Connettere Microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Lo standard di settore più ampiamente adottato per la trasmissione dell'intelligence sulle minacce è una combinazione del formato dati STIX e del protocollo TAXII. Se l'organizzazione riceve indicatori di minaccia da soluzioni che supportano la versione corrente di STIX/TAXII (2.0 o 2.1), è possibile usare il connettore dati Intelligence per le minacce - TAXII per inserire gli indicatori di minaccia in Microsoft Sentinel. Questo connettore consente a un client TAXII di Microsoft Sentinel di importare l'intelligence sulle minacce dai server TAXII 2.x.

Per importare gli indicatori di minaccia formattati STIX in Microsoft Sentinel da un server TAXII, è necessario ottenere l'ID di raccolta e radice dell'API del server TAXII, quindi abilitare il connettore dati Intelligence sulle minacce - TAXII in Microsoft Sentinel.

Altre informazioni su Intelligence sulle minacce in Microsoft Sentinel e in particolare sui feed di intelligence sulle minacce TAXII che possono essere integrati con Microsoft Sentinel.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender, nella piattaforma operativa di sicurezza unificata. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

vedere anche: Connettere la piattaforma di intelligence sulle minacce (TIP) a Microsoft Sentinel

Prerequisiti

• Per installare, aggiornare ed eliminare contenuti o soluzioni autonomi nell'hub dei contenuti, è necessario il ruolo di Collaboratore di Microsoft Sentinel a livello di gruppo di risorse.
• Per archiviare gli indicatori delle minacce, è necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel.
• È necessario disporre di un URI radice dell'API e di un ID di raccolta di TAXII 2.0 o TAXII 2.1.

Ottenere l'ID di raccolta e la radice dell'API del server TAXII

I server TAXII 2.x annunciano radici API, ovvero URL che ospitano raccolte di intelligence sulle minacce. In genere, è possibile trovare la radice dell'API e l'ID raccolta nelle pagine della documentazione del provider di intelligence sulle minacce che ospita il server TAXII.

Nota

In alcuni casi, il provider pubblicizza solo un URL denominato endpoint di individuazione. È possibile usare l'utilità cURL per esplorare l'endpoint di individuazione e richiedere la radice dell'API.

Installare la soluzione Threat Intelligence in Microsoft Sentinel

Per importare gli indicatori di minacce in Microsoft Sentinel da un server TAXII, seguire questa procedura:

1. Per Microsoft Sentinel, nel portale di Azure, in Gestione dei contenuti selezionare Hub dei contenuti.
   Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione dei contenuti>Hub contenuti.

2. Trovare e selezionare la soluzione Threat Intelligence.

3. Selezionare il pulsante Installa/Aggiorna.

Per altre informazioni su come gestire i componenti della soluzione, vedere Individuare e distribuire contenuti predefiniti.

Abilitare il connettore dati Intelligence sulle minacce -TAXII

1. Per configurare il connettore dati TAXII, selezionare il menu Connettori dati.

2. Trovare e selezionare il pulsante Apri pagina connettore del connettore dati Intelligence sulle minacce - TAXII.

   

3. Immettere un nome descrittivo per questa raccolta di server TAXII, l'URL radice dell'API, l'ID di raccolta, un Nome utente (se richiesto) e una Password (se richiesta), quindi selezionare il gruppo di indicatori e la frequenza di polling desiderati. Seleziona il pulsante Aggiungi.

   

Si dovrebbe ricevere la conferma che è stata stabilita con successo una connessione al server TAXII ed è possibile ripetere l'ultimo passaggio precedente quante volte si desidera, per connettersi a più raccolte da uno o più server TAXII.

Entro pochi minuti, gli indicatori di minaccia dovrebbero iniziare a essere trasmessi in questa area di lavoro di Microsoft Sentinel. È possibile trovare i nuovi indicatori nel pannello Intelligence sulle minacce, accessibile dal menu di spostamento di Microsoft Sentinel.

Elenco di indirizzi IP consentiti per il client TAXII di Microsoft Sentinel

Alcuni server TAXII, ad esempio FS-ISAC, devono mantenere gli indirizzi IP del client TAXII di Microsoft Sentinel nell'elenco elementi consentiti. La maggior parte dei server TAXII non presenta questo requisito.

Quando pertinente, gli indirizzi IP seguenti sono quelli da includere nell'elenco elementi consentiti:

• 20.193.17.32
• 20.197.219.106
• 20.48.128.36
• 20.199.186.58
• 40.80.86.109
• 52.158.170.36

• 20.52.212.85
• 52.251.70.29
• 20.74.12.78
• 20.194.150.139
• 20.194.17.254
• 51.13.75.153

• 102.133.139.160
• 20.197.113.87
• 40.123.207.43
• 51.11.168.197
• 20.71.8.176
• 40.64.106.65

Contenuto correlato

In questo documento, si è appreso come connettere Microsoft Sentinel ai feed di intelligence sulle minacce con il protocollo TAXII. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti.

• Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
• Iniziare a rilevare minacce con Microsoft Sentinel.