Integrazione di Intelligence per le minacce in Microsoft Sentinel

Microsoft Sentinel offre alcuni modi per usare i feed di intelligence sulle minacce per migliorare la capacità degli analisti della sicurezza di rilevare e assegnare priorità alle minacce note:

• Usare uno dei numerosi prodotti TIP (Integrated Threat Intelligence Platform) disponibili.
• Connettersi ai server TAXII per sfruttare qualsiasi origine di intelligence sulle minacce compatibile con STIX.
• Connettersi direttamente al feed Microsoft Defender Threat Intelligence.
• Usare qualsiasi soluzione personalizzata in grado di comunicare direttamente con l'API Indicatori di caricamento di Intelligence per le minacce.
• Connettersi a origini di intelligence sulle minacce dai playbook per arricchire gli eventi imprevisti con informazioni di intelligence sulle minacce che consentono di indirizzare le azioni di indagine e risposta.

Consiglio

Se nello stesso tenant sono presenti più aree di lavoro, ad esempio per i provider di servizi di sicurezza gestiti, potrebbe essere più conveniente connettere gli indicatori di minaccia solo all'area di lavoro centralizzata.

Quando si dispone dello stesso set di indicatori di minaccia importati in ogni area di lavoro separata, è possibile eseguire query tra aree di lavoro per aggregare gli indicatori di minaccia nelle aree di lavoro. Correlarli all'interno dell'esperienza di rilevamento, indagine e ricerca degli eventi imprevisti mssp.

Feed di intelligence sulle minacce TAXII

Per connettersi ai feed di intelligence sulle minacce TAXII, seguire le istruzioni per connettersi Microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII, insieme ai dati forniti da ogni fornitore. Potrebbe essere necessario contattare direttamente il fornitore per ottenere i dati necessari da usare con il connettore.

Intelligence sulle minacce informatiche di Accenture

• Informazioni sull'integrazione di Accenture cyber threat intelligence (CTI) con Microsoft Sentinel.

Cybersixgill Darkfeed

• Informazioni sull'integrazione di Cybersixgill con Microsoft Sentinel.
• Connettersi Microsoft Sentinel al server Cybersixgill TAXII e accedere a Darkfeed. Contattare azuresentinel@cybersixgill.com per ottenere la radice dell'API, l'ID raccolta, il nome utente e la password.

Cyware Threat Intelligence Exchange (CTIX)

Un componente di TIP di Cyware, CTIX, consiste nel rendere intel fruibile con un feed TAXII per le informazioni di sicurezza e la gestione degli eventi. Per Microsoft Sentinel, seguire le istruzioni riportate di seguito:

• Informazioni su come eseguire l'integrazione con Microsoft Sentinel

ESET

• Informazioni sull'offerta di intelligence sulle minacce di ESET.
• Connettere Microsoft Sentinel al server TAXII ESET. Ottenere l'URL radice dell'API, l'ID raccolta, il nome utente e la password dall'account ESET. Seguire quindi le istruzioni generali e l'articolo knowledge base di ESET.

Financial Services Information Sharing and Analysis Center (FS-ISAC)

• Aggiungere FS-ISAC per ottenere le credenziali per accedere a questo feed.

Community di condivisione dell'intelligence per l'integrità (H-ISAC)

• Aggiungere H-ISAC per ottenere le credenziali per accedere a questo feed.

IBM X-Force

• Altre informazioni sull'integrazione di IBM X-Force.

IntSights

• Altre informazioni sull'integrazione di IntSights con Microsoft Sentinel.
• Connettere Microsoft Sentinel al server TAXII IntSights. Ottenere la radice dell'API, l'ID raccolta, il nome utente e la password dal portale IntSights dopo aver configurato un criterio dei dati da inviare a Microsoft Sentinel.

Kaspersky

• Informazioni sull'integrazione di Kaspersky con Microsoft Sentinel.

Pulsedive

• Informazioni sull'integrazione pulsedive con Microsoft Sentinel.

ReversingLabs

• Informazioni sull'integrazione TAXII di ReversingLabs con Microsoft Sentinel.

Sectrio

• Altre informazioni sull'integrazione di Sectrio.
• Informazioni sul processo dettagliato per l'integrazione del feed di intelligence sulle minacce di Sectrio in Microsoft Sentinel.

SEKOIA. I/O

• Informazioni su SEKOIA. Integrazione di I/O con Microsoft Sentinel.

ThreatConnect

• Altre informazioni su STIX e TAXII sono disponibili in ThreatConnect.
• Vedere la documentazione dei servizi TAXII in ThreatConnect.

Prodotti della piattaforma di intelligence sulle minacce integrata

Per connettersi ai feed TIP, vedere Connettere le piattaforme di intelligence sulle minacce a Microsoft Sentinel. Per informazioni sulle altre informazioni necessarie, vedere le soluzioni seguenti.

Agari Phishing Defense and Brand Protection

• Per connettere Agari Phishing Defense e Brand Protection, usare il connettore dati Agari incorporato in Microsoft Sentinel.

Anomali ThreatStream

• Per scaricare l'integratore ed estensioni ThreatStream e le istruzioni per la connessione dell'intelligence ThreatStream alla API Sicurezza di Microsoft Graph, vedere la pagina dei download di ThreatStream.

AlienVault Open Threat Exchange (OTX) di AT&T Cybersecurity

• Informazioni su come AlienVault OTX usa Azure App per la logica (playbook) per connettersi a Microsoft Sentinel. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.

Piattaforma EclecticIQ

• EclecticIQ Platform si integra con Microsoft Sentinel per migliorare il rilevamento delle minacce, la ricerca e la risposta. Altre informazioni sui vantaggi e sui casi d'uso di questa integrazione bidirezionale.

Filigran OpenCTI

• Filigran OpenCTI può inviare informazioni sulle minacce a Microsoft Sentinel tramite un connettore dedicato che viene eseguito in tempo reale o fungendo da server TAXII 2.1 che Sentinel eseguirà regolarmente il polling. Può anche ricevere eventi imprevisti strutturati da Sentinel tramite il connettore eventi imprevisti Microsoft Sentinel.

GroupIB Threat Intelligence and Attribution

• Per connettere GroupIB Threat Intelligence e Attribution a Microsoft Sentinel, GroupIB usa App per la logica. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.

Piattaforma di intelligence sulle minacce open source MISP

• Eseguire il push degli indicatori di minaccia da MISP a Microsoft Sentinel usando l'API Threat Intelligence Upload Indicators con MISP2Sentinel.
• Vedere MISP2Sentinel in Azure Marketplace.
• Altre informazioni sul progetto MISP.

Palo Alto Networks MineMeld

• Per configurare Palo Alto MineMeld con le informazioni di connessione per Microsoft Sentinel, vedere Invio di IIC a Microsoft Graph API Sicurezza tramite MineMeld. Passare all'intestazione "Configurazione MineMeld".

Piattaforma di intelligence per la sicurezza futura registrata

• Informazioni su come Recorded Future usa app per la logica (playbook) per connettersi a Microsoft Sentinel. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.

Piattaforma ThreatConnect

• Per istruzioni sulla connessione di ThreatConnect a Microsoft Sentinel, vedere la Guida alla configurazione di Microsoft Graph Security Threat Indicators Integration.

ThreatQuotient Threat Intelligence Platform

• Vedere Microsoft Sentinel Connector for ThreatQ integration (Connettore Microsoft Sentinel per l'integrazione di ThreatQ) per informazioni sul supporto e istruzioni per connettere ThreatQuotient TIP a Microsoft Sentinel.

Origini di arricchimento degli eventi imprevisti

Oltre a essere usati per importare gli indicatori di minaccia, i feed di intelligence sulle minacce possono anche fungere da fonte per arricchire le informazioni negli eventi imprevisti e fornire più contesto alle indagini. I feed seguenti servono a questo scopo e forniscono playbook di App per la logica da usare nella risposta agli eventi imprevisti automatizzati. Trovare queste origini di arricchimento nell'hub contenuto.

Per altre informazioni su come trovare e gestire le soluzioni, vedere Individuare e distribuire contenuto predefinito.

HYAS Insight

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per HYAS Insight nel repository GitHub Microsoft Sentinel. Cercare sottocartelle che iniziano con Enrich-Sentinel-Incident-HYAS-Insight-.
• Vedere la documentazione del connettore HYAS Insight Logic Apps.

Microsoft Defender Threat Intelligence

• Trovare e abilitare playbook di arricchimento degli eventi imprevisti per Microsoft Defender Threat Intelligence nel repository GitHub Microsoft Sentinel.
• Per altre informazioni, vedere il post di blog di Defender Threat Intelligence Tech Community .

Piattaforma di intelligence per la sicurezza futura registrata

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per Il futuro registrato nel repository GitHub Microsoft Sentinel. Cercare sottocartelle che iniziano con RecordedFuture_.
• Vedere la documentazione del connettore Registrato future app per la logica.

ReversingLabs TitanioCloud

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per ReversingLabs nel repository GitHub Microsoft Sentinel.
• Vedere la documentazione del connettore ReversingLabs TitaniumCloud Logic Apps.

RiskIQ PassiveTotal

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per RiskIQ Passive Total nel repository GitHub Microsoft Sentinel.
• Vedere altre informazioni sull'uso dei playbook RiskIQ.
• Vedere la documentazione del connettore RiskIQ PassiveTotal Logic Apps.

Virustotal

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per VirusTotal nel repository GitHub Microsoft Sentinel. Cercare sottocartelle che iniziano con Get-VTURL.
• Vedere la documentazione del connettore VirusTotal Logic Apps.

Contenuto correlato

In questo articolo si è appreso come connettere il provider di intelligence sulle minacce a Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
• Introduzione al rilevamento delle minacce con Microsoft Sentinel.