Conectar o Microsoft Sentinel a feeds de inteligência de ameaças STIX/TAXII

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

O padrão da indústria mais amplamente adotado para a transmissão de informações sobre ameaças é uma combinação do formato de dados STIX e do protocolo TAXII. Se sua organização receber indicadores de ameaça de soluções que suportam a versão atual do STIX/TAXII (2.0 ou 2.1), você poderá usar o conector de dados Threat Intelligence - TAXII para trazer seus indicadores de ameaça para o Microsoft Sentinel. Este conector permite que um cliente TAXII integrado no Microsoft Sentinel importe informações sobre ameaças de servidores TAXII 2.x.

Caminho de importação TAXII

Para importar indicadores de ameaça formatados STIX para o Microsoft Sentinel de um servidor TAXII, você deve obter a raiz e a ID de coleta da API do servidor TAXII e, em seguida, habilitar o conector de dados Threat Intelligence - TAXII no Microsoft Sentinel.

Saiba mais sobre o Threat Intelligence no Microsoft Sentinel e, especificamente, sobre os feeds de inteligência de ameaças TAXII que podem ser integrados ao Microsoft Sentinel.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Importante

O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Consulte também: Conecte sua plataforma de inteligência contra ameaças (TIP) ao Microsoft Sentinel

Pré-requisitos

  • Para instalar, atualizar e excluir conteúdo ou soluções autônomas no hub de conteúdo, você precisa da função de Colaborador do Microsoft Sentinel no nível do grupo de recursos.
  • Você deve ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel para armazenar seus indicadores de ameaça.
  • Você deve ter um URI raiz da API TAXII 2.0 ou TAXII 2.1 e ID de coleção.

Obter a raiz da API do servidor TAXII e a ID da coleção

Os servidores TAXII 2.x anunciam API Roots, que são URLs que hospedam coleções de informações sobre ameaças. Normalmente, você pode encontrar a raiz da API e o ID da coleção nas páginas de documentação do provedor de inteligência de ameaças que hospeda o servidor TAXII.

Nota

Em alguns casos, o provedor anunciará apenas uma URL chamada Discovery Endpoint. Você pode usar o utilitário cURL para procurar o ponto de extremidade de descoberta e solicitar a raiz da API.

Instale a solução Threat Intelligence no Microsoft Sentinel

Para importar indicadores de ameaça para o Microsoft Sentinel a partir de um servidor TAXII, siga estes passos:

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione Hub de conteúdo.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Content management>Content hub.

  2. Encontre e selecione a solução Threat Intelligence .

  3. Selecione o botão Instalar/Atualizar .

Para obter mais informações sobre como gerenciar os componentes da solução, consulte Descobrir e implantar conteúdo pronto para uso.

Ativar a inteligência de ameaças - conector de dados TAXII

  1. Para configurar o conector de dados TAXII, selecione o menu Conectores de dados.

  2. Encontre e selecione o botão Threat Intelligence - TAXII data connector >Open connector page .

    Captura de tela exibindo a página de conectores de dados com o conector de dados TAXII listado.

  3. Insira um nome amigável para esta Coleção de servidores TAXII, a URL raiz da API, a ID da coleção, um Nome de usuário (se necessário) e uma Senha (se necessário) e escolha o grupo de indicadores e a frequência de sondagem desejada. Selecione o botão Adicionar.

    Configurar servidores TAXII

Você deve receber a confirmação de que uma conexão com o servidor TAXII foi estabelecida com sucesso, e você pode repetir a última etapa acima quantas vezes quiser, para se conectar a várias coleções de um ou mais servidores TAXII.

Dentro de alguns minutos, os indicadores de ameaça devem começar a fluir para este espaço de trabalho do Microsoft Sentinel. Você pode encontrar os novos indicadores na folha Inteligência de ameaças, acessível no menu de navegação do Microsoft Sentinel.

IP permitir listagem para o cliente Microsoft Sentinel TAXII

Alguns servidores TAXII, como FS-ISAC, têm um requisito para manter os endereços IP do cliente Microsoft Sentinel TAXII na lista de permissões. A maioria dos servidores TAXII não tem esse requisito.

Quando relevante, os seguintes endereços IP são aqueles a serem incluídos na sua lista de permissões:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Conteúdos relacionados

Neste documento, você aprendeu como conectar o Microsoft Sentinel a feeds de inteligência de ameaças usando o protocolo TAXII. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos.