Integracja analizy zagrożeń w usłudze Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Usługa Microsoft Sentinel udostępnia kilka sposobów używania źródeł danych analizy zagrożeń w celu zwiększenia zdolności analityków zabezpieczeń do wykrywania i określania priorytetów znanych zagrożeń:

• Użyj jednego z wielu dostępnych produktów zintegrowanej platformy analizy zagrożeń (TIP).
• Połącz się z serwerami TAXII, aby skorzystać z dowolnego źródła analizy zagrożeń zgodnej ze standardem STIX.
• Połącz się bezpośrednio z kanałem informacyjnym analizy zagrożeń w usłudze Microsoft Defender.
• Korzystaj z dowolnych rozwiązań niestandardowych, które mogą komunikować się bezpośrednio z interfejsem API wskaźników przekazywania analizy zagrożeń.
• Połącz się ze źródłami analizy zagrożeń z podręczników, aby wzbogacić zdarzenia o informacje analizy zagrożeń, które mogą pomóc w bezpośrednim dochodzeniu i akcjach reagowania.

Napiwek

Jeśli masz wiele obszarów roboczych w tej samej dzierżawie, takich jak dostawcy usług zabezpieczeń zarządzanych (MSSPs), bardziej opłacalne może być łączenie wskaźników zagrożeń tylko ze scentralizowanym obszarem roboczym.

Jeśli masz ten sam zestaw wskaźników zagrożeń zaimportowanych do każdego oddzielnego obszaru roboczego, możesz uruchamiać zapytania między obszarami roboczymi w celu agregowania wskaźników zagrożeń w obszarach roboczych. Skoreluj je w środowisku wykrywania, badania i wyszukiwania zagrożeń w programie MSSP.

Źródła danych analizy zagrożeń TAXII

Aby nawiązać połączenie z kanałami informacyjnymi analizy zagrożeń TAXII, postępuj zgodnie z instrukcjami, aby połączyć usługę Microsoft Sentinel z źródłami danych analizy zagrożeń STIX/TAXII wraz z danymi dostarczonymi przez każdego dostawcę. Może być konieczne skontaktowanie się z dostawcą bezpośrednio w celu uzyskania niezbędnych danych do użycia z łącznikiem.

Accenture cyber threat intelligence

• Dowiedz się więcej o integracji analizy zagrożeń cybernetycznych (CTI) accenture z usługą Microsoft Sentinel.

Cybersixgill Darkfeed

• Dowiedz się więcej o integracji cybersixgill z usługą Microsoft Sentinel.
• Połącz usługę Microsoft Sentinel z serwerem Cybersixgill TAXII i uzyskaj dostęp do aplikacji Darkfeed. Kontakt azuresentinel@cybersixgill.com w celu uzyskania katalogu głównego interfejsu API, identyfikatora kolekcji, nazwy użytkownika i hasła.

Wymiana analizy zagrożeń oprogramowania Cyware (CTIX)

Jednym ze składników TIP firmy Cyware, CTIX, jest zapewnienie możliwości działania intel za pomocą kanału informacyjnego TAXII na potrzeby zarządzania informacjami i zdarzeniami zabezpieczeń. W przypadku usługi Microsoft Sentinel postępuj zgodnie z instrukcjami podanymi tutaj:

• Dowiedz się, jak zintegrować z usługą Microsoft Sentinel

PROGRAM ANTYWIRUSOWY

• Dowiedz się więcej o ofercie analizy zagrożeń firmy ESET.
• Połącz usługę Microsoft Sentinel z serwerem TAXII FIRMY ESET. Uzyskaj główny adres URL interfejsu API, identyfikator kolekcji, nazwę użytkownika i hasło z konta PROGRAMU ESET. Następnie postępuj zgodnie z ogólnymi instrukcjami i artykułem baza wiedzy FIRMY ESET.

Udostępnianie informacji o usługach finansowych i Centrum analiz (FS-ISAC)

• Dołącz do fs-ISAC , aby uzyskać poświadczenia dostępu do tego źródła danych.

Społeczność udostępniania analizy kondycji (H-ISAC)

• Dołącz do funkcji H-ISAC , aby uzyskać poświadczenia w celu uzyskania dostępu do tego źródła danych.

IBM X-Force

• Dowiedz się więcej o integracji rozwiązania IBM X-Force.

IntSights

• Dowiedz się więcej o pliku IntSights integration with Microsoft Sentinel @IntSights.
• Połącz usługę Microsoft Sentinel z serwerem IntSights TAXII. Uzyskaj katalog główny interfejsu API, identyfikator kolekcji, nazwę użytkownika i hasło z portalu Usługi IntSights po skonfigurowaniu zasad danych, które mają zostać wysłane do usługi Microsoft Sentinel.

Kaspersky

• Dowiedz się więcej o integracji firmy Kaspersky z usługą Microsoft Sentinel.

Pulsujące

• Dowiedz się więcej na temat integracji pulsu z usługą Microsoft Sentinel.

ReversingLabs

• Dowiedz się więcej o integracji reversingLabs TAXII z usługą Microsoft Sentinel.

Sectrio

• Dowiedz się więcej o integracji z platformą Sectrio.
• Dowiedz się więcej o procesie krok po kroku dotyczącym integracji źródła danych analizy zagrożeń firmy Sectrio z usługą Microsoft Sentinel.

SEKOIA. IO

• Dowiedz się więcej o SEKOIA. Integracja operacji we/wy z usługą Microsoft Sentinel.

ThreatConnect

• Dowiedz się więcej o plikach STIX i TAXII na stronie ThreatConnect.
• Zapoznaj się z dokumentacją usług TAXII w witrynie ThreatConnect.

Zintegrowane produkty platformy analizy zagrożeń

Aby nawiązać połączenie z kanałami informacyjnymi TIP, zobacz Łączenie platform analizy zagrożeń z usługą Microsoft Sentinel. Zapoznaj się z poniższymi rozwiązaniami, aby dowiedzieć się, jakie inne informacje są potrzebne.

Agari Phishing Defense and Brand Protection

• Aby połączyć usługę Agari Phishing Defense i Brand Protection, użyj wbudowanego łącznika danych Agari w usłudze Microsoft Sentinel.

Anomali ThreatStream

• Aby pobrać integratora i rozszerzenia usługi ThreatStream oraz instrukcje dotyczące łączenia analizy ThreatStream z usługą Microsoft Graph interfejs API Zabezpieczenia, zobacz stronę pobierania ThreatStream.

AlienVault Open Threat Exchange (OTX) from AT&T Cybersecurity

• Dowiedz się, jak alienVault OTX korzysta z usługi Azure Logic Apps (podręczników) w celu nawiązania połączenia z usługą Microsoft Sentinel. Zapoznaj się z wyspecjalizowanymi instrukcjami niezbędnymi do pełnego skorzystania z kompletnej oferty.

EclecticIQ Platform

• Platforma EclecticIQ integruje się z usługą Microsoft Sentinel w celu ulepszenia wykrywania zagrożeń, wyszukiwania zagrożeń i reagowania. Dowiedz się więcej o korzyściach i przypadkach użycia tej dwukierunkowej integracji.

GroupIB Threat Intelligence and Attribution

• Aby połączyć analizę zagrożeń GroupIB i uznanie autorstwa z usługą Microsoft Sentinel, usługa GroupIB korzysta z usługi Logic Apps. Zapoznaj się z wyspecjalizowanymi instrukcjami , które są niezbędne, aby w pełni wykorzystać pełną ofertę.

MISP open source threat intelligence platform

• Wypychanie wskaźników zagrożeń z programu MISP do usługi Microsoft Sentinel przy użyciu interfejsu API wskaźników przekazywania analizy zagrożeń z błędami MISP2Sentinel.
• Zobacz MISP2Sentinel w witrynie Azure Marketplace.
• Dowiedz się więcej o projekcie MISP.

Palo Alto Networks MineMeld

• Aby skonfigurować aplikację Palo Alto MineMeld przy użyciu informacji o połączeniu z usługą Microsoft Sentinel, zobacz Wysyłanie IOC do usługi Microsoft Graph interfejs API Zabezpieczenia przy użyciu aplikacji MineMeld. Przejdź do nagłówka "Konfiguracja MineMeld".

Zarejestrowano przyszłą platformę analizy zabezpieczeń

• Dowiedz się, jak usługa Recorded Future korzysta z usługi Logic Apps (podręczników) w celu nawiązania połączenia z usługą Microsoft Sentinel. Zapoznaj się z wyspecjalizowanymi instrukcjami niezbędnymi do pełnego skorzystania z kompletnej oferty.

ThreatConnect Platform

• Aby uzyskać instrukcje dotyczące łączenia programu ThreatConnect z usługą Microsoft Sentinel, zobacz Przewodnik konfiguracji integracji wskaźników zagrożeń zabezpieczeń programu Microsoft Graph.

Platforma analizy zagrożeń threatQuotient

• Aby uzyskać informacje o pomocy technicznej i instrukcje dotyczące łączenia rozwiązania ThreatQuotient TIP z usługą Microsoft Sentinel, zobacz Łącznik usługi Microsoft Sentinel dla integracji usługi Threat Sentinel.

Źródła wzbogacania zdarzeń

Oprócz importowania wskaźników zagrożeń źródła danych analizy zagrożeń mogą również służyć jako źródło wzbogacania informacji w zdarzeniach i zapewniania większego kontekstu badaniom. Poniższe kanały informacyjne służą temu celowi i udostępniają podręczniki usługi Logic Apps do użycia w automatycznym reagowaniu na zdarzenia. Znajdź te źródła wzbogacania w centrum zawartości.

Aby uzyskać więcej informacji na temat znajdowania rozwiązań i zarządzania nimi, zobacz Odnajdywanie i wdrażanie gotowej zawartości.

HYAS Insight

• Znajdź i włącz podręczniki wzbogacania zdarzeń dla usługi HYAS Insight w repozytorium GitHub usługi Microsoft Sentinel. Wyszukaj podfoldery rozpoczynające się od Enrich-Sentinel-Incident-HYAS-Insight-.
• Zapoznaj się z dokumentacją łącznika usługi Logic Apps usługi HYAS Insight.

Microsoft Defender dla analizy zagrożeń

• Znajdź i włącz podręczniki wzbogacania zdarzeń dla usługi Microsoft Defender Threat Intelligence w repozytorium GitHub usługi Microsoft Sentinel.
• Aby uzyskać więcej informacji, zobacz wpis w blogu Defender Threat Intelligence Tech Community.

Zarejestrowano przyszłą platformę analizy zabezpieczeń

• Znajdź i włącz podręczniki wzbogacania zdarzeń dla zarejestrowanej przyszłości w repozytorium GitHub usługi Microsoft Sentinel. Wyszukaj podfoldery rozpoczynające się od RecordedFuture_.
• Zapoznaj się z dokumentacją łącznika Recorded Future Logic Apps.

ReversingLabs TitaniumCloud

• Znajdź i włącz podręczniki wzbogacania zdarzeń dla elementu ReversingLabs w repozytorium GitHub usługi Microsoft Sentinel.
• Zapoznaj się z dokumentacją łącznika ReversingLabs TitanCloud Logic Apps.

RiskIQ PassiveTotal

• Znajdź i włącz podręczniki wzbogacania zdarzeń dla sumy pasywnej RiskIQ w repozytorium GitHub usługi Microsoft Sentinel.
• Zobacz więcej informacji na temat pracy z podręcznikami RiskIQ.
• Zapoznaj się z dokumentacją łącznika RiskIQ PassiveTotal Logic Apps.

WirusTotal

• Znajdź i włącz podręczniki wzbogacania zdarzeń dla biblioteki VirusTotal w repozytorium GitHub usługi Microsoft Sentinel. Wyszukaj podfoldery rozpoczynające się od Get-VTURL.
• Zapoznaj się z dokumentacją łącznika VirusTotal Logic Apps.

Powiązana zawartość

W tym artykule przedstawiono sposób łączenia dostawcy analizy zagrożeń z usługą Microsoft Sentinel. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
• Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.