Bagikan melalui

Sambungkan Microsoft Sentinel ke umpan inteligensi ancaman STIX/TAXII

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Standar industri yang paling banyak diadopsi untuk transmisi inteligensi ancaman adalah kombinasi format data STIX dan protokol TAXII. Jika organisasi Anda menerima indikator ancaman dari solusi yang mendukung versi STIX/TAXII saat ini (2.0 atau 2.1), Anda dapat menggunakan Inteligensi Ancaman - konektor data TAXII untuk membawa indikator ancaman Anda ke Microsoft Sentinel. Konektor ini memungkinkan klien TAXII bawaan di Microsoft Sentinel untuk mengimpor inteligensi ancaman dari server TAXII 2.x.

Cuplikan layar yang memperlihatkan jalur impor TAXII.

Untuk mengimpor indikator ancaman berformat STIX ke Microsoft Azure Sentinel dari server TAXII, Anda harus mendapatkan akar API server TAXII dan ID pengumpulan. Kemudian Anda mengaktifkan konektor data Inteligensi Ancaman - TAXII di Microsoft Azure Sentinel.

Pelajari selengkapnya tentang inteligensi ancaman di Microsoft Azure Sentinel, dan khususnya tentang umpan inteligensi ancaman TAXII yang dapat Anda integrasikan dengan Microsoft Azure Sentinel.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Untuk informasi selengkapnya, lihat Menyambungkan platform inteligensi ancaman (TIP) Anda ke Microsoft Azure Sentinel.

Penting

Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Prasyarat

  • Untuk menginstal, memperbarui, dan menghapus konten atau solusi mandiri di hub Konten, Anda memerlukan peran Kontributor Microsoft Azure Sentinel di tingkat grup sumber daya.
  • Anda harus memiliki izin membaca dan menulis ke ruang kerja Microsoft Azure Sentinel untuk menyimpan indikator ancaman Anda.
  • Anda harus memiliki TAXII 2.0 atau TAXII 2.1 API root URI dan ID koleksi.

Mendapatkan akar API server TAXII dan ID pengumpulan

Server TAXII 2.x mengiklankan akar API, yang merupakan URL yang menghosting kumpulan inteligensi ancaman. Anda biasanya dapat menemukan akar API dan ID koleksi di halaman dokumentasi penyedia inteligensi ancaman yang menghosting server TAXII.

Catatan

Dalam beberapa kasus, penyedia hanya mengiklankan URL yang disebut titik akhir penemuan. Anda dapat menggunakan utilitas cURL untuk menelusuri titik akhir penemuan dan meminta akar API.

Menginstal solusi Inteligensi Ancaman di Microsoft Azure Sentinel

Untuk mengimpor indikator ancaman ke Microsoft Sentinel dari server TAXII, ikuti langkah-langkah berikut:

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen konten, pilih Hub konten.

    Untuk Microsoft Azure Sentinel di portal Defender, pilih hub Konten manajemen>Konten Microsoft Sentinel>.

  2. Temukan dan pilih solusi Inteligensi Ancaman.

  3. Pilih tombol Instal/Perbarui .

Untuk informasi selengkapnya tentang cara mengelola komponen solusi, lihat Menemukan dan menyebarkan konten di luar kotak.

Mengaktifkan konektor data Inteligensi Ancaman - TAXII

  1. Untuk mengonfigurasi konektor data TAXII, pilih menu Konektor data .

  2. Temukan dan pilih konektor data Inteligensi Ancaman - TAXII , lalu pilih Buka halaman konektor.

    Cuplikan layar yang memperlihatkan halaman Konektor data dengan konektor data TAXII tercantum.

  3. Masukkan nama untuk kumpulan server TAXII ini di kotak teks Nama yang mudah diingat. Isi kotak teks untuk URL akar API, ID Koleksi, Nama Pengguna (jika perlu), dan Kata Sandi (jika perlu). Pilih grup indikator dan frekuensi polling yang Anda inginkan. Pilih Tambahkan.

    Cuplikan layar yang memperlihatkan konfigurasi server TAXII.

Anda harus menerima konfirmasi bahwa koneksi ke server TAXII berhasil dibuat. Ulangi langkah terakhir sebanyak yang Anda inginkan untuk menyambungkan ke beberapa koleksi dari satu atau beberapa server TAXII.

Dalam beberapa menit, indikator ancaman harus mulai mengalir ke ruang kerja Microsoft Sentinel ini. Temukan indikator baru di panel Inteligensi ancaman . Anda dapat mengaksesnya dari menu Microsoft Azure Sentinel.

Daftar IP yang diizinkan untuk klien TAXII Microsoft Sentinel

Beberapa server TAXII, seperti FS-ISAC, memiliki persyaratan untuk menyimpan alamat IP klien TAXII Microsoft Sentinel di daftar yang diizinkan. Sebagian besar server TAXII tidak memiliki persyaratan ini.

Jika relevan, alamat IP berikut adalah alamat yang akan disertakan dalam daftar izin Anda:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Konten terkait

Dalam artikel ini, Anda mempelajari cara menyambungkan Microsoft Sentinel ke umpan inteligensi ancaman dengan menggunakan protokol TAXII. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut: