Verbinding maken Microsoft Sentinel naar STIX/TAXII-feeds voor bedreigingsinformatie
De meestgebruikte industriestandaard voor de overdracht van bedreigingsinformatie is een combinatie van de STIX-gegevensindeling en het TAXII-protocol. Als uw organisatie bedreigingsindicatoren ontvangt van oplossingen die ondersteuning bieden voor de huidige STIX-/TAXII-versie (2.0 of 2.1), kunt u de Bedreigingsinformatie - TAXII-gegevensconnector gebruiken om uw bedreigingsindicatoren in Microsoft Sentinel te brengen. Met deze connector kan een ingebouwde TAXII-client in Microsoft Sentinel bedreigingsinformatie importeren van TAXII 2.x-servers.
Als u met STIX opgemaakte bedreigingsindicatoren wilt importeren naar Microsoft Sentinel vanaf een TAXII-server, moet u de ROOT- en verzamelings-id van de TAXII-server ophalen en vervolgens de bedreigingsinformatie - TAXII-gegevensconnector in Microsoft Sentinel inschakelen.
Meer informatie over bedreigingsinformatie in Microsoft Sentinel en met name over de taxiI-bedreigingsinformatiefeeds die kunnen worden geïntegreerd met Microsoft Sentinel.
Notitie
Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.
Belangrijk
Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Zie ook: Verbinding maken uw bedreigingsinformatieplatform (TIP) naar Microsoft Sentinel
Vereisten
- Als u zelfstandige inhoud of oplossingen in de inhoudshub wilt installeren, bijwerken en verwijderen, hebt u de rol Microsoft Sentinel-inzender nodig op het niveau van de resourcegroep.
- U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte om uw bedreigingsindicatoren op te slaan.
- U moet een TAXII 2.0- of TAXII 2.1 API-hoofd-URI en verzamelings-id hebben.
De ROOT- en verzamelings-id van de TAXII-server-API ophalen
TAXII 2.x-servers adverteren API Roots, die URL's zijn die verzamelingen bedreigingsinformatie hosten. Meestal vindt u de API-hoofdmap en de verzamelings-id op de documentatiepagina's van de provider voor bedreigingsinformatie die als host fungeert voor de TAXII-server.
Notitie
In sommige gevallen zal de provider alleen een URL adverteren die een detectie-eindpunt wordt genoemd. U kunt het cURL-hulpprogramma gebruiken om door het detectie-eindpunt te bladeren en de API-hoofdmap aan te vragen.
De oplossing Bedreigingsinformatie installeren in Microsoft Sentinel
Als u bedreigingsindicatoren wilt importeren in Microsoft Sentinel vanaf een TAXII-server, voert u de volgende stappen uit:
Voor Microsoft Sentinel in Azure Portal selecteert u onder Inhoudsbeheer de optie Inhoudshub.
Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Content Management>Content Hub.Zoek en selecteer de oplossing Bedreigingsinformatie .
Selecteer de knop Installeren/bijwerken .
Zie Out-of-The-Box-inhoud ontdekken en implementeren voor meer informatie over het beheren van de oplossingsonderdelen.
Bedreigingsinformatie inschakelen - TAXII-gegevensconnector
Als u de TAXII-gegevensconnector wilt configureren, selecteert u het menu Gegevensconnectors .
Zoek en selecteer de knop Bedreigingsinformatie - TAXII-gegevensconnector>Connector openen.
Voer een beschrijvende naam in voor deze TAXII-serververzameling, de API-hoofd-URL, de verzamelings-id, een gebruikersnaam (indien nodig) en een wachtwoord (indien nodig) en kies de groep indicatoren en de gewenste pollingfrequentie. Selecteer de knop Toevoegen.
U ontvangt een bevestiging dat er een verbinding met de TAXII-server tot stand is gebracht en u kunt de laatste stap hierboven zo vaak herhalen als u wilt, om verbinding te maken met meerdere verzamelingen van een of meer TAXII-servers.
Binnen een paar minuten moeten bedreigingsindicatoren beginnen te stromen naar deze Microsoft Sentinel-werkruimte. U vindt de nieuwe indicatoren op de blade Bedreigingsinformatie die toegankelijk is via het navigatiemenu van Microsoft Sentinel.
Vermelding van IP-acceptatie voor de Microsoft Sentinel TAXII-client
Sommige TAXII-servers, zoals FS-ISAC, hebben een vereiste om de IP-adressen van de Microsoft Sentinel TAXII-client op de acceptatielijst te houden. De meeste TAXII-servers hebben deze vereiste niet.
Indien relevant zijn de volgende IP-adressen die moeten worden opgenomen in uw acceptatielijst:
- 20.193.17.32
- 20.197.219.106
- 20.48.128.36
- 20.199.186.58
- 40.80.86.109
- 52.158.170.36
- 20.52.212.85
- 52.251.70.29
- 20.74.12.78
- 20.194.150.139
- 20.194.17.254
- 51.13.75.153
- 102.133.139.160
- 20.197.113.87
- 40.123.207.43
- 51.11.168.197
- 20.71.8.176
- 40.64.106.65
Gerelateerde inhoud
In dit document hebt u geleerd hoe u Microsoft Sentinel verbindt met feeds voor bedreigingsinformatie met behulp van het TAXII-protocol. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel.
- Meer informatie over hoe u inzicht krijgt in uw gegevens en potentiële bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.