Integrasi inteligensi ancaman di Microsoft Azure Sentinel

• Berlaku untuk:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Azure Sentinel memberi Anda beberapa cara berbeda untuk menggunakan umpan inteligensi ancaman untuk meningkatkan kemampuan analis keamanan Anda dalam mendeteksi dan memprioritaskan ancaman yang diketahui.

• Gunakan salah satu dari banyak produk platform inteligensi ancaman (TIP) terintegrasi yang tersedia.
• Koneksi ke server TAXII untuk memanfaatkan sumber inteligensi ancaman yang kompatibel dengan STIX.
• Koneksi langsung ke umpan Inteligensi Ancaman Microsoft Defender.
• Manfaatkan solusi kustom apa pun yang dapat berkomunikasi langsung dengan API Indikator Pengunggahan Inteligensi Ancaman.
• Anda juga dapat tersambung ke sumber intelijensi ancaman dari playbook, untuk memperkaya insiden dengan informasi TI yang dapat membantu mengarahkan tindakan investigasi dan respons.

Tip

Jika Anda memiliki beberapa ruang kerja di penyewa yang sama, seperti untuk Penyedia Layanan Keamanan Terkelola (MSP), mungkin lebih hemat biaya untuk menghubungkan indikator ancaman hanya ke ruang kerja terpusat.

Bila Anda memiliki set indikator ancaman yang sama yang diimpor ke setiap ruang kerja terpisah, Anda dapat menjalankan kueri lintas ruang kerja ke indikator ancaman agregat di ruang kerja Anda. Korelasikan mereka dalam deteksi insiden MSSP, penyelidikan, dan pengalaman berburu Anda.

Umpan inteligensi ancaman TAXII

Untuk menyambungkan ke umpan inteligensi ancaman TAXII, ikuti instruksi untuk menghubungkan Microsoft Sentinel ke umpan inteligensi ancaman STIX/TAXII, bersama dengan data yang disediakan oleh setiap vendor. Anda mungkin perlu menghubungi vendor secara langsung untuk mendapatkan data yang diperlukan untuk digunakan dengan konektor.

Inteligensi Ancaman Cyber Aksentur

• Pelajari tentang integrasi Accenture Cyber Threat Intelligence (CTI) dengan Microsoft Sentinel.

Cybersixgill Darkfeed

• Pelajari tentang integrasi Cybersixgill dengan Microsoft Sentinel.
• Untuk menyambungkan Microsoft Sentinel ke Server TAXII Cybersixgill dan mendapatkan akses ke Darkfeed, hubungi azuresentinel@cybersixgill.com untuk mendapatkan Akar API, ID Koleksi, Nama Pengguna, dan Kata Sandi.

ESET

• Pelajari tentang penawaran inteligensi ancaman ESET.
• Untuk menyambungkan Microsoft Sentinel ke server ESET TAXII, dapatkan URL akar API, ID Koleksi, Nama Pengguna, dan Kata Sandi dari akun ESET Anda. Kemudian ikuti instruksi umum dan artikel basis pengetahuan ESET.

Pusat Analisis dan Berbagi Informasi Layanan Keuangan (FS-ISAC)

• Bergabunglah dengan FS-ISAC untuk mendapatkan info masuk untuk mengakses umpan ini.

Komunitas berbagi kecerdasan kesehatan (H-ISAC)

• Bergabunglah dengan H-ISAC untuk mendapatkan info masuk untuk mengakses umpan ini.

IBM X-Force

• Pelajari selengkapnya tentang integrasi IBM X-Force.

IntSights

• Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
• Untuk menghubungkan Microsoft Azure Sentinel ke IntSights TAXII Server, dapatkan API Root, ID Kumpulan, Nama pengguna, dan Kata sandi dari portal IntSights setelah Anda mengonfigurasi kebijakan data yang ingin Anda kirim ke Microsoft Azure Sentinel.

Kaspersky

• Pelajari tentang integrasi Kaspersky dengan Microsoft Sentinel.

Pulsedive

• Pelajari tentang integrasi Pulsedive dengan Microsoft Azure Sentinel.

ReversingLabs

• Pelajari tentang integrasi TAXII ReversingLabs dengan Microsoft Sentinel.

Sectrio

• Pelajari selengkapnya tentang integrasi Sectrio.
• Proses langkah demi langkah untuk mengintegrasikan umpan TI Sectrio ke Microsoft Sentinel.

SEKOIA.IO

• Pelajari tentang SEKOIA. Integrasi IO dengan Microsoft Azure Sentinel.

ThreatConnect

• Pelajari selengkapnya tentang STIX dan TAXII di Threat Koneksi.
• Lihat dokumentasi Layanan TAXII di Threat Koneksi

Produk platform intelijensi ancaman terintegrasi

Untuk menyambungkan ke umpan Threat Intelligence Platform (TIP), lihat menyambungkan platform Inteligensi Ancaman ke Microsoft Azure Sentinel. Lihat solusi berikut untuk mempelajari informasi tambahan apa yang diperlukan.

Pertahanan Phishing dan Perlindungan Merek Agari

• Untuk menghubungkan Agari Phishing Defense and Brand Protection, gunakan konektor data Agari bawaan di Microsoft Azure Sentinel.

Anomali ThreatStream

• Untuk mengunduh Ekstensi dan Integrator ThreatStream, serta instruksi untuk menyambungkan inteligensi ThreatStream ke API Microsoft Graph Security, lihat halaman Unduhan ThreatStream.

AlienVault Open Threat Exchange (OTX) dari AT&T Cybersecurity

• AlienVault OTX memanfaatkan Azure Logic Apps (playbook) untuk tersambung ke Microsoft Azure Sentinel. Lihat instruksi khusus yang diperlukan untuk mengambil keuntungan penuh dari penawaran lengkap.

Platform EclecticIQ

• Platform EclecticIQ terintegrasi dengan Microsoft Azure Sentinel untuk meningkatkan deteksi, perburuan, dan respons ancaman. Pelajari selengkapnya tentang keuntungan dan kasus penggunaan integrasi dua arah ini.

Atribusi dan Inteligensi Ancaman GroupIB

• Untuk menyambungkan Inteligensi ancaman dan Atribusi GroupIB ke Microsoft Azure Sentinel, GroupIB menggunakan Azure Logic Apps. Lihat instruksi khusus yang diperlukan untuk mengambil keuntungan penuh dari penawaran lengkap.

Platform Inteligensi Ancaman Sumber Terbuka MISP

• Dorong indikator ancaman dari MISP ke Microsoft Azure Sentinel menggunakan API indikator pengunggahan TI dengan MISP2Sentinel.
• Berikut adalah tautan Marketplace Azure untuk MISP2Sentinel.
• Pelajari selengkapnya tentang Proyek MISP.

Jaringan Palo Alto MineMeld

• Untuk mengonfigurasi Palo Alto MineMeld dengan informasi koneksi ke Microsoft Azure Sentinel, lihat Mengirim IOC ke API Keamanan Microsoft Graph menggunakan MineMeld dan langsung ke judul Konfigurasi MineMeld.

Platform Kecerdasan Keamanan Recorded Future

• Masa Depan Tercatat menggunakan Azure Logic Apps (playbook) untuk terhubung ke Microsoft Azure Sentinel. Lihat instruksi khusus yang diperlukan untuk mengambil keuntungan penuh dari penawaran lengkap.

Platform ThreatConnect

• Lihat Panduan Konfigurasi Integrasi Indikator Ancaman Keamanan Microsoft Graph untuk mendapatkan instruksi untuk menyambungkan ThreatConnect ke Microsoft Azure Sentinel.

Platform Kecerdasan Keamanan ThreatQuotient

• Lihat Integrasi Konektor Microsoft Azure Sentinel untuk ThreatQ untuk informasi dan instruksi dukungan dalam menghubungkan TIP ThreatQuotient ke Microsoft Azure Sentinel.

Sumber pengayaan insiden

Selain digunakan untuk mengimpor indikator ancaman, umpan inteligensi ancaman juga dapat berfungsi sebagai sumber untuk memperkaya informasi dalam insiden Anda dan memberikan konteks lebih lanjut untuk penyelidikan Anda. Umpan berikut melayani tujuan ini, dan menyediakan playbook Aplikasi Logika untuk digunakan dalam respons insiden otomatis Anda. Temukan sumber pengayaan ini di hub Konten.

Untuk informasi selengkapnya tentang cara menemukan dan mengelola solusi, lihat Menemukan dan menyebarkan konten di luar kotak.

HYAS Insight

• Temukan dan aktifkan playbook pengayaan insiden untuk HYAS Insight di repositori GitHub Microsoft Azure Sentinel. Cari subfolder yang dimulai dengan Enrich-Sentinel-Incident-HYAS-Insight-.
• Lihat dokumentasi konektor Aplikasi Logika HYAS Insight.

Inteligensi Ancaman Pertahanan Microsoft

• Temukan dan aktifkan playbook pengayaan insiden untuk Inteligensi Ancaman Microsoft Defender di repositori GitHub Microsoft Sentinel.
• Lihat posting blog Komunitas Teknologi MDTI untuk informasi selengkapnya.

Platform Kecerdasan Keamanan Recorded Future

• Temukan dan aktifkan playbook pengayaan insiden untuk Masa Depan Tercatat di repositori GitHub Microsoft Azure Sentinel. Cari subfolder yang dimulai dengan RecordedFuture_.
• Lihat dokumentasi konektorAplikasi Logika Recorded Future.

ReversingLabs TitaniumCloud

• Temukan dan aktifkan playbook pengayaan insiden untuk ReversingLabs di repositori GitHub Microsoft Azure Sentinel.
• Lihat dokumentasi konektor ReversingLabs TitaniumCloud Logic App.

RiskIQ Passive Total

• Temukan dan aktifkan playbook pengayaan insiden untuk RiskIQ Passive Total di repositori GitHub Microsoft Azure Sentinel.
• Lihat informasi selengkapnya tentang bekerja dengan playbook RiskIQ.
• Lihat dokumentasi konektor Aplikasi Logika RiskIQ PassiveTotal.

Virus Total

• Temukan dan aktifkan playbook pengayaan insiden untuk Total Virus di repositori GitHub Microsoft Azure Sentinel. Cari subfolder yang dimulai dengan Get-VTURL.
• Lihat dokumentasi konektor Aplikasi Logika Virus Total.

Langkah berikutnya

Dalam dokumen ini, Anda belajar cara menghubungkan penyedia inteligensi ancaman Anda ke Microsoft Azure Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut.

• Pelajari cara mendapatkan visibilitas ke data Anda dan potensi ancaman.
• Mulai mendeteksi ancaman dengan Microsoft Azure Sentinel.