Połączenie usługi Microsoft Sentinel do źródeł danych analizy zagrożeń STIX/TAXII

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Najpopularniejszym standardem branżowym transmisji analizy zagrożeń jest połączenie formatu danych STIX i protokołu TAXII. Jeśli Organizacja otrzymuje wskaźniki zagrożeń z rozwiązań obsługujących bieżącą wersję STIX/TAXII (2.0 lub 2.1), możesz użyć łącznika danych Analizy zagrożeń — TAXII, aby wprowadzić wskaźniki zagrożeń do usługi Microsoft Sentinel. Ten łącznik umożliwia wbudowanemu klientowi TAXII w usłudze Microsoft Sentinel importowanie analizy zagrożeń z serwerów TAXII 2.x.

Ścieżka importu TAXII

Aby zaimportować wskaźniki zagrożeń sformatowanych w formacie STIX do usługi Microsoft Sentinel z serwera TAXII, musisz uzyskać identyfikator główny i identyfikator kolekcji interfejsu API serwera TAXII, a następnie włączyć łącznik danych Analizy zagrożeń — TAXII w usłudze Microsoft Sentinel.

Dowiedz się więcej na temat analizy zagrożeń w usłudze Microsoft Sentinel, a w szczególności na temat kanałów informacyjnych analizy zagrożeń TAXII, które można zintegrować z usługą Microsoft Sentinel.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Zobacz również: Połączenie platformę analizy zagrożeń (TIP) do usługi Microsoft Sentinel

Wymagania wstępne

  • Aby zainstalować, zaktualizować i usunąć autonomiczną zawartość lub rozwiązania w centrum zawartości, potrzebna jest rola Współautor usługi Microsoft Sentinel na poziomie grupy zasobów.
  • Aby przechowywać wskaźniki zagrożeń, musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.
  • Musisz mieć identyfikator URI interfejsu API TAXII 2.0 lub TAXII 2.1 i identyfikator kolekcji.

Uzyskiwanie identyfikatora głównego i identyfikatora kolekcji interfejsu API serwera TAXII

Serwery TAXII 2.x anonsują katalogi API Roots, które są adresami URL hostujących kolekcje analizy zagrożeń. Zazwyczaj katalog główny interfejsu API i identyfikator kolekcji można znaleźć na stronach dokumentacji dostawcy analizy zagrożeń hostująca serwer TAXII.

Uwaga

W niektórych przypadkach dostawca będzie anonsować tylko adres URL nazywany punktem końcowym odnajdywania. Możesz użyć narzędzia cURL , aby przejrzeć punkt końcowy odnajdywania i zażądać katalogu głównego interfejsu API.

Instalowanie rozwiązania analizy zagrożeń w usłudze Microsoft Sentinel

Aby zaimportować wskaźniki zagrożeń do usługi Microsoft Sentinel z serwera TAXII, wykonaj następujące kroki:

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Centrum zawartości zarządzania zawartością>usługi Microsoft Sentinel.>

  2. Znajdź i wybierz rozwiązanie analizy zagrożeń.

  3. Wybierz przycisk Zainstaluj/Aktualizuj.

Aby uzyskać więcej informacji na temat zarządzania składnikami rozwiązania, zobacz Odnajdywanie i wdrażanie gotowej zawartości.

Włączanie łącznika danych Analizy zagrożeń — TAXII

  1. Aby skonfigurować łącznik danych TAXII, wybierz menu Łączniki danych.

  2. Znajdź i wybierz przycisk Łącznik danych> Analizy zagrożeń — TAXII Otwórz łącznik.

    Zrzut ekranu przedstawiający stronę łączników danych z wyświetlonym łącznikiem danych TAXII.

  3. Wprowadź przyjazną nazwę dla tej kolekcji serwera TAXII, głównego adresu URL interfejsu API, identyfikatora kolekcji, nazwy użytkownika (jeśli jest to wymagane) i hasła (jeśli jest to wymagane), a następnie wybierz grupę wskaźników i odpowiednią częstotliwość sondowania. Kliknij przycisk Dodaj.

    Konfigurowanie serwerów TAXII

Powinno zostać wyświetlone potwierdzenie pomyślnego nawiązania połączenia z serwerem TAXII. Możesz powtórzyć ostatni krok powyżej tyle razy, ile chcesz, aby połączyć się z wieloma kolekcjami z co najmniej jednego serwera TAXII.

W ciągu kilku minut wskaźniki zagrożeń powinny zacząć przepływać do tego obszaru roboczego usługi Microsoft Sentinel. Nowe wskaźniki można znaleźć w bloku Analiza zagrożeń dostępne w menu nawigacji usługi Microsoft Sentinel.

Lista dozwolonych adresów IP dla klienta TAXII usługi Microsoft Sentinel

Niektóre serwery TAXII, takie jak FS-ISAC, muszą zachować adresy IP klienta TAXII usługi Microsoft Sentinel na liście dozwolonych. Większość serwerów TAXII nie ma tego wymagania.

W razie potrzeby następujące adresy IP są takie, które należy uwzględnić na liście dozwolonych:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Powiązana zawartość

W tym dokumencie przedstawiono sposób łączenia usługi Microsoft Sentinel z kanałami informacyjnymi analizy zagrożeń przy użyciu protokołu TAXII. Aby dowiedzieć się więcej na temat usługi Microsoft Sentinel, zobacz następujące artykuły.