Integratie van bedreigingsinformatie in Microsoft Sentinel
Microsoft Sentinel biedt u een aantal verschillende manieren om feeds voor bedreigingsinformatie te gebruiken om de mogelijkheid van uw beveiligingsanalisten om bekende bedreigingen te detecteren en te prioriteren.
- Gebruik een van de vele beschikbare producten van het Integrated Threat Intelligence Platform (TIP).
- Verbinding maken naar TAXII-servers om te profiteren van een met STIX compatibele bedreigingsinformatiebron.
- Verbinding maken rechtstreeks naar de Microsoft Defender-bedreigingsinformatie feed.
- Maak gebruik van aangepaste oplossingen die rechtstreeks kunnen communiceren met de API Voor het uploaden van bedreigingsinformatie.
- U kunt ook verbinding maken met bronnen voor bedreigingsinformatie uit playbooks om incidenten te verrijken met TI-informatie die kan helpen bij het direct onderzoeken en reageren van acties.
Tip
Als u meerdere werkruimten in dezelfde tenant hebt, zoals voor Managed Security Service Providers (MSSP's), is het mogelijk rendabeler om bedreigingsindicatoren alleen te verbinden met de gecentraliseerde werkruimte.
Wanneer u dezelfde set bedreigingsindicatoren hebt geïmporteerd in elke afzonderlijke werkruimte, kunt u query's voor meerdere werkruimten uitvoeren om bedreigingsindicatoren in uw werkruimten samen te voegen. Correleren binnen uw MSSP-incidentdetectie, onderzoek en opsporingservaring.
TAXII-feeds voor bedreigingsinformatie
Volg de instructies om Microsoft Sentinel te verbinden met STIX-/TAXII-bedreigingsinformatiefeeds, samen met de gegevens die door elke leverancier worden verstrekt om verbinding te maken met TAXII-feeds voor bedreigingsinformatie. Mogelijk moet u rechtstreeks contact opnemen met de leverancier om de benodigde gegevens voor gebruik met de connector te verkrijgen.
Accenture Cyber Threat Intelligence
Cybersixgill Darkfeed
- Meer informatie over Cybersixgill-integratie met Microsoft Sentinel.
- Als u Microsoft Sentinel wilt verbinden met Cybersixgill TAXII Server en toegang wilt krijgen tot Darkfeed, neemt u contact op azuresentinel@cybersixgill.com met de API-hoofdmap, verzamelings-id, gebruikersnaam en wachtwoord.
Cyware Threat Intelligence eXchange (CTIX)
Een onderdeel van het bedreigingsinformatieplatform van Cyware, CTIX, is het uitvoeren van informatie met een TAXII-feed voor uw SIEM. In het geval van Microsoft Sentinel volgt u de instructies hier:
ESET
- Meer informatie over de bedreigingsinformatie van ESET.
- Als u Microsoft Sentinel wilt verbinden met de ESET TAXII-server, verkrijgt u de API-hoofd-URL, verzamelings-id, gebruikersnaam en wachtwoord van uw ESET-account. Volg vervolgens de algemene instructies en het knowledge base-artikel van ESET.
Financial Services Information Sharing and Analysis Center (FS-ISAC)
- Meld u aan bij FS-ISAC om de referenties op te halen voor toegang tot deze feed.
Health Intelligence Sharing Community (H-ISAC)
- Neem deel aan de H-ISAC om de referenties op te halen voor toegang tot deze feed.
IBM X-Force
IntSights
- Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
- Als u Microsoft Sentinel wilt verbinden met de IntSights TAXII-server, verkrijgt u de API-hoofdmap, verzamelings-id, gebruikersnaam en wachtwoord van de IntSights-portal nadat u een beleid hebt geconfigureerd van de gegevens die u naar Microsoft Sentinel wilt verzenden.
Kaspersky
Pulsedive
ReversingLabs
Sectrio
- Meer informatie over Sectrio-integratie.
- Stapsgewijs proces voor het integreren van de TI-feed van Sectrio in Microsoft Sentinel.
SEKOIA. IO
ThreatConnect
- Meer informatie over STIX en TAXII op Threat Verbinding maken.
- Raadpleeg de documentatie van TAXII Services bij Threat Verbinding maken
Geïntegreerde threat intelligence-platformproducten
Zie Bedreigingsinformatieplatforms verbinden met Microsoft Sentinel om verbinding te maken met TIP-feeds (Threat Intelligence Platform). Zie de volgende oplossingen voor meer informatie over wat er nodig is.
Agari Phishing Defense and Brand Protection
- Als u Agari Phishing Defense en Brand Protection wilt verbinden, gebruikt u de ingebouwde Agari-gegevensconnector in Microsoft Sentinel.
Anomali ThreatStream
- Als u ThreatStream Integrator en Extensions wilt downloaden, en de instructies voor het verbinden van ThreatStream intelligence met de Microsoft Graph beveiligings-API, raadpleegt u de pagina ThreatStream-downloads.
AlienVault Open Threat Exchange (OTX) van AT&T Cybersecurity
- AlienVault OTX maakt gebruik van Azure Logic Apps (playbooks) om verbinding te maken met Microsoft Sentinel. Zie de gespecialiseerde instructies die nodig zijn om optimaal te profiteren van het volledige aanbod.
EclecticIQ-platform
- EclecticIQ Platform kan worden geïntegreerd met Microsoft Sentinel om detectie, opsporing en reactie van bedreigingen te verbeteren. Meer informatie over de voordelen en gebruiksvoorbeelden van deze integratie in twee richtingen.
Bedreigingsinformatie en -toeschrijving van GroupIB
- GroupIB Maakt gebruik van Azure Logic Apps om Bedreigingsinformatie en -toeschrijving te verbinden met Microsoft Sentinel. Zie de gespecialiseerde instructies die nodig zijn om optimaal te profiteren van het volledige aanbod.
MISP Open Source Threat Intelligence Platform
- Push bedreigingsindicatoren van MISP naar Microsoft Sentinel met behulp van de API voor TI-uploadindicatoren met MISP2Sentinel.
- Hier volgt de Koppeling naar Azure Marketplace voor MISP2Sentinel.
- Meer informatie over het MISP-project.
Palo Alto Networks MineMeld
- Als u Palo Alto MineMeld wilt configureren met de verbindingsgegevens naar Microsoft Sentinel, raadpleegt u Het verzenden van IOC's naar de Microsoft Graph-beveiligings-API met Behulp van MineMeld en gaat u verder met de kop MineMeld-configuratie.
Opgenomen Future Security Intelligence Platform
- Recorded Future maakt gebruik van Azure Logic Apps (playbooks) om verbinding te maken met Microsoft Sentinel. Zie de gespecialiseerde instructies die nodig zijn om optimaal te profiteren van het volledige aanbod.
Bedreiging Verbinding maken Platform
- Zie de integratiehandleiding voor Microsoft Graph Security Threat Indicators voor instructies voor het verbinden van bedreigingen Verbinding maken met Microsoft Sentinel.
ThreatQuotient Threat Intelligence Platform
- Zie Microsoft Sentinel Verbinding maken or voor ThreatQ-integratie voor ondersteuningsinformatie en instructies om ThreatQuotient TIP te verbinden met Microsoft Sentinel.
Bronnen voor incidentverrijking
Naast het importeren van bedreigingsindicatoren, kunnen bedreigingsinformatiefeeds ook fungeren als bron om de informatie in uw incidenten te verrijken en meer context te bieden aan uw onderzoeken. De volgende feeds dienen dit doel en bieden logic app-playbooks voor gebruik in uw geautomatiseerde incidentrespons. Zoek deze verrijkingsbronnen in de Content Hub.
Zie Out-of-The-Box-inhoud ontdekken en implementeren voor meer informatie over het vinden en beheren van de oplossingen.
HYAS Insight
- Vind en schakel playbooks voor incidentverrijking in voor HYAS Insight in de GitHub-opslagplaats van Microsoft Sentinel. Zoek naar submappen die beginnen met
Enrich-Sentinel-Incident-HYAS-Insight-
. - Raadpleeg de documentatie van de HYAS Insight Logic App-connector.
Microsoft Defender Threat Intelligence
- Vind en schakel playbooks voor incidentverrijking in voor Microsoft Defender-bedreigingsinformatie in de GitHub-opslagplaats van Microsoft Sentinel.
- Zie de MDTI Tech Community-blogpost voor meer informatie.
Opgenomen Future Security Intelligence Platform
- Vind en schakel playbooks voor incidentverrijking in voor Recorded Future in de GitHub-opslagplaats van Microsoft Sentinel. Zoek naar submappen die beginnen met
RecordedFuture_
. - Raadpleeg de documentatie voor de Opgenomen toekomstige logic app-connector.
ReversingLabs TitaniumCloud
- Zoek en schakel playbooks voor incidentverrijking in voor ReversingLabs in de GitHub-opslagplaats van Microsoft Sentinel.
- Zie de documentatie voor de connector reversingLabs TitaniumCloud Logic App.
RiskIQ Passief Totaal
- Vind en schakel playbooks voor incidentverrijking in voor RiskIQ Passive Total in de GitHub-opslagplaats van Microsoft Sentinel.
- Zie meer informatie over het werken met RiskIQ-playbooks.
- Raadpleeg de documentatie van de RiskIQ PassiveTotal Logic App-connector.
Virus Total
- Vind en schakel playbooks voor incidentverrijking in voor Virus Total in de GitHub-opslagplaats van Microsoft Sentinel. Zoek naar submappen die beginnen met
Get-VTURL
. - Zie de documentatie van de Virus Total Logic App-connector.
Volgende stappen
In dit document hebt u geleerd hoe u uw bedreigingsinformatieprovider verbindt met Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel.
- Meer informatie over hoe u inzicht krijgt in uw gegevens en potentiële bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.