Delen via

Verbinding maken Microsoft Sentinel naar STIX/TAXII-feeds voor bedreigingsinformatie

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

De meestgebruikte industriestandaard voor de overdracht van bedreigingsinformatie is een combinatie van de STIX-gegevensindeling en het TAXII-protocol. Als uw organisatie bedreigingsindicatoren ontvangt van oplossingen die ondersteuning bieden voor de huidige STIX-/TAXII-versie (2.0 of 2.1), kunt u de Bedreigingsinformatie - TAXII-gegevensconnector gebruiken om uw bedreigingsindicatoren in Microsoft Sentinel te brengen. Met deze connector kan een ingebouwde TAXII-client in Microsoft Sentinel bedreigingsinformatie importeren van TAXII 2.x-servers.

TAXII-importpad

Als u met STIX opgemaakte bedreigingsindicatoren wilt importeren naar Microsoft Sentinel vanaf een TAXII-server, moet u de ROOT- en verzamelings-id van de TAXII-server ophalen en vervolgens de bedreigingsinformatie - TAXII-gegevensconnector in Microsoft Sentinel inschakelen.

Meer informatie over bedreigingsinformatie in Microsoft Sentinel en met name over de taxiI-bedreigingsinformatiefeeds die kunnen worden geïntegreerd met Microsoft Sentinel.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Zie ook: Verbinding maken uw bedreigingsinformatieplatform (TIP) naar Microsoft Sentinel

Vereisten

  • Als u zelfstandige inhoud of oplossingen in de inhoudshub wilt installeren, bijwerken en verwijderen, hebt u de rol Microsoft Sentinel-inzender nodig op het niveau van de resourcegroep.
  • U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte om uw bedreigingsindicatoren op te slaan.
  • U moet een TAXII 2.0- of TAXII 2.1 API-hoofd-URI en verzamelings-id hebben.

De ROOT- en verzamelings-id van de TAXII-server-API ophalen

TAXII 2.x-servers adverteren API Roots, die URL's zijn die verzamelingen bedreigingsinformatie hosten. Meestal vindt u de API-hoofdmap en de verzamelings-id op de documentatiepagina's van de provider voor bedreigingsinformatie die als host fungeert voor de TAXII-server.

Notitie

In sommige gevallen zal de provider alleen een URL adverteren die een detectie-eindpunt wordt genoemd. U kunt het cURL-hulpprogramma gebruiken om door het detectie-eindpunt te bladeren en de API-hoofdmap aan te vragen.

De oplossing Bedreigingsinformatie installeren in Microsoft Sentinel

Als u bedreigingsindicatoren wilt importeren in Microsoft Sentinel vanaf een TAXII-server, voert u de volgende stappen uit:

  1. Voor Microsoft Sentinel in Azure Portal selecteert u onder Inhoudsbeheer de optie Inhoudshub.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Content Management>Content Hub.

  2. Zoek en selecteer de oplossing Bedreigingsinformatie .

  3. Selecteer de knop Installeren/bijwerken .

Zie Out-of-The-Box-inhoud ontdekken en implementeren voor meer informatie over het beheren van de oplossingsonderdelen.

Bedreigingsinformatie inschakelen - TAXII-gegevensconnector

  1. Als u de TAXII-gegevensconnector wilt configureren, selecteert u het menu Gegevensconnectors .

  2. Zoek en selecteer de knop Bedreigingsinformatie - TAXII-gegevensconnector>Connector openen.

    Schermopname van de pagina gegevensconnectors met de TAXII-gegevensconnector vermeld.

  3. Voer een beschrijvende naam in voor deze TAXII-serververzameling, de API-hoofd-URL, de verzamelings-id, een gebruikersnaam (indien nodig) en een wachtwoord (indien nodig) en kies de groep indicatoren en de gewenste pollingfrequentie. Selecteer de knop Toevoegen.

    TAXII-servers configureren

U ontvangt een bevestiging dat er een verbinding met de TAXII-server tot stand is gebracht en u kunt de laatste stap hierboven zo vaak herhalen als u wilt, om verbinding te maken met meerdere verzamelingen van een of meer TAXII-servers.

Binnen een paar minuten moeten bedreigingsindicatoren beginnen te stromen naar deze Microsoft Sentinel-werkruimte. U vindt de nieuwe indicatoren op de blade Bedreigingsinformatie die toegankelijk is via het navigatiemenu van Microsoft Sentinel.

Vermelding van IP-acceptatie voor de Microsoft Sentinel TAXII-client

Sommige TAXII-servers, zoals FS-ISAC, hebben een vereiste om de IP-adressen van de Microsoft Sentinel TAXII-client op de acceptatielijst te houden. De meeste TAXII-servers hebben deze vereiste niet.

Indien relevant zijn de volgende IP-adressen die moeten worden opgenomen in uw acceptatielijst:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Gerelateerde inhoud

In dit document hebt u geleerd hoe u Microsoft Sentinel verbindt met feeds voor bedreigingsinformatie met behulp van het TAXII-protocol. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel.