Integracja analizy zagrożeń w usłudze Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Usługa Microsoft Sentinel udostępnia kilka różnych sposobów używania źródeł danych analizy zagrożeń w celu zwiększenia zdolności analityków zabezpieczeń do wykrywania i określania priorytetów znanych zagrożeń.

• Użyj jednego z wielu dostępnych produktów zintegrowanej platformy analizy zagrożeń (TIP).
• Połączenie do serwerów TAXII, aby korzystać z dowolnego źródła analizy zagrożeń zgodnej z standardem STIX.
• Połączenie bezpośrednio do Kanał informacyjny analizy zagrożeń w usłudze Microsoft Defender.
• Korzystaj z dowolnych rozwiązań niestandardowych, które mogą komunikować się bezpośrednio z interfejsem API wskaźników przekazywania analizy zagrożeń.
• Możesz również połączyć się ze źródłami analizy zagrożeń z podręczników, aby wzbogacić zdarzenia o informacje ti, które mogą pomóc w bezpośrednim dochodzeniu i akcjach reagowania.

Napiwek

Jeśli masz wiele obszarów roboczych w tej samej dzierżawie, takich jak dostawcy usług zabezpieczeń zarządzanych (MSSPs), bardziej opłacalne może być łączenie wskaźników zagrożeń tylko ze scentralizowanym obszarem roboczym.

Jeśli masz ten sam zestaw wskaźników zagrożeń zaimportowanych do każdego oddzielnego obszaru roboczego, możesz uruchamiać zapytania między obszarami roboczymi w celu agregowania wskaźników zagrożeń w obszarach roboczych. Skoreluj je w środowisku wykrywania, badania i wyszukiwania zagrożeń w programie MSSP.

Źródła danych analizy zagrożeń TAXII

Aby nawiązać połączenie z kanałami informacyjnymi analizy zagrożeń TAXII, postępuj zgodnie z instrukcjami, aby połączyć usługę Microsoft Sentinel z źródłami danych analizy zagrożeń STIX/TAXII wraz z danymi dostarczonymi przez każdego dostawcę. Może być konieczne skontaktowanie się z dostawcą bezpośrednio w celu uzyskania niezbędnych danych do użycia z łącznikiem.

Accenture Cyber Threat Intelligence

• Dowiedz się więcej o integracji rozwiązania Accenture Cyber Threat Intelligence (CTI) z usługą Microsoft Sentinel.

Cybersixgill Darkfeed

• Dowiedz się więcej o integracji cybersixgill z usługą Microsoft Sentinel.
• Aby połączyć usługę Microsoft Sentinel z serwerem Cybersixgill TAXII i uzyskać dostęp do aplikacji Darkfeed, skontaktuj sięazuresentinel@cybersixgill.com, aby uzyskać katalog główny interfejsu API, identyfikator kolekcji, nazwę użytkownika i hasło.

ESET

• Dowiedz się więcej o ofercie analizy zagrożeń firmy ESET.
• Aby połączyć usługę Microsoft Sentinel z serwerem TAXII FIRMY ESET, uzyskaj główny adres URL interfejsu API, identyfikator kolekcji, nazwę użytkownika i hasło z konta PROGRAMU ESET. Następnie postępuj zgodnie z ogólnymi instrukcjami i artykułem baza wiedzy FIRMY ESET.

Udostępnianie informacji o usługach finansowych i Centrum analiz (FS-ISAC)

• Dołącz do fs-ISAC , aby uzyskać poświadczenia dostępu do tego źródła danych.

Społeczność udostępniania analizy kondycji (H-ISAC)

• Dołącz do funkcji H-ISAC , aby uzyskać poświadczenia w celu uzyskania dostępu do tego źródła danych.

IBM X-Force

• Dowiedz się więcej o integracji rozwiązania IBM X-Force.

IntSights

• Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
• Aby połączyć usługę Microsoft Sentinel z serwerem IntSights TAXII, uzyskaj katalog główny interfejsu API, identyfikator kolekcji, nazwę użytkownika i hasło z portalu IntSights po skonfigurowaniu zasad danych, które chcesz wysłać do usługi Microsoft Sentinel.

Kaspersky

• Dowiedz się więcej o integracji firmy Kaspersky z usługą Microsoft Sentinel.

Pulsujące

• Dowiedz się więcej na temat integracji pulsu z usługą Microsoft Sentinel.

ReversingLabs

• Dowiedz się więcej o integracji reversingLabs TAXII z usługą Microsoft Sentinel.

Sectrio

• Dowiedz się więcej o integracji z platformą Sectrio.
• Krok po kroku na potrzeby integracji kanału informacyjnego TI firmy Sectrio z usługą Microsoft Sentinel.

SEKOIA. IO

• Dowiedz się więcej o SEKOIA. Integracja operacji we/wy z usługą Microsoft Sentinel.

ThreatConnect

• Dowiedz się więcej o plikach STIX i TAXII na stronie Threat Połączenie.
• Zobacz dokumentację usług TAXII w witrynie Threat Połączenie

Zintegrowane produkty platformy analizy zagrożeń

Aby nawiązać połączenie z kanałami informacyjnymi platformy Analizy zagrożeń (TIP), zobacz Łączenie platform analizy zagrożeń z usługą Microsoft Sentinel. Zapoznaj się z poniższymi rozwiązaniami, aby dowiedzieć się, jakie dodatkowe informacje są potrzebne.

Agari Phishing Defense and Brand Protection

• Aby połączyć usługę Agari Phishing Defense i Brand Protection, użyj wbudowanego łącznika danych Agari w usłudze Microsoft Sentinel.

Anomali ThreatStream

• Aby pobrać integratora i rozszerzenia usługi ThreatStream oraz instrukcje dotyczące łączenia analizy ThreatStream z usługą Microsoft Graph interfejs API Zabezpieczenia, zobacz stronę pobierania ThreatStream.

AlienVault Open Threat Exchange (OTX) from AT&T Cybersecurity

• AlienVault OTX korzysta z usługi Azure Logic Apps (podręczników) w celu nawiązania połączenia z usługą Microsoft Sentinel. Zapoznaj się z wyspecjalizowanymi instrukcjami niezbędnymi do pełnego skorzystania z kompletnej oferty.

EclecticIQ Platform

• Platforma EclecticIQ integruje się z usługą Microsoft Sentinel w celu ulepszenia wykrywania zagrożeń, wyszukiwania zagrożeń i reagowania. Dowiedz się więcej o korzyściach i przypadkach użycia tej dwukierunkowej integracji.

GroupIB Threat Intelligence and Attribution

• Aby połączyć analizę zagrożeń GroupIB i uznanie autorstwa z usługą Microsoft Sentinel, usługa GroupIB korzysta z usługi Azure Logic Apps. Zapoznaj się z wyspecjalizowanymi instrukcjami niezbędnymi do pełnego skorzystania z kompletnej oferty.

MISP Open Source Threat Intelligence Platform

• Wypychanie wskaźników zagrożeń z programu MISP do usługi Microsoft Sentinel przy użyciu interfejsu API przekazywania wskaźników TI z błędem MISP2Sentinel.
• Oto link witryny Azure Marketplace dla aplikacji MISP2Sentinel.
• Dowiedz się więcej o projekcie MISP.

Palo Alto Networks MineMeld

• Aby skonfigurować aplikację Palo Alto MineMeld przy użyciu informacji o połączeniu z usługą Microsoft Sentinel, zobacz Wysyłanie IOC do usługi Microsoft Graph interfejs API Zabezpieczenia przy użyciu narzędzia MineMeld i przejdź do nagłówka MineMeld Configuration (Konfiguracja MineMeld).

Zarejestrowano przyszłą platformę analizy zabezpieczeń

• Zarejestrowana przyszłość korzysta z usługi Azure Logic Apps (podręczniki) w celu nawiązania połączenia z usługą Microsoft Sentinel. Zapoznaj się z wyspecjalizowanymi instrukcjami niezbędnymi do pełnego skorzystania z kompletnej oferty.

Threat Połączenie Platform

• Aby uzyskać instrukcje dotyczące nawiązywania połączenia z usługą Threat Połączenie z usługą Microsoft Sentinel, zobacz Przewodnik konfiguracji integracji wskaźników zagrożeń zabezpieczeń programu Microsoft Graph.

ThreatQuotient Threat Intelligence Platform

• Aby uzyskać informacje o pomocy technicznej i instrukcje dotyczące łączenia rozwiązania ThreatQuotient TIP z usługą Microsoft Sentinel, zobacz artykuł Microsoft Sentinel Połączenie or for ThreatQ integration (Integracja usługi Threat Sentinel z usługą ThreatQ).

Źródła wzbogacania zdarzeń

Oprócz importowania wskaźników zagrożeń źródła danych analizy zagrożeń mogą również służyć jako źródło wzbogacania informacji w zdarzeniach i zapewniania większego kontekstu badaniom. Poniższe kanały informacyjne służą temu celowi i udostępniają podręczniki aplikacji logiki do użycia w automatycznym reagowaniu na zdarzenia. Znajdź te źródła wzbogacania w centrum zawartości.

Aby uzyskać więcej informacji na temat znajdowania rozwiązań i zarządzania nimi, zobacz Odnajdywanie i wdrażanie gotowej zawartości.

HYAS Insight

• Znajdź i włącz podręczniki wzbogacania zdarzeń dla usługi HYAS Insight w repozytorium GitHub usługi Microsoft Sentinel. Wyszukaj podfoldery rozpoczynające się od Enrich-Sentinel-Incident-HYAS-Insight-.
• Zapoznaj się z dokumentacją łącznika aplikacji logiki usługi HYAS Insight.

Microsoft Defender dla analizy zagrożeń

• Znajdź i włącz podręczniki wzbogacania zdarzeń dla usługi Microsoft Defender Threat Intelligence w repozytorium GitHub usługi Microsoft Sentinel.
• Aby uzyskać więcej informacji, zobacz wpis w blogu MDTI Tech Community.

Zarejestrowano przyszłą platformę analizy zabezpieczeń

• Znajdź i włącz podręczniki wzbogacania zdarzeń dla zarejestrowanej przyszłości w repozytorium GitHub usługi Microsoft Sentinel. Wyszukaj podfoldery rozpoczynające się od RecordedFuture_.
• Zapoznaj się z dokumentacją dotyczącą zarejestrowanego łącznika aplikacji logiki w przyszłości.

ReversingLabs TitaniumCloud

• Znajdź i włącz podręczniki wzbogacania zdarzeń dla elementu ReversingLabs w repozytorium GitHub usługi Microsoft Sentinel.
• Zapoznaj się z dokumentacją łącznika aplikacji logiki ReversingLabs TitanCloud.

Suma pasywna RiskIQ

• Znajdź i włącz podręczniki wzbogacania zdarzeń dla sumy pasywnej RiskIQ w repozytorium GitHub usługi Microsoft Sentinel.
• Zobacz więcej informacji na temat pracy z podręcznikami RiskIQ.
• Zapoznaj się z dokumentacją łącznika aplikacji logiki RiskIQ PassiveTotal.

Virus Total

• Znajdź i włącz podręczniki wzbogacania zdarzeń dla sumy wirusów w repozytorium GitHub usługi Microsoft Sentinel. Wyszukaj podfoldery rozpoczynające się od Get-VTURL.
• Zapoznaj się z dokumentacją łącznika Aplikacji logiki Total Virus.

Następne kroki

W tym dokumencie przedstawiono sposób łączenia dostawcy analizy zagrożeń z usługą Microsoft Sentinel. Aby dowiedzieć się więcej na temat usługi Microsoft Sentinel, zobacz następujące artykuły.

• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
• Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.