Fenyegetésfelderítési adatok integrálása a Microsoft Sentinelbe
A Microsoft Sentinel többféle módszert is kínál a fenyegetésfelderítési hírcsatornák használatára annak érdekében, hogy a biztonsági elemzők képesek legyenek felismerni és rangsorolni az ismert fenyegetéseket.
- Használja a számos elérhető integrált fenyegetésfelderítési platform (TIP) termék egyikét.
- Csatlakozás a TAXII-kiszolgálókra, hogy kihasználják az STIX-kompatibilis fenyegetésfelderítési forrás előnyeit.
- Csatlakozás közvetlenül a Microsoft Defender Intelligens veszélyforrás-felderítés csatornához.
- Használjon olyan egyéni megoldásokat, amelyek közvetlenül kommunikálhatnak a Threat Intelligence Upload Indicators API-val.
- A forgatókönyvekből származó fenyegetésfelderítési forrásokhoz is csatlakozhat, hogy ti-információkkal bővítse az incidenseket, amelyek segíthetnek a közvetlen kivizsgálásban és a reagálási műveletekben.
Tipp.
Ha több munkaterülete van ugyanabban a bérlőben, például felügyelt biztonsági szolgáltatók (MSSP-k) esetében, költséghatékonyabb lehet, ha csak a központosított munkaterülethez csatlakoztatja a fenyegetésjelzőket.
Ha ugyanazokat a veszélyforrás-jelzőket importálja minden egyes különálló munkaterületre, munkaterületek közötti lekérdezéseket futtathat a fenyegetésjelzők összesítéséhez a munkaterületeken. Korrelálja őket az MSSP incidensészlelési, vizsgálati és vadászati élményében.
TAXII fenyegetésintelligencia-hírcsatornák
A TAXII fenyegetésintelligencia-hírcsatornákhoz való csatlakozáshoz kövesse a Microsoft Sentinel STIX/TAXII fenyegetésfelderítési hírcsatornákhoz való csatlakoztatására vonatkozó utasításokat, valamint az egyes szállítók által megadott adatokat. Előfordulhat, hogy közvetlenül a szállítóval kell felvennie a kapcsolatot az összekötővel való használathoz szükséges adatok beszerzéséhez.
Kiberfenyegetettség-intelligencia kiemelése
Cybersixgill Darkfeed
- További információ a Cybersixgill És a Microsoft Sentinel integrációjáról.
- Ha csatlakoztatni szeretné a Microsoft Sentinelt a Cybersixgill TAXII-kiszolgálóhoz, és hozzáférést szeretne kapni a Darkfeedhez, lépjen kapcsolatba azuresentinel@cybersixgill.com az API-gyökér, a gyűjteményazonosító, a felhasználónév és a jelszó beszerzéséhez.
E Standard kiadás T
- Ismerje meg az E Standard kiadás T fenyegetésfelderítési ajánlatát.
- A Microsoft Sentinel E Standard kiadás T TAXII-kiszolgálóhoz való csatlakoztatásához szerezze be az API fő URL-címét, gyűjteményazonosítóját, felhasználónevét és jelszavát az E Standard kiadás T-fiókjából. Ezután kövesse az általános utasításokat és az E Standard kiadás T tudásbázis cikkét.
Pénzügyi szolgáltatások információmegosztási és elemzőközpontja (FS-ISAC)
- Csatlakozzon az FS-ISAC-hoz a hírcsatorna eléréséhez szükséges hitelesítő adatok lekéréséhez.
Egészségügyiintelligencia-megosztó közösség (H-ISAC)
- Csatlakozzon a H-ISAC-hoz a hírcsatorna eléréséhez szükséges hitelesítő adatok lekéréséhez.
IBM X-Force
IntSights
- Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
- Ha csatlakoztatni szeretné a Microsoft Sentinelt az IntSights TAXII-kiszolgálóhoz, szerezze be az API-gyökerét, gyűjteményazonosítóját, felhasználónevét és jelszavát az IntSights portálról, miután konfigurálta a Microsoft Sentinelnek elküldeni kívánt adatok szabályzatát.
Kaspersky
Impulzusos
ReversingLabs
Sectrio
- További információ a Sectrio integrációjáról.
- A Sectrio TI-hírcsatornájának a Microsoft Sentinelbe való integrálásának lépésenkénti folyamata.
Standard kiadás KOIA. IO
Fenyegetés Csatlakozás
- További információ a STIX-ről és a TAXII-ról a Threatben Csatlakozás.
- Lásd a TAXII Services dokumentációját a Threatben Csatlakozás
Integrált fenyegetésfelderítési platform termékei
A fenyegetésintelligencia-platform (TIP) hírcsatornáihoz való csatlakozással kapcsolatban lásd : Fenyegetésfelderítési platformok csatlakoztatása a Microsoft Sentinelhez. Az alábbi megoldásokból megtudhatja, hogy milyen további információkra van szükség.
Agari Phishing Defense és Brand Protection
- Az Agari Phishing Defense és a Brand Protection összekapcsolásához használja a Microsoft Sentinel beépített Agari-adatösszekötőt.
Anomali ThreatStream
- A ThreatStream Integrator és -bővítmények letöltéséhez, valamint a ThreatStream-intelligencia Microsoft Graph-Biztonsági API való csatlakoztatására vonatkozó utasításokért tekintse meg a ThreatStream letöltési oldalát.
AlienVault Open Threat Exchange (OTX) az AT&T kiberbiztonságából
- Az AlienVault OTX az Azure Logic Apps (forgatókönyvek) használatával csatlakozik a Microsoft Sentinelhez. Tekintse meg a teljes ajánlat teljes kihasználásához szükséges speciális utasításokat .
EclecticIQ Platform
- Az EclecticIQ Platform integrálható a Microsoft Sentinellel a fenyegetésészlelés, a vadászat és a reagálás javítása érdekében. További információ a kétirányú integráció előnyeiről és használati eseteiről .
GroupIB Threat Intelligence and Attribution
- A GroupIB Fenyegetésfelderítés és -hozzárendelés a Microsoft Sentinelhez való csatlakoztatásához a GroupIB az Azure Logic Appst használja. Tekintse meg a teljes ajánlat teljes kihasználásához szükséges speciális utasításokat .
MISP nyílt forráskódú fenyegetésfelderítési platform
- Leküldéses fenyegetésjelzők a MISP-ből a Microsoft Sentinelbe a TI upload indicators API és a MISP2Sentinel használatával.
- Itt található a MISP2Sentinelhez készült Azure Marketplace-hivatkozás.
- További információ a MISP-projektről.
Palo Alto Networks MineMeld
- Ha a Palo Alto MineMeldet a Microsoft Sentinel kapcsolati adataival szeretné konfigurálni, olvassa el az IOCs-ek küldése a Microsoft Graph Biztonsági API a MineMeld használatával című témakört, és ugorjon a MineMeld Configuration fejlécre.
Rögzített jövőbeli biztonságiintelligencia-platform
- A Rögzített jövő az Azure Logic Apps (forgatókönyvek) használatával csatlakozik a Microsoft Sentinelhez. Tekintse meg a teljes ajánlat teljes kihasználásához szükséges speciális utasításokat .
Fenyegetés Csatlakozás platform
- A Fenyegetés Csatlakozás a Microsoft Sentinelhez való csatlakoztatására vonatkozó utasításokért tekintse meg a Microsoft Graph biztonsági fenyegetésjelzőinek integrációs konfigurációs útmutatóját.
ThreatQuotient Threat Intelligence Platform
- A ThreatQ-integrációhoz készült Microsoft Sentinel Csatlakozás orban talál támogatási információkat és útmutatást a ThreatQuotient TIP és a Microsoft Sentinel összekapcsolásához.
Incidensek kibővítési forrásai
A fenyegetésjelzők importálása mellett a fenyegetésintelligencia-hírcsatornák is szolgálhatnak forrásként az incidensek információinak gazdagításához, és több kontextust biztosíthatnak a vizsgálatokhoz. Az alábbi hírcsatornák ezt a célt szolgálják, és logikai alkalmazás forgatókönyveket biztosítanak az automatikus incidenskezeléshez. Keresse meg ezeket a bővítési forrásokat a Tartalomközpontban.
A megoldások keresésével és kezelésével kapcsolatos további információkért lásd a beépített tartalmak felderítését és üzembe helyezését.
HYAS Insight
- Incidensbővítési forgatókönyvek keresése és engedélyezése a HYAS Insighthoz a Microsoft Sentinel GitHub-adattárban. Almappák keresése a következővel kezdődően
Enrich-Sentinel-Incident-HYAS-Insight-
: . - Tekintse meg a HYAS Insight Logic App-összekötő dokumentációját.
Microsoft Defender Intelligens veszélyforrás-felderítés
- Incidensbővítési forgatókönyvek keresése és engedélyezése Microsoft Defender Intelligens veszélyforrás-felderítés a Microsoft Sentinel GitHub-adattárban.
- További információt az MDTI Tech Community blogbejegyzésében talál.
Rögzített jövőbeli biztonságiintelligencia-platform
- Incidensbővítési forgatókönyvek keresése és engedélyezése a Rögzített jövőhöz a Microsoft Sentinel GitHub-adattárban. Almappák keresése a következővel kezdődően
RecordedFuture_
: . - Tekintse meg a Rögzített jövőbeli logikai alkalmazás összekötő dokumentációját.
ReversingLabs TitaniumCloud
- Incidensbővítési forgatókönyvek keresése és engedélyezése a ReversingLabs számára a Microsoft Sentinel GitHub-adattárban.
- Tekintse meg a ReversingLabs TitaniumCloud logikai alkalmazás összekötőjének dokumentációját.
RiskIQ passzív összeg
- Incidensbővítési forgatókönyvek keresése és engedélyezése a RiskIQ Passzív összeghez a Microsoft Sentinel GitHub-adattárban.
- További információk a RiskIQ-forgatókönyvek használatával kapcsolatban .
- Tekintse meg a RiskIQ PassiveTotal Logic App-összekötő dokumentációját.
Virus Total
- A Virus Total incidensbővítési forgatókönyveinek megkeresése és engedélyezése a Microsoft Sentinel GitHub-adattárban. Almappák keresése a következővel kezdődően
Get-VTURL
: . - Tekintse meg a Virus Total Logic App-összekötő dokumentációját.
Következő lépések
Ebben a dokumentumban megtanulta, hogyan csatlakoztathatja fenyegetésintelligencia-szolgáltatóját a Microsoft Sentinelhez. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben.
- Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
- Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.