Integratie van bedreigingsinformatie in Microsoft Sentinel

Microsoft Sentinel biedt u een aantal manieren om feeds voor bedreigingsinformatie te gebruiken om de mogelijkheid van uw beveiligingsanalisten om bekende bedreigingen te detecteren en te prioriteren:

• Gebruik een van de vele beschikbare producten van het Integrated Threat Intelligence Platform (TIP).
• Maak verbinding met TAXII-servers om te profiteren van een met STIX compatibele bedreigingsinformatiebron.
• Maak rechtstreeks verbinding met de Microsoft Defender Threat Intelligence-feed .
• Maak gebruik van aangepaste oplossingen die rechtstreeks kunnen communiceren met de API Voor het uploaden van bedreigingsinformatie.
• Maak verbinding met bedreigingsinformatiebronnen van playbooks om incidenten te verrijken met informatie over bedreigingsinformatie die kan helpen bij het direct onderzoeken en reageren van acties.

Aanbeveling

Als u meerdere werkruimten in dezelfde tenant hebt, zoals voor Managed Security Service Providers (MSSP's), is het mogelijk rendabeler om bedreigingsindicatoren alleen te verbinden met de gecentraliseerde werkruimte.

Wanneer u dezelfde set bedreigingsindicatoren hebt geïmporteerd in elke afzonderlijke werkruimte, kunt u query's voor meerdere werkruimten uitvoeren om bedreigingsindicatoren in uw werkruimten samen te voegen. Correleren binnen uw MSSP-incidentdetectie, onderzoek en opsporingservaring.

TAXII-feeds voor bedreigingsinformatie

Volg de instructies om Microsoft Sentinel te verbinden met STIX-/TAXII-bedreigingsinformatiefeeds, samen met de door elke leverancier verstrekte gegevens. Mogelijk moet u rechtstreeks contact opnemen met de leverancier om de benodigde gegevens voor gebruik met de connector te verkrijgen.

Accenture cyberdreigingsinformatie

• Meer informatie over CTI-integratie (Cyber Threat Intelligence) van Accenture met Microsoft Sentinel.

Cybersixgill Darkfeed

• Meer informatie over Cybersixgill-integratie met Microsoft Sentinel.
• Verbind Microsoft Sentinel met de Cybersixgill TAXII-server en krijg toegang tot Darkfeed. Contact azuresentinel@cybersixgill.com om de API-root, collectie-ID, gebruikersnaam en wachtwoord te ontvangen.

Cyware Threat Intelligence Exchange (CTIX)

Een onderdeel van Cyware's TIP, CTIX, is het maken van informatie die kan worden uitgevoerd met een TAXII-feed voor uw beveiligingsinformatie en gebeurtenisbeheer. Volg voor Microsoft Sentinel de instructies hier:

• Meer informatie over het integreren met Microsoft Sentinel

ESET

• Meer informatie over de bedreigingsinformatie van ESET.
• Verbind Microsoft Sentinel met de ESET TAXII-server. Haal de API-hoofd-URL, verzamelings-id, gebruikersnaam en wachtwoord op uit uw ESET-account. Volg vervolgens de algemene instructies en het knowledge base-artikel van ESET.

Informatie-uitwisselings- en Analysecentrum voor Financiële Diensten (FS-ISAC) (FS-ISAC)

• Meld u aan bij FS-ISAC om de referenties op te halen voor toegang tot deze feed.

Health Intelligence Sharing Community (H-ISAC)

• Neem deel aan de H-ISAC om de referenties te verkrijgen voor toegang tot deze feed.

IBM X-Force

• Meer informatie over IBM X-Force-integratie.

IntSights

• Meer informatie over de integratie van IntSights met Microsoft Sentinel.
• Verbind Microsoft Sentinel met de IntSights TAXII-server. Haal de API-hoofdmap, verzamelings-id, gebruikersnaam en wachtwoord op uit de IntSights-portal nadat u een beleid hebt geconfigureerd voor de gegevens die u naar Microsoft Sentinel wilt verzenden.

Beveiligings- en werk

• Meer informatie over de Kaspersky-integratie met Microsoft Sentinel.

Pulsedive

• Meer informatie over Pulsedive-integratie met Microsoft Sentinel.

ReversingLabs

• Meer informatie over ReversingLabs TAXII-integratie met Microsoft Sentinel.

Sectrio

• Meer informatie over Sectrio-integratie.
• Meer informatie over het stapsgewijze proces voor het integreren van de bedreigingsinformatiefeed van Sectrio in Microsoft Sentinel.

SEKOIA. IO

• Meer informatie over SEKOIA. IO-integratie met Microsoft Sentinel.

ThreatConnect

• Meer informatie over STIX en TAXII bij ThreatConnect.
• Raadpleeg de documentatie over TAXII-services op ThreatConnect.

Geïntegreerde threat intelligence-platformproducten

Zie Bedreigingsinformatieplatforms verbinden met Microsoft Sentinel om verbinding te maken met TIP-feeds. Zie de volgende oplossingen voor meer informatie over wat er nodig is.

Agari Phishingbescherming en Merkbescherming

• Als u Agari Phishing Defense en Brand Protection wilt verbinden, gebruikt u de ingebouwde Agari-gegevensconnector in Microsoft Sentinel.

Anomali ThreatStream

• Als u ThreatStream Integrator en Extensions wilt downloaden en de instructies voor het verbinden van ThreatStream-intelligentie met de Microsoft Graph Security-API, raadpleegt u de pagina ThreatStream-downloads .

AlienVault Open Threat Exchange (OTX) van AT&T Cybersecurity

• Meer informatie over hoe AlienVault OTX gebruikmaakt van Azure Logic Apps (playbooks) om verbinding te maken met Microsoft Sentinel. Zie de gespecialiseerde instructies die nodig zijn om optimaal te profiteren van het volledige aanbod.

EclecticIQ-platform

• EclecticIQ Platform kan worden geïntegreerd met Microsoft Sentinel om de detectie, opsporing en reactie van bedreigingen te verbeteren. Meer informatie over de voordelen en gebruiksvoorbeelden van deze integratie in twee richtingen.

Filigran OpenCTI

• Filigran OpenCTI kan bedreigingsinformatie verzenden naar Microsoft Sentinel via een toegewezen connector die in realtime wordt uitgevoerd of door te fungeren als een TAXII 2.1-server die Sentinel regelmatig zal peilen. Het kan ook gestructureerde incidenten van Sentinel ontvangen via de Microsoft Sentinel Incident-connector.

Bedreigingsinformatie en -toeschrijving van GroupIB

• Om GroupIB Threat Intelligence en Toeschrijving te verbinden met Microsoft Sentinel, maakt GroupIB gebruik van Logic Apps. Zie de gespecialiseerde instructies die nodig zijn om optimaal te profiteren van het volledige aanbod.

MISP opensource-platform voor bedreigingsinformatie

• Push bedreigingsindicatoren van MISP naar Microsoft Sentinel met behulp van de Threat Intelligence Upload Indicators API met MISP2Sentinel.
• Zie MISP2Sentinel in Azure Marketplace.
• Meer informatie over het MISP-project.

Palo Alto Networks MineMeld

• Als u Palo Alto MineMeld wilt configureren met de verbindingsgegevens voor Microsoft Sentinel, raadpleegt u Het verzenden van IOC's naar de Microsoft Graph Security-API met behulp van MineMeld. Ga naar de kop 'MineMeld Configuration'.

Opgenomen toekomstige beveiligingsinformatieplatform

• Meer informatie over hoe Recorded Future gebruikmaakt van Logic Apps (playbooks) om verbinding te maken met Microsoft Sentinel. Zie de gespecialiseerde instructies die nodig zijn om optimaal te profiteren van het volledige aanbod.

ThreatConnect-platform

• Zie de integratiehandleiding voor Microsoft Graph Security Threat Indicators voor instructies voor het verbinden van ThreatConnect met Microsoft Sentinel.

ThreatQuotient Threat Intelligence-platform

• Zie Microsoft Sentinel Connector for ThreatQ-integratie voor ondersteuningsinformatie en instructies om ThreatQuotient TIP te verbinden met Microsoft Sentinel.

Bronnen voor incidentverrijking

Naast het importeren van bedreigingsindicatoren, kunnen bedreigingsinformatiefeeds ook fungeren als bron om de informatie in uw incidenten te verrijken en meer context te bieden aan uw onderzoeken. De volgende feeds dienen dit doel en bieden Logic Apps-playbooks voor gebruik in uw geautomatiseerde incidentrespons. Zoek deze verrijkingsbronnen in de Content Hub.

Zie Out-of-The-Box-inhoud ontdekken en implementeren voor meer informatie over het vinden en beheren van de oplossingen.

HYAS Insight

• Vind en schakel playbooks voor incidentverrijking in voor HYAS Insight in de GitHub-opslagplaats van Microsoft Sentinel. Zoek naar submappen die beginnen met Enrich-Sentinel-Incident-HYAS-Insight-.
• Raadpleeg de documentatie van de HYAS Insight Logic Apps-connector.

Microsoft Defender Bedreigingsinformatie

• Zoek en schakel playbooks voor incidentverrijking in voor Microsoft Defender Threat Intelligence in de GitHub-repository van Microsoft Sentinel.
• Zie het blogbericht van de Defender Threat Intelligence Tech Community voor meer informatie.

Opgenomen Future Security Intelligence Platform

• Vind en schakel incidentverrijkingsplaybooks in voor Recorded Future in de GitHub-repository van Microsoft Sentinel. Zoek naar submappen die beginnen met RecordedFuture_.
• Raadpleeg de documentatie voor de Recorded Future Logic Apps-connector.

ReversingLabs TitaniumCloud

• Zoek en schakel incidentverrijkingsplaybooks in voor ReversingLabs in de GitHub-opslagplaats van Microsoft Sentinel.
• Zie de documentatie van de ReversingLabs TitaniumCloud Logic Apps-connector.

RiskIQ PassiveTotal

• Zoek en schakel de playbooks voor incidentverrijking in voor RiskIQ Passive Total in de GitHub-opslagplaats van Microsoft Sentinel.
• Zie meer informatie over het werken met RiskIQ-playbooks.
• Raadpleeg de documentatie van de RiskIQ PassiveTotal Logic Apps-connector.

VirusTotal

• Schakel playbooks voor incidentverrijking voor VirusTotal in en vind ze in de Microsoft Sentinel GitHub-opslagplaats. Zoek naar submappen die beginnen met Get-VTURL.
• Raadpleeg de documentatie van de VirusTotal Logic Apps-connector.

Gerelateerde inhoud

In dit artikel hebt u geleerd hoe u uw bedreigingsinformatieprovider verbindt met Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Meer informatie over hoe u inzicht krijgt in uw gegevens en potentiële bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.