Integrazione dell'intelligence sulle minacce in Microsoft Sentinel

Microsoft Sentinel offre alcuni modi diversi per usare i feed di intelligence per le minacce per migliorare la capacità degli analisti della sicurezza di rilevare e classificare in ordine di priorità le minacce note.

Suggerimento

Se si dispone di più aree di lavoro nello stesso tenant, ad esempio per i provider di servizi di sicurezza gestiti ,potrebbe essere più conveniente connettere gli indicatori di minaccia solo all'area di lavoro centralizzata.

Quando si dispone dello stesso set di indicatori di minaccia importati in ogni area di lavoro separata, è possibile eseguire query tra aree di lavoro per aggregare gli indicatori delle minacce nelle aree di lavoro. Correlarli all'interno dell'esperienza di rilevamento, indagine e ricerca degli eventi imprevisti MSSP.

Feed di intelligence sulle minacce TAXII

Per connettersi ai feed di intelligence sulle minacce TAXII, seguire le istruzioni per connettere Microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII, insieme ai dati forniti da ogni fornitore collegato di seguito. Potrebbe essere necessario contattare direttamente il fornitore per ottenere i dati necessari da usare con il connettore.

Accenture Cyber Threat Intelligence

Cybersixgill Darkfeed

ESET

  • Informazioni sull'offerta di intelligence sulle minacce di E edizione Standard T.
  • Per connettere Microsoft Sentinel al server E edizione Standard T TAXII, ottenere l'URL radice dell'API, l'ID raccolta, il nome utente e la password dall'account E edizione Standard T. Seguire quindi le istruzioni generali e l'articolo della Knowledge Base di E edizione Standard T.

Financial Services Information Sharing and Analysis Center (FS-ISAC)

  • Partecipare a FS-ISAC per ottenere le credenziali per accedere a questo feed.

Community di condivisione di intelligence sull'integrità (H-ISAC)

IBM X-Force

IntSights

Kaspersky

Pulsedive

ReversingLabs

Sectrio

edizione Standard KOIA. I/O

ThreatConnect

Prodotti della piattaforma di intelligence per le minacce integrati

Per connettersi ai feed di Threat Intelligence Platform (TIP), seguire le istruzioni per connettere le piattaforme di Intelligence alle minacce a Microsoft Sentinel. La seconda parte di queste istruzioni richiede di immettere informazioni nella soluzione TIP. Per altre informazioni, vedere i collegamenti seguenti.

Agari Phishing Defense and Brand Protection

Anomali ThreatStream

AlienVault Open Threat Exchange (OTX) di AT&T Cybersecurity

  • AlienVault OTX usa App per la logica di Azure (playbook) per connettersi a Microsoft Sentinel. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.

Eclettica Piattaforma IQ

  • La piattaforma EclecticIQ si integra con Microsoft Sentinel per migliorare il rilevamento, la ricerca e la risposta delle minacce. Altre informazioni sui vantaggi e sui casi d'uso di questa integrazione bidirezionale.

GroupIB Threat Intelligence e attribuzione

MISP Open Source Threat Intelligence Platform

Palo Alto Networks MineMeld

Future Security Intelligence Platform registrata

  • Recorded Future usa App per la logica di Azure (playbook) per connettersi a Microsoft Sentinel. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.

Piattaforma threat Connessione

  • Per istruzioni su come connettersi alla minaccia Connessione a Microsoft Sentinel, vedere la Guida alla configurazione degli indicatori di minaccia di Microsoft Graph Security.

ThreatQuotient Threat Intelligence Platform

Origini di arricchimento degli eventi imprevisti

Oltre a essere usato per importare indicatori di minaccia, i feed di intelligence sulle minacce possono fungere anche da fonte per arricchire le informazioni negli eventi imprevisti e fornire un contesto più contestuale alle indagini. I feed seguenti servono a questo scopo e forniscono playbook dell'app per la logica da usare nella risposta automatica agli eventi imprevisti. Trovare queste origini di arricchimento nell'hub contenuto.

Per altre informazioni su come trovare e gestire le soluzioni, vedere Individuare e distribuire contenuti predefiniti.

HYAS Insight

  • Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per HYAS Insight nel repository GitHub di Microsoft Sentinel. Cercare sottocartelle che iniziano con "Enrich-Sentinel-Incident-HYAS-Insight-".
  • Vedere la documentazione del connettore di app per la logica HYAS Insight.

Microsoft Defender Threat Intelligence

Future Security Intelligence Platform registrata

  • Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per Recorded Future nel repository GitHub di Microsoft Sentinel. Cercare sottocartelle che iniziano con "RecordedFuture_".
  • Vedere la documentazione relativa al connettore di app per la logica registrata.

ReversingLabs TitaniumCloud

RiskIQ Passivo Totale

  • Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per Il totale passivo di RiskIQ nel repository GitHub di Microsoft Sentinel.
  • Vedere altre informazioni sull'uso dei playbook RiskIQ.
  • Vedere la documentazione del connettore di app per la logica RiskIQ PassiveTotal.

Virus Total

  • Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per Virus Total nel repository GitHub di Microsoft Sentinel. Cercare sottocartelle che iniziano con "Get-VTURL".
  • Vedere la documentazione relativa al connettore di App per la logica totale virus.

Passaggi successivi

In questo documento si è appreso come connettere il provider di intelligence per le minacce a Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti.