Microsoft Sentinel의 위협 인텔리전스 통합

Microsoft Sentinel은 위협 인텔리전스 피드를 사용하여 알려진 위협을 탐지하고 우선 순위를 지정하는 보안 분석가의 능력을 향상시키는 몇 가지 다른 방법을 제공합니다.

• 사용 가능한 TIP(통합 위협 인텔리전스 플랫폼) 제품 중 하나를 사용합니다.
• STIX 호환 위협 인텔리전스 소스를 활용하려면 TAXII 서버에 커넥트.
• Microsoft Defender 위협 인텔리전스 피드에 직접 커넥트.
• Microsoft Graph Security tiIndicators API와 직접 통신할 수 있는 사용자 지정 솔루션을 사용합니다.
• 또한 직접 조사 및 응답 작업에 도움이 될 수 있는 TI 정보로 인시던트 보강을 위해 플레이북에서 위협 인텔리전스 원본에 연결할 수 있습니다.

팁

MSSP(관리형 보안 서비스 공급자)와 같이 동일한 테넌트에 여러 작업 영역이 있는 경우 중앙 작업 영역에만 위협 지표를 연결하는 것이 더 비용 효율적일 수 있습니다.

각 개별 작업 영역으로 동일한 위협 지표 집합을 가져온 경우 작업 영역 간 쿼리를 실행하여 작업 영역 전체에서 위협 지표를 집계할 수 있습니다. MSSP 인시던트 검색, 조사 및 헌팅 환경 내에서 상관 관계를 지정합니다.

TAXII 위협 인텔리전스 피드

TAXII 위협 인텔리전스 피드에 연결하려면 아래에 링크된 각 공급업체에서 제공한 데이터와 함께 Microsoft Sentinel을 STIX/TAXII 위협 인텔리전스 피드에 연결하기 위한 지침을 따르세요. 커넥터와 함께 사용하는 데 필요한 데이터를 얻으려면 공급업체에 직접 문의해야 할 수 있습니다.

Accenture 사이버 위협 인텔리전스

• Microsoft Sentinel과 Accenture CTI 통합에 대해 알아봅니다.

Cybersixgill Darkfeed

• Learn about Cybersixgill integration with Microsoft Sentinel @Cybersixgill
• Microsoft Sentinel을 Cybersixgill TAXII 서버에 연결하고 Darkfeed에 액세스하려면 Cybersix에 연락해서 API 루트, 컬렉션 ID, 사용자 이름 및 암호를 획득합니다.

ESET

• ESET의 위협 인텔리전스 제공에 대해 알아봅니다.
• Microsoft Sentinel을 ESET TAXII 서버에 연결하려면 ESET 계정에서 API 루트 URL, 컬렉션 ID, 사용자 이름 및 암호를 가져옵니다. 그런 다음 일반 지침 및 ESET의 기술 자료 문서를 따릅니다.

금융 서비스 정보 공유 및 분석 센터(FS-ISAC)

• FS-ISAC를 조인하여 이 피드에 액세스할 자격 증명을 가져옵니다.

H-ISAC(상태 인텔리전스 공유 커뮤니티)

• H-ISAC 에 가입하여 이 피드에 액세스할 자격 증명을 가져옵니다.

IBM X-Force

• IBM X-Force 통합에 대해 자세히 알아보기

IntSights

• Learn more about the IntSights integration with Microsoft Sentinel @IntSights
• Microsoft Sentinel을 IntSights TAXII 서버에 연결하려면 Microsoft Sentinel로 보내려는 데이터의 정책을 구성한 후 IntSights 포털에서 API 루트, 컬렉션 ID, 사용자 이름 및 암호를 획득합니다.

Kaspersky

• Kaspersky와 Microsoft Sentinel 통합에 대해 알아보기

Pulsedive

• Microsoft Sentinel과 Pulsedive 통합에 대해 알아보기

ReversingLabs

• Microsoft Sentinel과 ReversingLabs TAXII 통합에 대해 알아보기

Sectrio

• Sectrio 통합에 대해 자세히 알아보기
• Sectrio의 TI 피드를 Microsoft Sentinel에 통합하기 위한 단계별 프로세스

SEKOIA.IO

• SEKOIA.IO과 Microsoft Sentinel 통합에 대해 알아보기

ThreatConnect

• Learn more about STIX and TAXII @ThreatConnect
• TAXII Services documentation @ThreatConnect

통합 위협 인텔리전스 플랫폼 제품

TIP(위협 인텔리전스 플랫폼) 피드에 연결하려면 Microsoft Sentinel에 위협 인텔리전스 플랫폼을 연결하기 위한 지침을 따릅니다. 이러한 지침의 두 번째 부분에서는 TIP 솔루션에 정보를 입력해야 합니다. 자세한 정보는 아래 링크를 참조하세요.

Agari 피싱 방어 및 브랜드 보호

• Agari 피싱 방어 및 브랜드 보호에 연결하려면 Microsoft Sentinel에서 기본 제공하는 Agari 데이터 커넥터를 사용합니다.

Anomali ThreatStream

• ThreatStream 통합자 및 확장을 다운로드하고 ThreatStream 인텔리전스를 Microsoft Graph 보안 API 연결하는 지침은 ThreatStream 다운로드 페이지를 참조하세요.

AT&T Cybersecurity에서의 AlienVault OTX(Open Threat Exchange)

• AlienVault OTX는 Azure Logic Apps(플레이북)를 사용하여 Microsoft Sentinel에 연결합니다. 전체 제품을 최대한 활용하는 데 필요한 전문 지침을 참조하세요.

EclecticIQ 플랫폼

• EclecticIQ 플랫폼은 Microsoft Sentinel과 통합되어 위협 탐지, 헌팅, 응답을 향상시킵니다. 이 양방향 통합의 이점 및 사용 사례에 관해 자세히 알아보세요.

GroupIB 위협 인텔리전스 및 특성

• GroupIB 위협 인텔리전스 및 특성을 Microsoft Sentinel에 연결하기 위해 GroupIB는 Azure Logic Apps를 사용합니다. 전체 제품을 최대한 활용하는 데 필요한 전문 지침을 참조하세요.

MISP 오픈 소스 위협 인텔리전스 플랫폼

• MISP2Sentinel과 함께 TI 업로드 표시기 API를 사용하여 MISP에서 Microsoft Sentinel로 위협 지표를 푸시합니다.
• MISP2Sentinel에 대한 Azure Marketplace 링크입니다.
• MISP 프로젝트에 대해 자세히 알아봅니다.

Palo Alto Networks MineMeld

• Microsoft Sentinel 연결 정보를 사용하여 Palo Alto MineMeld를 구성하려면 MineMeld를 사용하여 Microsoft Graph 보안 API에 IOC 전송 문서를 참조한 후 MineMeld 구성 제목으로 넘어가세요.

기록된 미래 보안 인텔리전스 플랫폼

• Recorded Future는 Azure Logic Apps(플레이북)를 사용하여 Microsoft Sentinel과 연결합니다. 전체 제품을 최대한 활용하는 데 필요한 전문 지침을 참조하세요.

ThreatConnect 플랫폼

• ThreatConnect를 Microsoft Sentinel에 연결하는 지침은 Microsoft Graph 보안 위협 지표 통합 구성 가이드를 참조하세요.

ThreatQuotient 위협 인텔리전스 플랫폼

• 문서 ThreatQ 통합을 위한 Microsoft Sentinel 커넥터에서 ThreatQuotient TIP를 Microsoft Sentinel과 연결하는 데 필요한 지원 정보와 지침을 확인할 수 있습니다.

인시던트 보강 원본

위협 지표를 가져오는 데 사용되는 용도 외에도 위협 인텔리전스 피드는 인시던트에서 정보를 보강하고 조사에 더 많은 컨텍스트를 제공하는 소스 역할을 할 수 있습니다. 다음 피드는 이러한 용도로 사용되며 자동화된 인시던트 대응에 사용할 논리 앱 플레이북을 제공합니다. 콘텐츠 허브에서 이러한 보강 원본을 찾습니다.

솔루션을 찾고 관리하는 방법에 대한 자세한 내용은 기본 제공 콘텐츠 검색 및 배포를 참조하세요.

HYAS Insight

• HYAS 인사이트에 대한 인시던트 보강 플레이북을 Microsoft Sentinel GitHub 리포지토리에서 찾아 사용하도록 설정합니다. "Enrich-Sentinel-Incident-HYAS-Insight-"로 시작하는 하위 폴더를 검색합니다.
• HYAS Insight Logic App 커넥터 설명서를 참조하세요.

Microsoft Defender 위협 인텔리전스

• Microsoft Sentinel GitHub 리포지토리에서 Microsoft Defender 위협 인텔리전스 인시던트 보강 플레이북을 찾아 사용하도록 설정합니다.
• 자세한 내용은 MDTI Tech Community 블로그 게시물을 참조하세요.

기록된 미래 보안 인텔리전스 플랫폼

• Recorded Future에 대한 인시던트 보강 플레이북을 Microsoft Sentinel GitHub 리포지토리에서 찾아 사용하도록 설정합니다. "RecordedFuture_"로 시작하는 하위 폴더를 검색합니다.
• 기록된 미래 논리 앱 커넥터 설명서를 참조하세요.

ReversingLabs TitaniumCloud

• ReversingLabs에 대한 인시던트 보강 플레이북을 Microsoft Sentinel GitHub 리포지토리에서 찾아 사용하도록 설정합니다.
• ReversingLabs Intelligence Logic App 커넥터 설명서를 참조하세요.

RiskIQ Passive Total

• RiskIQ Passive Total에 대한 인시던트 보강 플레이북을 Microsoft Sentinel GitHub 리포지토리에서 찾아 사용하도록 설정합니다.
• RiskIQ 플레이북 작업에 대한 자세한 내용을 참조하세요.
• RiskIQ PassiveTotal Logic App 커넥터 설명서를 참조하세요.

Virus Total

• Virus Total에 대한 인시던트 보강 플레이북을 Microsoft Sentinel GitHub 리포지토리에서 찾아 사용하도록 설정합니다. "Get-VTURL"로 시작하는 하위 폴더를 검색합니다.
• 바이러스 총 논리 앱 커넥터 설명서를 참조하세요.

다음 단계

이 문서에서는 위협 인텔리전스 공급자를 Microsoft Sentinel에 연결하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.

• 데이터 및 잠재적 위협에 대한 가시성을 얻는 방법을 알아봅니다.
• Microsoft Sentinel을 사용하여 위협 탐지에서 시작합니다.