Connessione microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Lo standard di settore più ampiamente adottato per la trasmissione dell'intelligence sulle minacce è una combinazione del formato di dati STIX e del protocollo TAXII. Se l'organizzazione riceve indicatori di minaccia da soluzioni che supportano la versione CORRENTE STIX/TAXII (2.0 o 2.1), è possibile usare il connettore dati Intelligence per le minacce - TAXII per inserire gli indicatori di minaccia in Microsoft Sentinel. Questo connettore consente a un client TAXII predefinito in Microsoft Sentinel di importare informazioni sulle minacce dai server TAXII 2.x.

Percorso di importazione TAXII

Per importare gli indicatori di minaccia formattati STIX in Microsoft Sentinel da un server TAXII, è necessario ottenere l'ID radice e raccolta dell'API del server TAXII e quindi abilitare il connettore dati Intelligence per le minacce - TAXII in Microsoft Sentinel.

Altre informazioni su Intelligence sulle minacce in Microsoft Sentinel e in particolare sui feed di intelligence sulle minacce TAXII che possono essere integrati con Microsoft Sentinel.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud degli Stati Uniti per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Vedere anche: Connessione la piattaforma di intelligence per le minacce (TIP) a Microsoft Sentinel

Prerequisiti

  • Per installare, aggiornare ed eliminare contenuti o soluzioni autonomi nell'hub del contenuto, è necessario il ruolo Collaboratore di Microsoft Sentinel a livello di gruppo di risorse.
  • Per archiviare gli indicatori delle minacce, è necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel.
  • È necessario avere un URI radice e un ID raccolta DELL'API TAXII 2.0 o TAXII 2.1.

Ottenere l'ID radice e la raccolta dell'API del server TAXII

I server TAXII 2.x annunciano radici API, ovvero URL che ospitano raccolte di intelligence sulle minacce. In genere è possibile trovare la radice dell'API e l'ID raccolta nelle pagine della documentazione del provider di intelligence per le minacce che ospita il server TAXII.

Nota

In alcuni casi, il provider pubblicizza solo un URL denominato endpoint di individuazione. È possibile usare l'utilità cURL per esplorare l'endpoint di individuazione e richiedere la radice dell'API.

Installare la soluzione Intelligence per le minacce in Microsoft Sentinel

Per importare gli indicatori di minaccia in Microsoft Sentinel da un server TAXII, seguire questa procedura:

  1. Per Microsoft Sentinel nella portale di Azure, in Gestione contenuto selezionare Hub contenuto.
    Per Microsoft Sentinel nel portale di Defender selezionare Hub del contenuto di Gestione>contenuto di Microsoft Sentinel>.

  2. Trovare e selezionare la soluzione Intelligence per le minacce.

  3. Selezionare il pulsante Installa/Aggiorna.

Per altre informazioni su come gestire i componenti della soluzione, vedere Individuare e distribuire contenuti predefiniti.

Abilitare il connettore dati TAXII - Intelligence per le minacce

  1. Per configurare il connettore dati TAXII, selezionare il menu Connettori dati.

  2. Trovare e selezionare il pulsante Intelligence per le minacce - Connettore dati TAXII Apri connettore>.

    Screenshot che mostra la pagina dei connettori dati con il connettore dati TAXII elencato.

  3. Immettere un nome descrittivo per questa raccolta di server TAXII, l'URL radice dell'API, l'ID raccolta, un nome utente (se necessario) e una password (se necessario) e scegliere il gruppo di indicatori e la frequenza di polling desiderati. Seleziona il pulsante Aggiungi.

    Configurare i server TAXII

Si dovrebbe ricevere la conferma che è stata stabilita una connessione al server TAXII ed è possibile ripetere l'ultimo passaggio precedente quante volte si desidera, per connettersi a più raccolte da uno o più server TAXII.

Entro pochi minuti, gli indicatori di minaccia dovrebbero iniziare a fluire in questa area di lavoro di Microsoft Sentinel. È possibile trovare i nuovi indicatori nel pannello Intelligence per le minacce, accessibile dal menu di spostamento di Microsoft Sentinel.

Elenco di indirizzi IP consentiti per il client TAXII di Microsoft Sentinel

Alcuni server TAXII, ad esempio FS-ISAC, devono mantenere gli indirizzi IP del client TAXII di Microsoft Sentinel nell'elenco elementi consentiti. La maggior parte dei server TAXII non ha questo requisito.

Quando pertinente, gli indirizzi IP seguenti sono quelli da includere nell'elenco elementi consentiti:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Contenuto correlato

In questo documento si è appreso come connettere Microsoft Sentinel ai feed di intelligence sulle minacce usando il protocollo TAXII. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti.