Integração de informações sobre ameaças no Microsoft Sentinel

Microsoft Sentinel fornece-lhe algumas formas de utilizar feeds de informações sobre ameaças para melhorar a capacidade dos seus analistas de segurança de detetar e priorizar ameaças conhecidas:

• Utilize um dos muitos produtos da plataforma integrada de informações sobre ameaças (TIP) disponíveis.
• Ligue-se a servidores TAXII para tirar partido de qualquer origem de informações sobre ameaças compatível com STIX.
• Ligue-se diretamente ao feed Informações sobre Ameaças do Microsoft Defender.
• Utilize quaisquer soluções personalizadas que possam comunicar diretamente com a API de Indicadores de Carregamento de Informações sobre Ameaças.
• Ligue-se a origens de informações sobre ameaças a partir de manuais de procedimentos para enriquecer incidentes com informações de informações sobre ameaças que podem ajudar a direcionar ações de investigação e resposta.

Sugestão

Se tiver várias áreas de trabalho no mesmo inquilino, como para Fornecedores de Serviços de Segurança Gerida (MSSPs), poderá ser mais rentável ligar indicadores de ameaças apenas à área de trabalho centralizada.

Quando tiver o mesmo conjunto de indicadores de ameaças importados para cada área de trabalho separada, pode executar consultas entre áreas de trabalho para agregar indicadores de ameaças nas áreas de trabalho. Correlacione-os na sua experiência de deteção, investigação e investigação de incidentes do MSSP.

Feeds de informações sobre ameaças TAXII

Para ligar a feeds de informações sobre ameaças TAXII, siga as instruções para ligar Microsoft Sentinel a feeds de informações sobre ameaças STIX/TAXII, juntamente com os dados fornecidos por cada fornecedor. Poderá ter de contactar o fornecedor diretamente para obter os dados necessários a utilizar com o conector.

Inteligência sobre ameaças cibernéticas de destaque

• Saiba mais sobre a integração do Accenture cyber threat intelligence (CTI) com Microsoft Sentinel.

Cybersixgill Darkfeed

• Saiba mais sobre a integração da Cybersixgill com Microsoft Sentinel.
• Ligue Microsoft Sentinel ao servidor Cybersixgill TAXII e obtenha acesso ao Darkfeed. Contacto azuresentinel@cybersixgill.com para obter a raiz da API, o ID da coleção, o nome de utilizador e a palavra-passe.

Troca de informações sobre ameaças de cyware (CTIX)

Um dos componentes da SUGESTÃO da Cyware, CTIX, é tornar a intel acionável com um feed TAXII para as suas informações de segurança e gestão de eventos. Para Microsoft Sentinel, siga as instruções aqui:

• Saiba como integrar com Microsoft Sentinel

ESET

• Saiba mais sobre a oferta de informações sobre ameaças da ESET.
• Ligue Microsoft Sentinel ao servidor ESET TAXII. Obtenha o URL de raiz da API, o ID da coleção, o nome de utilizador e a palavra-passe da sua conta ESET. Em seguida, siga as instruções gerais e o artigo base de dados de conhecimento da ESET.

Centro de Partilha e Análise de Informações dos Serviços Financeiros (FS-ISAC)

• Adira a FS-ISAC para obter as credenciais para aceder a este feed.

Comunidade de partilha de informações de saúde (H-ISAC)

• Adira ao H-ISAC para obter as credenciais para aceder a este feed.

IBM X-Force

• Saiba mais sobre a integração do IBM X-Force.

IntSights

• Saiba mais sobre a integração do IntSights com Microsoft Sentinel.
• Ligue Microsoft Sentinel ao servidor TAXII do IntSights. Obtenha a raiz da API, o ID da coleção, o nome de utilizador e a palavra-passe no portal do IntSights depois de configurar uma política dos dados que pretende enviar para Microsoft Sentinel.

Kaspersky

• Saiba mais sobre a integração da Kaspersky com Microsoft Sentinel.

Pulsedive

• Saiba mais sobre a integração do Pulsedive com Microsoft Sentinel.

ReversingLabs

• Saiba mais sobre a integração taxii do ReversingLabs com Microsoft Sentinel.

Sectrio

• Saiba mais sobre a integração do Sectrio.
• Saiba mais sobre o processo passo a passo para integrar o feed de informações sobre ameaças do Sectrio no Microsoft Sentinel.

SEKOIA. E/S

• Saiba mais sobre a SEKOIA. Integração de E/S com Microsoft Sentinel.

ThreatConnect

• Saiba mais sobre STIX e TAXII em ThreatConnect.
• Veja a documentação dos serviços TAXII em ThreatConnect.

Produtos integrados da plataforma de informações sobre ameaças

Para ligar a feeds TIP, veja Ligar plataformas de informações sobre ameaças a Microsoft Sentinel. Veja as seguintes soluções para saber que outras informações são necessárias.

Proteção contra Marcas e Defesa de Phishing do Agari

• Para ligar a Defesa de Phishing do Agari e a Proteção de Marcas, utilize o conector de dados do Agari incorporado no Microsoft Sentinel.

Anomali ThreatStream

• Para transferir o ThreatStream Integrator e as Extensões e as instruções para ligar as informações do ThreatStream à API de Segurança do Microsoft Graph, veja a página transferências do ThreatStream.

AlienVault Open Threat Exchange (OTX) da AT&T Cybersecurity

• Saiba como o AlienVault OTX utiliza o Azure Logic Apps (manuais de procedimentos) para ligar a Microsoft Sentinel. Veja as instruções especializadas necessárias para tirar o máximo partido da oferta completa.

Plataforma EcléticaIQ

• A Plataforma EcléticaIQ integra-se com Microsoft Sentinel para melhorar a deteção de ameaças, a investigação e a resposta. Saiba mais sobre os benefícios e casos de utilização desta integração bidirecional.

Filigran OpenCTI

• O Filigran OpenCTI pode enviar informações sobre ameaças para Microsoft Sentinel através de um conector dedicado que é executado em tempo real ou agindo como um servidor TAXII 2.1 que Sentinel irá consultar regularmente. Também pode receber incidentes estruturados de Sentinel através do conector Microsoft Sentinel Incidente.

GroupIB Threat Intelligence and Attribution

• Para ligar o GroupIB Threat Intelligence e a Atribuição a Microsoft Sentinel, o GroupIB utiliza o Logic Apps. Veja as instruções especializadas necessárias para tirar o máximo partido da oferta completa.

Plataforma de informações sobre ameaças de código aberto MISP

• Envie indicadores de ameaças do MISP para o Microsoft Sentinel com a API Indicadores de Carregamento de Informações sobre Ameaças com MISP2Sentinel.
• Veja MISP2Sentinel no Azure Marketplace.
• Saiba mais sobre o Projeto MISP.

Palo Alto Networks MineMeld

• Para configurar Palo Alto MineMeld com as informações de ligação ao Microsoft Sentinel, consulte Enviar IOCs para o Microsoft Graph API de Segurança com o MineMeld. Aceda ao cabeçalho "MineMeld Configuration".

Plataforma de informações de segurança Recorded Future

• Saiba como o Recorded Future utiliza o Logic Apps (manuais de procedimentos) para ligar a Microsoft Sentinel. Veja as instruções especializadas necessárias para tirar o máximo partido da oferta completa.

Plataforma ThreatConnect

• Veja o Guia de Configuração da Integração de Indicadores de Ameaças de Segurança do Microsoft Graph para obter instruções para ligar o ThreatConnect ao Microsoft Sentinel.

Plataforma de informações sobre ameaças ThreatQuotient

• Veja Microsoft Sentinel Connector for ThreatQ integration (Conector do Microsoft Sentinel para a integração do ThreatQ) para obter informações de suporte e instruções para ligar o ThreatQuotient TIP ao Microsoft Sentinel.

Origens de melhoramento de incidentes

Além de serem utilizados para importar indicadores de ameaças, os feeds de informações sobre ameaças também podem servir como uma fonte para enriquecer as informações nos incidentes e fornecer mais contexto às suas investigações. Os seguintes feeds servem esta finalidade e fornecem manuais de procedimentos do Logic Apps para utilizar na resposta automática a incidentes. Localize estas origens de melhoramento no Hub de conteúdos.

Para obter mais informações sobre como localizar e gerir as soluções, consulte Detetar e implementar conteúdo desativado.

Informações do HYAS

• Localize e ative manuais de procedimentos de melhoramento de incidentes para o HYAS Insight no Microsoft Sentinel repositório do GitHub. Procure subpastas que comecem por Enrich-Sentinel-Incident-HYAS-Insight-.
• Veja a documentação do conector do Logic Apps do HYAS Insight.

Informações sobre Ameaças do Microsoft Defender

• Localize e ative manuais de procedimentos de melhoramento de incidentes para Informações sobre Ameaças do Microsoft Defender no Microsoft Sentinel repositório do GitHub.
• Consulte a mensagem de blogue da Comunidade Tecnológica do Defender Threat Intelligence para obter mais informações.

Plataforma de Inteligência de Segurança Futura Gravada

• Localize e ative manuais de procedimentos de melhoramento de incidentes para o Recorded Future no Microsoft Sentinel repositório do GitHub. Procure subpastas que comecem por RecordedFuture_.
• Veja a documentação do conector do Logic Apps Recorded Future.

ReversingLabs TitaniumCloud

• Localize e ative manuais de procedimentos de melhoramento de incidentes para ReversingLabs no Microsoft Sentinel repositório do GitHub.
• Veja a documentação do conector ReversingLabs TitaniumCloud Logic Apps.

RiskIQ PassiveTotal

• Localize e ative os manuais de procedimentos de melhoramento de incidentes para o Total Passivo do RiskIQ no repositório do Microsoft Sentinel GitHub.
• Veja mais informações sobre como trabalhar com manuais de procedimentos do RiskIQ.
• Veja a documentação do conector RiskIQ PassiveTotal Logic Apps.

VirusTotal

• Localize e ative manuais de procedimentos de melhoramento de incidentes para VirusTotal no Microsoft Sentinel repositório do GitHub. Procure subpastas que comecem por Get-VTURL.
• Veja a documentação do conector VirusTotal Logic Apps.

Conteúdos relacionados

Neste artigo, aprendeu a ligar o seu fornecedor de informações sobre ameaças a Microsoft Sentinel. Para saber mais sobre Microsoft Sentinel, consulte os seguintes artigos:

• Saiba como obter visibilidade sobre os seus dados e potenciais ameaças.
• Comece a detetar ameaças com Microsoft Sentinel.