a Microsoft Sentinelhez. Tekintse meg a teljes ajánlat teljes kihasználásához szükséges speciális utasításokat .

EclecticIQ Platform

• Az EclecticIQ Platform integrálható a Microsoft Sentinellel a fenyegetésészlelés, a vadászat és a reagálás javítása érdekében. További információ a kétirányú integráció előnyeiről és használati eseteiről .

GroupIB Threat Intelligence and Attribution

• A GroupIB Fenyegetésfelderítés és -hozzárendelés a Microsoft Sentinelhez való csatlakoztatásához a GroupIB az Azure Logic Appst használja. Tekintse meg a teljes ajánlat teljes kihasználásához szükséges speciális utasításokat .

MISP nyílt forráskódú fenyegetésfelderítési platform

• Leküldéses fenyegetésjelzők a MISP-ből a Microsoft Sentinelbe a TI upload indicators API és a MISP2Sentinel használatával.
• Itt található a MISP2Sentinelhez készült Azure Marketplace-hivatkozás.
• További információ a MISP-projektről.

Palo Alto Networks MineMeld

• Ha a Palo Alto MineMeldet a Microsoft Sentinel kapcsolati adataival szeretné konfigurálni, olvassa el az IOCs-ek küldése a Microsoft Graph Biztonsági API a MineMeld használatával című témakört, és ugorjon a MineMeld Configuration fejlécre.

Rögzített jövőbeli biztonságiintelligencia-platform

• A Rögzített jövő az Azure Logic Apps (forgatókönyvek) használatával csatlakozik a Microsoft Sentinelhez. Tekintse meg a teljes ajánlat teljes kihasználásához szükséges speciális utasításokat .

Fenyegetés Csatlakozás platform

• A Fenyegetés Csatlakozás a Microsoft Sentinelhez való csatlakoztatására vonatkozó utasításokért tekintse meg a Microsoft Graph biztonsági fenyegetésjelzőinek integrációs konfigurációs útmutatóját.

ThreatQuotient Threat Intelligence Platform

• A ThreatQ-integrációhoz készült Microsoft Sentinel Csatlakozás orban talál támogatási információkat és útmutatást a ThreatQuotient TIP és a Microsoft Sentinel összekapcsolásához.

Incidensek kibővítési forrásai

A fenyegetésjelzők importálása mellett a fenyegetésintelligencia-hírcsatornák is szolgálhatnak forrásként az incidensek információinak gazdagításához, és több kontextust biztosíthatnak a vizsgálatokhoz. Az alábbi hírcsatornák ezt a célt szolgálják, és logikai alkalmazás forgatókönyveket biztosítanak az automatikus incidenskezeléshez. Keresse meg ezeket a bővítési forrásokat a Tartalomközpontban.

A megoldások keresésével és kezelésével kapcsolatos további információkért lásd a beépített tartalmak felderítését és üzembe helyezését.

HYAS Insight

• Incidensbővítési forgatókönyvek keresése és engedélyezése a HYAS Insighthoz a Microsoft Sentinel GitHub-adattárban. Almappák keresése a következővel kezdődően Enrich-Sentinel-Incident-HYAS-Insight-: .
• Tekintse meg a HYAS Insight Logic App-összekötő dokumentációját.

Microsoft Defender Intelligens veszélyforrás-felderítés

• Incidensbővítési forgatókönyvek keresése és engedélyezése Microsoft Defender Intelligens veszélyforrás-felderítés a Microsoft Sentinel GitHub-adattárban.
• További információt az MDTI Tech Community blogbejegyzésében talál.

Rögzített jövőbeli biztonságiintelligencia-platform

• Incidensbővítési forgatókönyvek keresése és engedélyezése a Rögzített jövőhöz a Microsoft Sentinel GitHub-adattárban. Almappák keresése a következővel kezdődően RecordedFuture_: .
• Tekintse meg a Rögzített jövőbeli logikai alkalmazás összekötő dokumentációját.

ReversingLabs TitaniumCloud

• Incidensbővítési forgatókönyvek keresése és engedélyezése a ReversingLabs számára a Microsoft Sentinel GitHub-adattárban.
• Tekintse meg a ReversingLabs TitaniumCloud logikai alkalmazás összekötőjének dokumentációját.

RiskIQ passzív összeg

• Incidensbővítési forgatókönyvek keresése és engedélyezése a RiskIQ Passzív összeghez a Microsoft Sentinel GitHub-adattárban.
• További információk a RiskIQ-forgatókönyvek használatával kapcsolatban .
• Tekintse meg a RiskIQ PassiveTotal Logic App-összekötő dokumentációját.

Virus Total

• A Virus Total incidensbővítési forgatókönyveinek megkeresése és engedélyezése a Microsoft Sentinel GitHub-adattárban. Almappák keresése a következővel kezdődően Get-VTURL: .
• Tekintse meg a Virus Total Logic App-összekötő dokumentációját.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan csatlakoztathatja fenyegetésintelligencia-szolgáltatóját a Microsoft Sentinelhez. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben.

• Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
• Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.