Microsoft Sentinel 위협 인텔리전스 통합

Microsoft Sentinel 위협 인텔리전스 피드를 사용하여 보안 분석가가 알려진 위협을 감지하고 우선 순위를 지정하는 기능을 향상시키는 몇 가지 방법을 제공합니다.

• 사용 가능한 여러 TIP(통합 위협 인텔리전스 플랫폼) 제품 중 하나를 사용합니다.
• TAXII 서버에 연결하여 STIX 호환 위협 인텔리전스 원본을 활용합니다.
• Microsoft Defender 위협 인텔리전스 피드에 직접 연결합니다.
• 위협 인텔리전스 업로드 지표 API와 직접 통신할 수 있는 사용자 지정 솔루션을 사용합니다.
• 플레이북의 위협 인텔리전스 원본에 연결하여 직접 조사 및 대응 작업에 도움이 될 수 있는 위협 인텔리전스 정보로 인시던트 보강

팁

MSSP(관리 보안 서비스 공급자)와 같이 동일한 테넌트에서 여러 작업 영역이 있는 경우 위협 지표를 중앙 집중식 작업 영역에만 연결하는 것이 더 비용 효율적일 수 있습니다.

각 개별 작업 영역으로 동일한 위협 지표 집합을 가져온 경우 작업 영역 간 쿼리를 실행하여 작업 영역에서 위협 지표를 집계할 수 있습니다. MSSP 인시던트 검색, 조사 및 헌팅 환경 내에서 상관 관계를 지정합니다.

TAXII 위협 인텔리전스 피드

TAXII 위협 인텔리전스 피드에 연결하려면 지침에 따라 각 공급업체에서 제공하는 데이터와 함께 MICROSOFT SENTINEL STIX/TAXII 위협 인텔리전스 피드에 연결합니다. 커넥터와 함께 사용하는 데 필요한 데이터를 얻으려면 공급업체에 직접 문의해야 할 수 있습니다.

강조 사이버 위협 인텔리전스

• Microsoft Sentinel CTI(Accenture Cyber Threat Intelligence) 통합에 대해 알아봅니다.

Cybersixgill 다크피드

• Microsoft Sentinel Cybersixgill 통합에 대해 알아봅니다.
• Microsoft Sentinel Cybersixgill TAXII 서버에 연결하고 Darkfeed에 액세스할 수 있습니다. 연락처 azuresentinel@cybersixgill.com API 루트, 컬렉션 ID, 사용자 이름 및 암호를 가져옵니다.

CTIX(사이웨어 위협 인텔리전스 교환)

Cyware TIP의 한 가지 구성 요소인 CTIX는 보안 정보 및 이벤트 관리를 위해 TAXII 피드를 사용하여 인텔을 실행 가능하게 만드는 것입니다. Microsoft Sentinel 경우 다음 지침을 따르세요.

• Microsoft Sentinel 통합하는 방법 알아보기

Eset

• ESET의 위협 인텔리전스 제품에 대해 알아봅니다.
• Microsoft Sentinel ESET TAXII 서버에 연결합니다. ESET 계정에서 API 루트 URL, 컬렉션 ID, 사용자 이름 및 암호를 가져옵니다. 그런 다음, 일반 지침 및 ESET의 기술 자료 문서를 따릅니다.

금융 서비스 정보 공유 및 분석 센터(FS-ISAC)

• FS-ISAC에 가입하여 이 피드에 액세스할 자격 증명을 가져옵니다.

H-ISAC(상태 인텔리전스 공유 커뮤니티)

• H-ISAC에 가입하여 이 피드에 액세스할 자격 증명을 가져옵니다.

IBM X-Force

• IBM X-Force 통합에 대해 자세히 알아보세요.

IntSights

• Microsoft Sentinel IntSights 통합에 대해 자세히 알아보세요.
• Microsoft Sentinel IntSights TAXII 서버에 연결합니다. Microsoft Sentinel 보낼 데이터의 정책을 구성한 후 IntSights 포털에서 API 루트, 컬렉션 ID, 사용자 이름 및 암호를 가져옵니다.

카스 퍼 스키

• Microsoft Sentinel 카스퍼 스키 통합에 대해 알아봅니다.

펄스형

• Microsoft Sentinel Pulsedive 통합에 대해 알아봅니다.

ReversingLabs

• Microsoft Sentinel ReversingLabs TAXII 통합에 대해 알아봅니다.

Sectrio

• Sectrio 통합에 대해 자세히 알아보세요.
• Sectrio의 위협 인텔리전스 피드를 Microsoft Sentinel 통합하기 위한 단계별 프로세스에 대해 알아봅니다.

세코이아. Io

• SEKOIA에 대해 알아봅니다. Microsoft Sentinel IO 통합

ThreatConnect

• ThreatConnect에서 STIX 및 TAXII에 대해 자세히 알아보세요.
• ThreatConnect에서 TAXII 서비스 설명서를 참조하세요.

통합 위협 인텔리전스 플랫폼 제품

TIP 피드에 연결하려면 위협 인텔리전스 플랫폼을 Microsoft Sentinel 연결을 참조하세요. 필요한 다른 정보를 알아보려면 다음 솔루션을 참조하세요.

Agari 피싱 방어 및 브랜드 보호

• Agari 피싱 방어 및 브랜드 보호를 연결하려면 Microsoft Sentinel 기본 제공 Agari 데이터 커넥터를 사용합니다.

Anomali ThreatStream

• ThreatStream 통합자 및 확장을 다운로드하고 ThreatStream 인텔리전스를 Microsoft Graph 보안 API 연결하는 지침은 ThreatStream 다운로드 페이지를 참조하세요.

AT&T 사이버 보안의 AlienVault OTX(Open Threat Exchange)

• AlienVault OTX가 Azure Logic Apps(플레이북)를 사용하여 Microsoft Sentinel 연결하는 방법을 알아봅니다. 전체 제품을 최대한 활용하는 데 필요한 전문 지침을 참조하세요.

EclecticIQ Platform

• EclecticIQ Platform은 Microsoft Sentinel 통합되어 위협 탐지, 헌팅 및 대응을 향상시킵니다. 이 양방향 통합의 이점 및 사용 사례에 대해 자세히 알아봅니다.

Filigran OpenCTI

• Filigran OpenCTI는 실시간으로 실행되는 전용 커넥터를 통해 또는 Sentinel 정기적으로 폴링하는 TAXII 2.1 서버 역할을 하여 위협 인텔리전스를 Microsoft Sentinel 보낼 수 있습니다. Microsoft Sentinel 인시던트 커넥터를 통해 Sentinel 구조적 인시던트도 수신할 수 있습니다.

GroupIB 위협 인텔리전스 및 특성

• GroupIB 위협 인텔리전스 및 특성을 Microsoft Sentinel 연결하기 위해 GroupIB는 Logic Apps를 사용합니다. 전체 제품을 최대한 활용하는 데 필요한 전문 지침을 참조하세요.

MISP 오픈 소스 위협 인텔리전스 플랫폼

• MISP2Sentinel과 함께 위협 인텔리전스 업로드 지표 API를 사용하여 MISP에서 Microsoft Sentinel 위협 지표를 푸시합니다.
• Azure Marketplace의 MISP2Sentinel을 참조하세요.
• MISP 프로젝트에 대해 자세히 알아보세요.

Palo Alto Networks MineMeld

• Microsoft Sentinel 연결 정보를 사용하여 Palo Alto MineMeld를 구성하려면 MineMeld를 사용하여 Microsoft Graph 보안 API IOC 보내기를 참조하세요. "MineMeld 구성" 제목으로 이동합니다.

기록된 미래 보안 인텔리전스 플랫폼

• Recorded Future가 Logic Apps(플레이북)를 사용하여 Microsoft Sentinel 연결하는 방법을 알아봅니다. 전체 제품을 최대한 활용하는 데 필요한 전문 지침을 참조하세요.

ThreatConnect 플랫폼

• ThreatConnect를 Microsoft Sentinel 연결하는 지침은 Microsoft Graph 보안 위협 지표 통합 구성 가이드를 참조하세요.

ThreatQuotient 위협 인텔리전스 플랫폼

• Microsoft Sentinel ThreatQuotient TIP을 연결하는 지원 정보 및 지침은 Microsoft Sentinel Connector for ThreatQ 통합을 참조하세요.

인시던트 보강 원본

위협 지표를 가져오는 데 사용되는 것 외에도 위협 인텔리전스 피드는 인시던트에서 정보를 보강하고 조사에 더 많은 컨텍스트를 제공하는 소스 역할을 할 수 있습니다. 다음 피드는 이러한 용도로 사용되며 자동화된 인시던트 대응에 사용할 Logic Apps 플레이북을 제공합니다. 콘텐츠 허브에서 이러한 보강 원본을 찾습니다.

솔루션을 찾고 관리하는 방법에 대한 자세한 내용은 기본 제공 콘텐츠 검색 및 배포를 참조하세요.

HYAS 인사이트

• Microsoft Sentinel GitHub 리포지토리에서 HYAS Insight에 대한 인시던트 보강 플레이북을 찾아 사용하도록 설정합니다. 로 시작하는 하위 폴더를 검색합니다 Enrich-Sentinel-Incident-HYAS-Insight-.
• HYAS Insight Logic Apps 커넥터 설명서를 참조하세요.

Microsoft Defender 위협 인텔리전스

• Microsoft Sentinel GitHub 리포지토리에서 Microsoft Defender 위협 인텔리전스 인시던트 보강 플레이북을 찾아 사용하도록 설정합니다.
• 자세한 내용은 Defender Threat Intelligence 기술 커뮤니티 블로그 게시물을 참조하세요.

기록된 미래 보안 인텔리전스 플랫폼

• Microsoft Sentinel GitHub 리포지토리에서 기록된 미래에 대한 인시던트 보강 플레이북을 찾아 사용하도록 설정합니다. 로 시작하는 하위 폴더를 검색합니다 RecordedFuture_.
• 기록된 미래 Logic Apps 커넥터 설명서를 참조하세요.

ReversingLabs TitaniumCloud

• Microsoft Sentinel GitHub 리포지토리에서 ReversingLabs에 대한 인시던트 보강 플레이북을 찾아 사용하도록 설정합니다.
• ReversingLabs TitaniumCloud Logic Apps 커넥터 설명서를 참조하세요.

RiskIQ PassiveTotal

• Microsoft Sentinel GitHub 리포지토리에서 RiskIQ 수동 합계에 대한 인시던트 보강 플레이북을 찾아 사용하도록 설정합니다.
• RiskIQ 플레이북 작업에 대한 자세한 내용을 참조하세요.
• RiskIQ PassiveTotal Logic Apps 커넥터 설명서를 참조하세요.

Virustotal

• Microsoft Sentinel GitHub 리포지토리에서 VirusTotal에 대한 인시던트 보강 플레이북을 찾아 사용하도록 설정합니다. 로 시작하는 하위 폴더를 검색합니다 Get-VTURL.
• VirusTotal Logic Apps 커넥터 설명서를 참조하세요.

관련 콘텐츠

이 문서에서는 위협 인텔리전스 공급자를 Microsoft Sentinel 연결하는 방법을 알아보았습니다. Microsoft Sentinel 대한 자세한 내용은 다음 문서를 참조하세요.

• 데이터 및 잠재적 위협에 대한 가시성을 얻는 방법을 알아봅니다.
• Microsoft Sentinel 사용하여 위협 검색을 시작합니다.