次の方法で共有


Microsoft Sentinel への脅威インテリジェンスの統合

既知の脅威を検出して優先順位を付けるセキュリティ アナリストの能力を高めるために、Microsoft Sentinel には、脅威インテリジェンスのフィードを使う方法がいくつか用意されています。

ヒント

マネージド セキュリティー サービス プロバイダー (MSSP) のように、同じテナントに複数のワークスペースがある場合、一元化されたワークスペースにのみ脅威インジケーターを接続した方がコスト効率が高い場合があります。

同じ脅威インジケーターのセットが個別のワークスペースにインポートされている場合、ワークスペース全体で脅威インジケーターを集計するためのワークスペース横断クエリを実行できます。 MSSP インシデントの検出、調査、ハンティングのエクスペリエンス内でそれらを関連付けます。

TAXII 脅威インテリジェンス フィード

TAXII 脅威インテリジェンス フィードに接続するには、各ベンダー提供のデータと共に、Microsoft Sentinel を STIX/TAXII 脅威インテリジェンス フィードに接続する手順に従います。 コネクタで使用するための必要なデータを入手するためには、適宜ベンダーに直接問い合わせてください。

Accenture サイバー脅威インテリジェンス

Cybersixgill Darkfeed

Cyware Threat Intelligence eXchange (CTIX)

Cyware の脅威インテリジェンス プラットフォームの 1 コンポーネントである CTIX は、TAXII フィードを含む、SIEM 向けの行動型インテリジェンスです。 Microsoft Sentinel の場合、次の手順に従います。

ESET

Financial Services Information Sharing and Analysis Center (FS-ISAC)

  • このフィードにアクセスするための資格情報を入手するには、FS-ISAC に入会してください。

Health Intelligence Sharing Community (H-ISAC)

  • このフィードにアクセスするための資格情報を入手するには、H-ISAC に入会してください。

IBM X-Force

IntSights

  • [https://login.microsoftonline.com/consumers/](Learn more about the IntSights integration with Microsoft Sentinel @IntSights)
  • Microsoft Sentinel を IntSights TAXII Server に接続するには、Microsoft Sentinel に送信するデータのポリシーを構成した後、API ルート、コレクション ID、ユーザー名、パスワードを IntSights ポータルから取得してください。

Kaspersky

Pulsedive

ReversingLabs

Sectrio

SEKOIA.IO

ThreatConnect

統合された脅威インテリジェンス プラットフォーム製品

脅威インテリジェンス プラットフォーム (TIP) フィードに接続するには、「Microsoft Sentinel に脅威インテリジェンス プラットフォームを接続する」を参照してください。 必要な追加情報については、次の解決策を参照してください。

Agari のフィッシング対策とブランド保護

Anomali ThreatStream

AT&T Cybersecurity の AlienVault Open Threat Exchange (OTX)

  • AlienVault OTX は、Azure Logic Apps (プレイブック) を使って Microsoft Sentinel に接続します。 オファリング全体をフル活用するうえで必要な個別の手順を参照してください。

EclecticIQ Platform

  • EclecticIQ Platform は Microsoft Sentinel と統合され、脅威の検出、ハンティング、対応を強化します。 この双方向統合のベネフィットとユース ケースについて確認してください。

GroupIB の脅威インテリジェンスと帰属特定

MISP Open Source Threat Intelligence Platform

Palo Alto Networks MineMeld

Recorded Future セキュリティ インテリジェンス プラットフォーム

  • Recorded Future から Microsoft Sentinel への接続には、Azure Logic Apps (プレイブック) を利用します。 オファリング全体をフル活用するうえで必要な個別の手順を参照してください。

ThreatConnect Platform

ThreatQuotient 脅威インテリジェンス プラットフォーム

インシデント エンリッチメント処理ソース

脅威インテリジェンス フィードは、脅威インジケーターのインポートに使用されるほか、インシデント内の情報をエンリッチメント処理して、より多くのコンテキストを調査に提供するためのソースとしても利用されます。 以下のフィードは、この目的を担うと共に、自動インシデント応答に使用するためのロジック アプリのプレイブックを提供します。 これらのエンリッチメント処理ソースはコンテンツ ハブで入手できます。

ソリューションを検出して管理する方法の詳細については、「すぐに使えるコンテンツを検出してデプロイする」を参照してください。

HYAS Insight

Microsoft Defender 脅威インテリジェンス

Recorded Future セキュリティ インテリジェンス プラットフォーム

ReversingLabs TitaniumCloud

RiskIQ Passive Total

Virus Total

次のステップ

このドキュメントでは、Microsoft Sentinel に脅威インテリジェンス プロバイダーを接続する方法を説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。