Sambungkan Microsoft Sentinel ke umpan inteligensi ancaman STIX/TAXII

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Standar industri yang paling banyak diadopsi untuk transmisi inteligensi ancaman adalah kombinasi format data STIX dan protokol TAXII. Jika organisasi Anda menerima indikator ancaman dari solusi yang mendukung versi STIX/TAXII saat ini (2.0 atau 2.1), Anda dapat menggunakan Inteligensi Ancaman - konektor data TAXII untuk membawa indikator ancaman Anda ke Microsoft Sentinel. Konektor ini memungkinkan klien TAXII bawaan di Microsoft Sentinel untuk mengimpor inteligensi ancaman dari server TAXII 2.x.

Jalur impor TAXII

Untuk mengimpor indikator ancaman yang diformat STIX ke Microsoft Sentinel dari server TAXII, Anda harus mendapatkan ID Koleksi dan Akar API server TAXII, lalu mengaktifkan konektor data TAXII - Inteligensi Ancaman di Microsoft Sentinel.

Pelajari selengkapnya tentang Inteligensi Ancaman di Microsoft Sentinel, dan khususnya tentang umpan inteligensi ancaman TAXII yang dapat diintegrasikan dengan Microsoft Sentinel.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Lihat juga: Menyambungkan platform inteligensi ancaman (TIP) Anda ke Microsoft Sentinel

Prasyarat

  • Untuk menginstal, memperbarui, dan menghapus konten atau solusi mandiri di hub konten, Anda memerlukan peran Kontributor Microsoft Azure Sentinel di tingkat grup sumber daya.
  • Anda harus memiliki izin membaca dan menulis ke ruang kerja Microsoft Azure Sentinel untuk menyimpan indikator ancaman Anda.
  • Anda harus memiliki TAXII 2.0 atau TAXII 2.1 API Root URI dan ID Koleksi.

Mendapatkan API Root dan ID Koleksi server TAXII

Server TAXII 2.x mengiklankan API Roots, yang merupakan URL yang meng-hosting Koleksi inteligensi ancaman. Anda biasanya dapat menemukan API Root dan ID Koleksi di halaman dokumentasi penyedia inteligensi ancaman yang menghosting server TAXII.

Catatan

Dalam beberapa kasus, penyedia hanya akan mengiklankan URL yang disebut Titik Akhir Penemuan. Anda dapat menggunakan utilitascURL untuk menelusuri titik akhir penemuan dan meminta API Root.

Menginstal solusi Inteligensi Ancaman di Microsoft Azure Sentinel

Untuk mengimpor indikator ancaman ke Microsoft Sentinel dari server TAXII, ikuti langkah-langkah berikut:

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen konten, pilih Hub konten.
    Untuk Microsoft Azure Sentinel di portal Defender, pilih hub Konten manajemen>Konten Microsoft Sentinel>.

  2. Temukan dan pilih solusi Inteligensi Ancaman.

  3. Pilih tombol Instal/Perbarui .

Untuk informasi selengkapnya tentang cara mengelola komponen solusi, lihat Menemukan dan menyebarkan konten di luar kotak.

Mengaktifkan inteligensi ancaman - konektor data TAXII

  1. Untuk mengonfigurasi konektor data TAXII, pilih menu Konektor data .

  2. Temukan dan pilih tombol halaman Konektor >data Inteligensi Ancaman - TAXII Buka konektor.

    Cuplikan layar yang menampilkan halaman konektor data dengan konektor data TAXII tercantum.

  3. Masukkan nama yang ramah untuk Koleksi server TAXII ini, API Root URL, ID Koleksi, a Nama Pengguna (jika diperlukan), dan Kata Sandi (jika diperlukan), dan pilih grup indikator dan frekuensi polling yang Anda inginkan. Pilih tombol Tambahkan.

    Mengonfigurasi server TAXII

Anda akan menerima konfirmasi bahwa sambungan ke server TAXII berhasil dibuat, dan Anda dapat mengulangi langkah terakhir di atas sebanyak yang Anda inginkan, untuk menyambung ke beberapa Koleksi dari satu atau beberapa server TAXII.

Dalam beberapa menit, indikator ancaman harus mulai mengalir ke ruang kerja Microsoft Sentinel ini. Anda dapat menemukan indikator baru di bilah Inteligensi Ancaman, dapat diakses dari menu navigasi Microsoft Azure Sentinel.

IP memungkinkan listing untuk klien TAXII Microsoft Sentinel

Beberapa server TAXII, seperti FS-ISAC, memiliki persyaratan untuk menyimpan alamat IP klien TAXII Microsoft Sentinel di daftar yang diizinkan. Sebagian besar server TAXII tidak memiliki persyaratan ini.

Bila relevan, alamat IP berikut adalah alamat untuk disertakan dalam daftar yang diizinkan:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Konten terkait

Dalam dokumen ini, Anda mempelajari cara menyambungkan Microsoft Sentinel ke umpan inteligensi ancaman menggunakan protokol TAXII. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut.