Integrazione dell'intelligence sulle minacce in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel offre alcuni modi differenti per usare i feed di intelligence sulle minacce per migliorare la capacità degli analisti della sicurezza di rilevare e classificare in ordine di priorità le minacce note.

• Usare uno dei numerosi prodotti della piattaforma di intelligence sulle minacce (TIP) integrati.
• Connettersi ai server TAXII per sfruttare qualsiasi origine di intelligence per le minacce compatibile con STIX.
• Connettersi direttamente al feed di Microsoft Defender Threat Intelligence.
• Usare qualsiasi soluzione personalizzata in grado di comunicare direttamente con l'API Indicatori di caricamento di Intelligence sulle minacce.
• È anche possibile connettersi alle origini di intelligence sulle minacce dai playbook, per arricchire gli eventi imprevisti con informazioni ti che consentono di indirizzare le azioni di indagine e risposta.

Suggerimento

Se si dispone di più aree di lavoro nello stesso tenant, ad esempio per i Provider di servizi di sicurezza gestiti (MSSP), potrebbe essere più conveniente connettere gli indicatori di minaccia solo all'area di lavoro centralizzata.

Quando si dispone dello stesso set di indicatori di minaccia importati in ogni area di lavoro separata, è possibile eseguire query tra aree di lavoro per aggregare gli indicatori delle minacce nelle aree di lavoro. Correlarli all'interno dell'esperienza di rilevamento, indagine e ricerca degli eventi imprevisti MSSP.

Feed sull'intelligence sulle minacce TAXII

Per connettersi ai feed di intelligence sulle minacce TAXII, seguire le istruzioni per connettere Microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII, insieme ai dati forniti da ogni fornitore. Potrebbe essere necessario contattare direttamente il fornitore per ottenere i dati necessari da usare con il connettore.

Accenture Cyber Threat Intelligence

• Informazioni sull'integrazione di Accenture Cyber Threat Intelligence (CTI) con Microsoft Sentinel.

Cybersixgill Darkfeed

• Informazioni sull'integrazione di Cybersixgill con Microsoft Sentinel.
• Per connettere Microsoft Sentinel al server TAXII Cybersixgill e ottenere l'accesso a Darkfeed, contattare azuresentinel@cybersixgill.com per ottenere la radice dell'API, l'ID raccolta, il nome utente e la password.

Cyware Threat Intelligence eXchange (CTIX)

Un componente della piattaforma di intelligence per le minacce di Cyware, CTIX, è l'azione intel con un feed TAXII per il SIEM. Nel caso di Microsoft Sentinel, seguire le istruzioni riportate di seguito:

• Integrazione con Microsoft Sentinel

ESET

• Informazioni sull'offerta di intelligence sulle minacce di ESET.
• Per connettere Microsoft Sentinel al server ESET TAXII, ottenere l'URL radice dell'API, l'ID raccolta, il nome utente e la password dall'account ESET. Seguire quindi le istruzioni generali e l'articolo della Knowledge Base di ESET.

Financial Services Information Sharing and Analysis Center (FS-ISAC)

• Partecipare a FS-ISAC per ottenere le credenziali per accedere a questo feed.

Community di condivisione di intelligence sull'integrità (H-ISAC)

• Partecipare a H-ISAC per ottenere le credenziali per accedere a questo feed.

IBM X-Force

• Altre informazioni sull'integrazione di IBM X-Force.

IntSights

• Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
• Per connettere Microsoft Sentinel al server TAXII di IntSights, ottenere la radice dell'API, l'ID raccolta, il nome utente e la password nel portale di IntSights dopo aver configurato un criterio dei dati da inviare a Microsoft Sentinel.

Kaspersky

• Informazioni sull'integrazione di Kaspersky con Microsoft Sentinel.

Pulsedive

• Informazioni sull'integrazione di Pulsedive con Microsoft Sentinel.

ReversingLabs

• Informazioni sull'integrazione di ReversingLabs TAXII con Microsoft Sentinel.

Sectrio

• Altre informazioni sull'integrazione di Sectrio.
• Processo dettagliato per l'integrazione del feed TI di Sectrio in Microsoft Sentinel.

SEKOIA.IO

• Informazioni sull'integrazione di SEKOIA.IO con Microsoft Sentinel.

ThreatConnect

• Altre informazioni su STIX e TAXII sono disponibili in ThreatConnect.
• Vedere la documentazione sui Servizi TAXII in ThreatConnect

Prodotti della piattaforma di intelligence per le minacce integrati

Per connettersi ai feed di Threat Intelligence Platform (TIP), vedere Connettere le piattaforme di Intelligence sulle minacce a Microsoft Sentinel. Per informazioni sulle informazioni aggiuntive necessarie, vedere le soluzioni seguenti.

Agari Phishing Defense and Brand Protection

• Per connettere Agari Phishing Defense e Brand Protection, usare il connettore dati Agari predefinito in Microsoft Sentinel.

Anomali ThreatStream

• Per scaricare ThreatStream Integrator e estensionie le istruzioni per connettere l'intelligence ThreatStream all'API Microsoft Graph Security, vedere la pagina dei download di ThreatStream.

AlienVault Open Threat Exchange (OTX) di AT&T Cybersecurity

• AlienVault OTX usa App per la logica di Azure (playbook) per connettersi a Microsoft Sentinel. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.

Eclettica Piattaforma IQ

• La piattaforma EclecticIQ si integra con Microsoft Sentinel per migliorare il rilevamento, la ricerca e la risposta delle minacce. Altre informazioni sui vantaggi e sui casi d'uso di questa integrazione bidirezionale.

GroupIB Threat Intelligence e attribuzione

• Per connettere GroupIB Threat Intelligence and Attribution a Microsoft Sentinel, GroupIB usa App per la logica di Azure. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.

MISP Open Source Threat Intelligence Platform

• Eseguire il push degli indicatori di minaccia da MISP a Microsoft Sentinel usando l'API degli indicatori di caricamento TI con MISP2Sentinel.
• Ecco il link di Azure Marketplace per MISP2Sentinel.
• Altre informazioni sul progetto MISP.

Palo Alto Networks MineMeld

• Per configurare Palo Alto MineMeld con le informazioni di connessione a Microsoft Sentinel, vedere Invio di IOC all'API Microsoft Graph Security tramite MineMeld e andare all'intestazione Configurazione di MineMeld.

Piattaforma Intelligence di sicurezza Recorded Future

• Recorded Future usa App per la logica di Azure (playbook) per connettersi a Microsoft Sentinel. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.

ThreatConnect Platform

• Per istruzioni su come connettere ThreatConnect a Microsoft Sentinel, vedere la Guida alla configurazione dell'integrazione degli indicatori di minaccia di Microsoft Graph Security.

ThreatQuotient Threat Intelligence Platform

• Vedere Connettore di Microsoft Sentinel per l'integrazione di ThreatQ per informazioni sul supporto e istruzioni per connettere ThreatQuotient TIP a Microsoft Sentinel.

Origini di arricchimento degli eventi imprevisti

Oltre a essere usato per importare indicatori di minaccia, i feed di intelligence sulle minacce possono fungere anche da fonte per arricchire le informazioni negli eventi imprevisti e fornire un contesto più contestuale alle indagini. I feed seguenti servono a questo scopo e forniscono playbook dell'App per la logica da usare nella risposta automatica agli eventi imprevisti. Trovare queste origini di arricchimento nell'hub dei contenuti.

Per altre informazioni su come gestire i componenti della soluzione, vedere Individuare e distribuire contenuti predefiniti.

HYAS Insight

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per HYAS Insight nel repository GitHub di Microsoft Sentinel. Cercare sottocartelle che iniziano con Enrich-Sentinel-Incident-HYAS-Insight-.
• Vedere la documentazione del connettore di App per la logica HYAS Insight.

Microsoft Defender Threat Intelligence

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per Microsoft Defender Threat Intelligence nel repository GitHub di Microsoft Sentinel.
• Per altre informazioni, vedere il post di blog di MDTI Tech Community.

Piattaforma Intelligence di sicurezza Recorded Future

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per Recorded Future nel repository GitHub di Microsoft Sentinel. Cercare sottocartelle che iniziano con RecordedFuture_.
• Vedere la documentazione relativa al connettore di App per la logica Recorded Future.

ReversingLabs TitaniumCloud

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per ReversingLabs nel repository GitHub di Microsoft Sentinel.
• Vedere la documentazione del connettore di App per la logica ReversingLabs TitaniumCloud.

RiskIQ Passivo Totale

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per RiskIQ Passive Total nel repository GitHub di Microsoft Sentinel.
• Vedere altre informazioni sull'uso dei playbook RiskIQ.
• Vedere la documentazione del connettore di App per la logica RiskIQ PassiveTotal.

Virus Total

• Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per Virus Total nel repository GitHub di Microsoft Sentinel. Cercare sottocartelle che iniziano con Get-VTURL.
• Vedere la documentazione del connettore di App per la logica Virus Total.

Passaggi successivi

In questo documento si è appreso come connettere il provider di intelligence sulle minacce a Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti.

• Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
• Iniziare a rilevare minacce con Microsoft Sentinel.