Delen via

Microsoft Sentinel verbinden met STIX/TAXII-bedreigingsinformatiefeeds

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

De meestgebruikte industriestandaard voor de overdracht van bedreigingsinformatie is een combinatie van de STIX-gegevensindeling en het TAXII-protocol. Als uw organisatie bedreigingsindicatoren ontvangt van oplossingen die ondersteuning bieden voor de huidige STIX-/TAXII-versie (2.0 of 2.1), kunt u de Bedreigingsinformatie - TAXII-gegevensconnector gebruiken om uw bedreigingsindicatoren in Microsoft Sentinel te brengen. Met deze connector kan een ingebouwde TAXII-client in Microsoft Sentinel bedreigingsinformatie importeren van TAXII 2.x-servers.

Schermopname van een TAXII-importpad.

Als u bedreigingsindicatoren met STIX-indeling wilt importeren in Microsoft Sentinel vanaf een TAXII-server, moet u de ROOT- en verzamelings-id van de TAXII-server-API ophalen. Vervolgens schakelt u de Threat Intelligence - TAXII-gegevensconnector in Microsoft Sentinel in.

Meer informatie over bedreigingsinformatie in Microsoft Sentinel en met name over de TAXII-bedreigingsinformatiefeeds die u kunt integreren met Microsoft Sentinel.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Zie Uw bedreigingsinformatieplatform (TIP) verbinden met Microsoft Sentinel voor meer informatie.

Belangrijk

Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde Microsoft Security Operations-platform in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

  • Als u zelfstandige inhoud of oplossingen in de Inhoudshub wilt installeren, bijwerken en verwijderen, hebt u de rol Microsoft Sentinel-inzender nodig op het niveau van de resourcegroep.
  • U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte om uw bedreigingsindicatoren op te slaan.
  • U moet een API-basis-URI en verzamelings-id voor TAXII 2.0 of TAXII 2.1 hebben.

De ROOT- en verzamelings-id van de TAXII-server-API ophalen

TAXII 2.x-servers adverteren API-roots. Dit zijn URL's die verzamelingen bedreigingsinformatie hosten. Meestal vindt u de API-hoofdmap en de verzamelings-id op de documentatiepagina's van de provider voor bedreigingsinformatie die als host fungeert voor de TAXII-server.

Notitie

In sommige gevallen kondigt de provider alleen een URL aan die een detectie-eindpunt wordt genoemd. U kunt het cURL-hulpprogramma gebruiken om door het detectie-eindpunt te bladeren en de API-hoofdmap aan te vragen.

De oplossing Bedreigingsinformatie installeren in Microsoft Sentinel

Als u bedreigingsindicatoren wilt importeren in Microsoft Sentinel vanaf een TAXII-server, voert u de volgende stappen uit:

  1. Voor Microsoft Sentinel in Azure Portal selecteert u onder Inhoudsbeheer de optie Inhoudshub.

    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Content Management>Content Hub.

  2. Zoek en selecteer de oplossing Bedreigingsinformatie .

  3. Selecteer de knop Installeren/bijwerken .

Zie Out-of-The-Box-inhoud ontdekken en implementeren voor meer informatie over het beheren van de oplossingsonderdelen.

Bedreigingsinformatie inschakelen - TAXII-gegevensconnector

  1. Als u de TAXII-gegevensconnector wilt configureren, selecteert u het menu Gegevensconnectors .

  2. Zoek en selecteer de bedreigingsinformatie - TAXII-gegevensconnector en selecteer vervolgens de pagina Connector openen.

    Schermopname van de pagina Gegevensconnectors met de TAXII-gegevensconnector vermeld.

  3. Voer een naam in voor deze TAXII-serververzameling in het tekstvak Beschrijvende naam . Vul de tekstvakken in voor api-hoofd-URL, verzamelings-id, gebruikersnaam (indien nodig) en wachtwoord (indien nodig). Kies de groep indicatoren en de gewenste pollingfrequentie. Selecteer Toevoegen.

    Schermopname van het configureren van TAXII-servers.

U ontvangt een bevestiging dat er een verbinding met de TAXII-server tot stand is gebracht. Herhaal de laatste stap zo vaak als u verbinding wilt maken met meerdere verzamelingen vanaf een of meer TAXII-servers.

Binnen een paar minuten moeten bedreigingsindicatoren beginnen te stromen naar deze Microsoft Sentinel-werkruimte. Zoek de nieuwe indicatoren in het deelvenster Bedreigingsinformatie . U kunt deze openen via het microsoft Sentinel-menu.

IP-acceptatielijst voor de Microsoft Sentinel TAXII-client

Sommige TAXII-servers, zoals FS-ISAC, hebben een vereiste om de IP-adressen van de Microsoft Sentinel TAXII-client op de acceptatielijst te houden. De meeste TAXII-servers hebben deze vereiste niet.

Indien relevant zijn de volgende IP-adressen de adressen die moeten worden opgenomen in uw acceptatielijst:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Gerelateerde inhoud

In dit artikel hebt u geleerd hoe u Microsoft Sentinel verbindt met feeds voor bedreigingsinformatie met behulp van het TAXII-protocol. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel: