Integrazione dell'intelligence sulle minacce in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel offre alcuni modi per usare i feed di intelligence sulle minacce per migliorare la capacità degli analisti della sicurezza di rilevare e classificare in ordine di priorità le minacce note:

• Usare uno dei numerosi prodotti della piattaforma di intelligence sulle minacce (TIP) integrati.
• Connettersi ai server TAXII per sfruttare qualsiasi origine di intelligence per le minacce compatibile con STIX.
• Connettersi direttamente al feed di Microsoft Defender Threat Intelligence.
• Usare qualsiasi soluzione personalizzata in grado di comunicare direttamente con l'API Indicatori di caricamento di Intelligence sulle minacce.
• Connettersi alle origini di intelligence sulle minacce dai playbook, per arricchire gli eventi imprevisti con informazioni Threat Intelligence che consentono di indirizzare le azioni di indagine e risposta.

Suggerimento

Se si dispone di più aree di lavoro nello stesso tenant, ad esempio per i Provider di servizi di sicurezza gestiti (MSSP), potrebbe essere più conveniente connettere gli indicatori di minaccia solo all'area di lavoro centralizzata.

Quando si dispone dello stesso set di indicatori di minaccia importati in ogni area di lavoro separata, è possibile eseguire query tra aree di lavoro per aggregare gli indicatori delle minacce nelle aree di lavoro. Correlarli all'interno dell'esperienza di rilevamento, indagine e ricerca degli eventi imprevisti MSSP.

Feed sull'intelligence sulle minacce TAXII

Per connettersi ai feed di intelligence sulle minacce TAXII, seguire le istruzioni per connettere Microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII, insieme ai dati forniti da ogni fornitore. Potrebbe essere necessario contattare direttamente il fornitore per ottenere i dati necessari da usare con il connettore.

Accenture Cyber Threat Intelligence

• Informazioni sull'Integrazione di Accenture Cyber Threat Intelligence (CTI) con Microsoft Sentinel.

Cybersixgill Darkfeed

• Informazioni sull'Integrazione di Cybersixgill con Microsoft Sentinel.
• Connettere Microsoft Sentinel al server Cybersixgill TAXII e ottenere l'accesso a Darkfeed. Contattare azuresentinel@cybersixgill.com per ottenere la radice dell'API, l'ID raccolta, il nome utente e la password.

Cyware threat intelligence exchange (CTIX)

Uno dei componenti di Cyware TIP, CTIX, consiste nel rendere intel praticabile con un feed TAXII per le informazioni di sicurezza e la gestione degli eventi. Per Microsoft Sentinel, seguire le istruzioni riportate di seguito:

• Informazioni su come eseguire l'integrazione con Microsoft Sentinel

ESET

• Informazioni sull'offerta di intelligence sulle minacce di ESET.
• Connettere Microsoft Sentinel al server ESET TAXII. Ottenere l'URL radice dell'API, l'ID raccolta, il nome utente e la password dall'account ESET. Seguire quindi le istruzioni generali e l'articolo della Knowledge Base di ESET.

Financial Services Information Sharing and Analysis Center (FS-ISAC)

• Partecipare a FS-ISAC per ottenere le credenziali per accedere a questo feed.

Community di condivisione di intelligence sull'integrità (H-ISAC)

• Partecipare a H-ISAC per ottenere le credenziali per accedere a questo feed.

IBM X-Force

• Altre informazioni sull'integrazione di IBM X-Force.

IntSights

• Ulteriori informazioni su IntSights integration with Microsoft Sentinel @IntSights.
• Connettere Microsoft Sentinel al server TAXII di IntSights. Ottenere la radice dell'API, l'ID raccolta, il nome utente e la password dal portale di IntSights dopo aver configurato un criterio dei dati da inviare a Microsoft Sentinel.

Kaspersky

• Informazioni sull'integrazione di Kaspersky con Microsoft Sentinel.

Pulsedive

• Informazioni sull'integrazione di Pulsedive con Microsoft Sentinel.

ReversingLabs

• Informazioni sull'integrazione di ReversingLabs TAXII con Microsoft Sentinel.

Sectrio

• Altre informazioni sull'integrazione di Sectrio.
• Informazioni sul processo dettagliato per l'integrazione del feed di intelligence sulle minacce di Sectrio in Microsoft Sentinel.

SEKOIA.IO

• Informazioni sull'integrazione di SEKOIA.IO con Microsoft Sentinel.

ThreatConnect

• Altre informazioni su STIX e TAXII sono disponibili in ThreatConnect.
• Vedere la documentazione sui Servizi TAXII in ThreatConnect.

Prodotti della piattaforma di intelligence per le minacce integrati

Per connettersi ai feed TIP, vedere Connettere le piattaforme di intelligence per le minacce a Microsoft Sentinel. Per informazioni sulle altre informazioni necessarie, vedere le soluzioni seguenti.

Agari Phishing Defense and Brand Protection

• Per connettere Agari Phishing Defense e Brand Protection, usare il connettore dati Agari predefinito in Microsoft Sentinel.

Anomali ThreatStream

• Per scaricare ThreatStream Integrator e estensionie le istruzioni per connettere l'intelligence ThreatStream all'API Microsoft Graph Security, vedere la pagina dei download di ThreatStream.

AlienVault Open Threat Exchange (OTX) di AT&T Cybersecurity

• Informazioni su come AlienVault OTX usa App per la logica di Azure (playbook) per connettersi a Microsoft Sentinel. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.

Eclettica Piattaforma IQ

• La piattaforma EclecticIQ si integra con Microsoft Sentinel per migliorare il rilevamento, la ricerca e la risposta delle minacce. Altre informazioni sui vantaggi e sui casi d'uso di questa integrazione bidirezionale.

Filigran OpenCTI

• Filigran OpenCTI può inviare informazioni sulle minacce a Microsoft Sentinel tramite un connettore dedicato che viene eseguito in tempo reale o fungendo da server TAXII 2.1 che Sentinel eseguirà regolarmente il polling. Può anche ricevere eventi imprevisti strutturati da Sentinel tramite il connettore eventi imprevisti di Microsoft Sentinel.

GroupIB Threat Intelligence e attribuzione

• Per connettere GroupIB Threat Intelligence and Attribution a Microsoft Sentinel, GroupIB usa App per la logica. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.

MISP Open Source Threat Intelligence Platform

• Eseguire il push degli indicatori di minaccia da MISP a Microsoft Sentinel usando l'API degli indicatori di caricamento Threat Intelligence con MISP2Sentinel.
• Vedere MISP2Sentinel in Azure Marketplace.
• Altre informazioni sul progetto MISP.

Palo Alto Networks MineMeld

• Per configurare Palo Alto MineMeld con le informazioni di connessione a Microsoft Sentinel, vedere Invio di IOC all'API Microsoft Graph Security tramite MineMeld. Passare all'intestazione "Configurazione MineMeld".

Piattaforma Intelligence di sicurezza Recorded Future

• Informazioni su come Recorded Future usa App per la logica (playbook) per connettersi a Microsoft Sentinel. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.

ThreatConnect Platform

• Per istruzioni su come connettere ThreatConnect a Microsoft Sentinel, vedere la Guida alla configurazione dell'integrazione degli indicatori di minaccia di Microsoft Graph Security.

ThreatQuotient Threat Intelligence Platform

• Vedere Connettore di Microsoft Sentinel per l'integrazione di ThreatQ per informazioni sul supporto e istruzioni per connettere ThreatQuotient TIP a Microsoft Sentinel.

Origini di arricchimento degli eventi imprevisti

Oltre a essere usato per importare indicatori di minaccia, i feed di intelligence sulle minacce possono fungere anche da fonte per arricchire le informazioni negli eventi imprevisti e fornire un contesto più contestuale alle indagini. I feed seguenti servono a questo scopo e forniscono playbook delle App per la logica da usare nella risposta automatica agli eventi imprevisti. Trovare queste origini di arricchimento nell'hub dei contenuti.

Per altre informazioni su come gestire i componenti della soluzione, vedere Individuare e distribuire contenuti predefiniti.

HYAS Insight

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per HYAS Insight nel repository GitHub di Microsoft Sentinel. Cercare sottocartelle che iniziano con Enrich-Sentinel-Incident-HYAS-Insight-.
• Vedere la documentazione del connettore di App per la logica HYAS Insight.

Microsoft Defender Threat Intelligence

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per Microsoft Defender Threat Intelligence nel repository GitHub di Microsoft Sentinel.
• Per altre informazioni, vedere il post di blog della community tecnica di Defender Threat Intelligence.

Piattaforma Intelligence di sicurezza Recorded Future

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per Recorded Future nel repository GitHub di Microsoft Sentinel. Cercare sottocartelle che iniziano con RecordedFuture_.
• Vedere la documentazione relativa al connettore di App per la logica Recorded Future.

ReversingLabs TitaniumCloud

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per ReversingLabs nel repository GitHub di Microsoft Sentinel.
• Vedere la documentazione del connettore di App per la logica ReversingLabs TitaniumCloud.

RiskIQ PassiveTotal

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per RiskIQ Passive Total nel repository GitHub di Microsoft Sentinel.
• Vedere altre informazioni sull'uso dei playbook RiskIQ.
• Vedere la documentazione del connettore di App per la logica RiskIQ PassiveTotal.

VirusTotal

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per Virus Total nel repository GitHub di Microsoft Sentinel. Cercare sottocartelle che iniziano con Get-VTURL.
• Vedere la documentazione del connettore di App per la logica Virus Total.

Contenuto correlato

In questo articolo si è appreso come connettere il provider di intelligence sulle minacce a Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
• Iniziare a rilevare minacce con Microsoft Sentinel.