Integração da inteligência contra ameaças no Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

O Microsoft Sentinel permite usar os feeds de inteligência contra ameaças de algumas maneiras diferentes para aprimorar a capacidade dos analistas de segurança de detectar e priorizar ameaças conhecidas.

• Use um dos muitos produtos da plataforma de inteligência contra ameaças (TIP) integrados disponíveis.
• Conecte-se a servidores TAXII para aproveitar qualquer fonte de inteligência contra ameaças compatível com STIX.
• Conecte-se diretamente ao feed deInteligência contra ameaças do Microsoft Defender.
• Use todas as soluções personalizadas que possam se comunicar diretamente com a API de indicadores de upload de inteligência contra ameaças.
• Você também pode se conectar a fontes de inteligência contra ameaças de guias estratégicos para enriquecer incidentes com informações de TI que podem ajudar a direcionar investigações e ações de resposta.

Dica

Se você tiver vários workspaces no mesmo locatário, como no caso de MSSPs (Provedores de Serviço de Segurança Gerenciada), poderá ser mais econômico conectar indicadores de ameaça somente ao workspace centralizado.

Quando você tiver o mesmo conjunto de indicadores de ameaça importados para cada workspace separado, você poderá executar consultas entre workspaces para agregar indicadores de ameaça em seus workspaces. Correlacione-os em sua experiência de detecção, investigação e busca de incidentes do MSSP.

Feeds de inteligência contra ameaças TAXII

Para se conectar aos feeds de inteligência contra ameaças TAXII, siga as instruções para conectar o Microsoft Sentinel aos feeds de inteligência contra ameaças STIX/TAXII, juntamente com os dados fornecidos por cada fornecedor. Pode ser necessário entrar em contato diretamente com o fornecedor para obter os dados necessários para usar com o conector.

Inteligência contra ameaças cibernéticas da Accenture

• Saiba mais sobre a integração da CTI (Inteligência contra ameaças cibernéticas da Accenture) ao Microsoft Sentinel.

Darkfeed do Cybersixgill

• Saiba mais sobre a integração do Cybersixgill com o Microsoft Sentinel .
• Para conectar o Microsoft Sentinel ao servidor TAXII do Cybersixgill e obter acesso ao Darkfeed, entre em contato com o azuresentinel@cybersixgill.com, para obter a raiz da API, a ID de coleção, o nome de usuário e a senha.

ESET

• Saiba mais sobre a oferta de inteligência contra ameaças da ESET.
• Para conectar o Microsoft Sentinel ao servidor do ESET TAXII, obtenha o URL raiz da API, a ID da coleção, o nome de usuário e a senha da sua conta ESET. Em seguida, siga as instruções gerais e o artigo da base de dados de conhecimento do ESET.

Centro de Análise e Troca de Informações sobre Serviços Financeiros (FS-ISAC)

• Junte-se ao FS-ISAC para obter as credenciais e acessar este feed.

Comunidade de Compartilhamento de Inteligência de Integridade (H-ISAC)

• Junte-se ao H-ISAC para obter as credenciais e acessar este feed.

IBM X-Force

• Saiba mais sobre a integração do IBM X-Force.

IntSights

• Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
• Para conectar o Microsoft Sentinel ao servidor TAXII do IntSights, obtenha a raiz da API, a ID da coleção, o nome de usuário e a senha do portal do IntSights depois de configurar uma política dos dados que serão enviados ao Microsoft Sentinel.

Kaspersky

• Saiba mais sobre a integração do Kaspersky com o Microsoft Sentinel.

Pulsedive

• Saiba mais sobre a integração do Pulsedive com o Microsoft Sentinel.

ReversingLabs

• Saiba mais sobre a integração do ReversingLabs TAXII com o Microsoft Sentinel.

Sectrio

• Saiba mais sobre a integração do Sectrio.
• Processo passo a passo para integrar o feed de TI do Sectrio ao Microsoft Sentinel.

SEKOIA.IO

• Saiba mais sobre a integração do SEKOIA.IO com o Microsoft Sentinel.

ThreatConnect

• Saiba mais sobre o STIX e o TAXII no ThreatConnect.
• Consulte a documentação dos serviços do TAXII no ThreatConnect

Produtos integrados da plataforma de inteligência contra ameaças

Para se conectar aos feeds da TIP (plataforma de inteligência contra ameaças), consulte conectar os feeds da plataforma de inteligência contra ameaças ao Microsoft Sentinel. Consulte as soluções a seguir para saber quais informações adicionais são necessárias.

Agari Phishing Defense e Brand Protection

• Para conectar o Agari Phishing Defense e Brand Protection, use o conector de dados Agari integrado no Microsoft Sentinel.

Anomali ThreatStream

• Se você quiser baixar o ThreatStream Integrator e as extensões e ver as instruções para conectar a inteligência do ThreatStream à API de Segurança do Microsoft Graph, consulte a página de Downloads do ThreatStream.

AlienVault Open Threat Exchange (OTX) da AT&T Cybersecurity

• O AlienVault OTX usa Aplicativos Lógicos do Azure (guias estratégicos) para se conectar ao Microsoft Sentinel. Confira as instruções especializadas que devem ser seguidas para aproveitar ao máximo toda a oferta.

Plataforma EclecticIQ

• A Plataforma EclecticIQ integra-se ao Microsoft Sentinel para aprimorar a detecção, a busca e a resposta de ameaças. Saiba mais sobre os benefícios e casos de uso dessa integração de duas vias.

Atribuição e inteligência contra ameaças do GroupIB

• Para conectar a Atribuição e inteligência contra ameaças do GroupIB ao Microsoft Sentinel, o GroupIB usa os Aplicativos Lógicos do Azure. Confira as instruções especializadas que devem ser seguidas para aproveitar ao máximo toda a oferta.

Plataforma de inteligência contra ameaças de software livre MISP

• Envie indicadores de ameaça por push do MISP para o Microsoft Sentinel usando a API de indicadores de upload de TI com MISP2Sentinel.
• Aqui está o link do Azure Marketplace para MISP2Sentinel.
• Saiba mais sobre o Projeto MISP.

Palo Alto Networks MineMeld

• Para configurar o Palo Alto MineMeld com as informações de conexão no Microsoft Sentinel, consulte Enviando IOCs para a API de Segurança do Microsoft Graph com o MineMeld e vá para o cabeçalho Configuração do MineMeld.

Plataforma Recorded Future Security Intelligence

• O Recorded Future usa os Aplicativos Lógicos do Azure (guias estratégicos) para se conectar ao Microsoft Sentinel. Confira as instruções especializadas que devem ser seguidas para aproveitar ao máximo toda a oferta.

Plataforma ThreatConnect

• Consulte o Guia de configuração de integração de indicadores de ameaças de segurança do Microsoft Graph para obter instruções sobre como conectar o ThreatConnect ao Microsoft Sentinel.

Plataforma de inteligência contra ameaças ThreatQuotient

• Consulte Conector do Microsoft Sentinel para a integração do ThreatQ para obter informações de suporte e instruções para conectar a TIP ThreatQuotient ao Microsoft Sentinel.

Fontes de enriquecimento de incidentes

Além de seu uso para importar indicadores de ameaça, os feeds de inteligência contra ameaças também podem atuar como uma fonte para enriquecer as informações em incidentes e fornecer mais contexto às investigações. Os feeds a seguir atendem a essa finalidade e fornecem guias estratégicos de aplicativo lógico para uso em sua resposta automatizada a incidentes. Localize essas fontes de enriquecimento no Hub de conteúdo.

Para obter mais informações sobre como gerenciar os componentes da solução, consulte Descobrir e implantar conteúdo pronto para uso.

HYAS Insight

• Encontre e habilite os guias estratégicos de enriquecimento de incidentes para o HYAS Insight no repositório GitHub do Microsoft Sentinel. Pesquise subpastas que comecem com Enrich-Sentinel-Incident-HYAS-Insight-.
• Consulte a documentação do conector do aplicativo lógico do HYAS Insight.

Informações sobre Ameaças do Microsoft Defender

• Encontre e habilite os guias estratégicos de enriquecimento de incidentes para a Inteligência contra ameaças do Microsoft Defender no repositório GitHub do Microsoft Sentinel.
• Consulte a postagem no blog do MDTI Tech Community para obter mais informações.

Plataforma Recorded Future Security Intelligence

• Encontre e habilite os guias estratégicos de enriquecimento de incidentes para o Recorded Future no repositório GitHub do Microsoft Sentinel. Pesquise subpastas que comecem com RecordedFuture_.
• Consulte a documentação do conector do aplicativo lógico do Recorded Future.

ReversingLabs TitaniumCloud

• Encontre e habilite os guias estratégicos de enriquecimento de incidentes para o ReversingLabs no repositório GitHub do Microsoft Sentinel.
• Consulte a documentação do conector de aplicativo lógico do ReversingLabs TitaniumCloud.

RiskIQ Passive Total

• Encontre e habilite os guias estratégicos de enriquecimento de incidentes para o RiskIQ Passive Total no repositório GitHub do Microsoft Sentinel.
• Veja mais informações sobre como trabalhar com os guias estratégicos do RiskIQ.
• Consulte a documentação do conector do aplicativo lógico do RiskIQ PassiveTotal.

Virus Total

• Encontre e habilite os guias estratégicos de enriquecimento de incidentes para o Virus Total no repositório GitHub do Microsoft Sentinel. Pesquise subpastas que comecem com Get-VTURL.
• Consulte a documentação do conector do aplicativo lógico do Virus Total.

Próximas etapas

Neste documento, você viu como conectar o provedor de inteligência contra ameaças ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir.

• Saiba como obter visibilidade dos seus dados e de possíveis ameaças.
• Introdução à detecção de ameaças com o Microsoft Sentinel.