Integração de informações sobre ameaças no Microsoft Sentinel
O Microsoft Sentinel oferece algumas maneiras diferentes de usar feeds de inteligência de ameaças para aprimorar a capacidade dos analistas de segurança de detetar e priorizar ameaças conhecidas.
- Use um dos muitos produtos disponíveis de plataforma integrada de inteligência contra ameaças (TIP).
- Conecte-se aos servidores TAXII para tirar proveito de qualquer fonte de inteligência de ameaças compatível com STIX.
- Conecte-se diretamente ao feed do Microsoft Defender Threat Intelligence .
- Faça uso de quaisquer soluções personalizadas que possam se comunicar diretamente com a API de Indicadores de Carregamento de Inteligência de Ameaças.
- Você também pode se conectar a fontes de inteligência de ameaças a partir de playbooks, a fim de enriquecer incidentes com informações de TI que podem ajudar a direcionar ações de investigação e resposta.
Gorjeta
Se você tiver vários espaços de trabalho no mesmo locatário, como para MSSPs (Provedores de Serviços de Segurança Gerenciados), pode ser mais econômico conectar indicadores de ameaça apenas ao espaço de trabalho centralizado.
Quando você tem o mesmo conjunto de indicadores de ameaça importados para cada espaço de trabalho separado, você pode executar consultas entre espaços de trabalho para agregar indicadores de ameaça em seus espaços de trabalho. Correlacione-os com sua experiência de deteção, investigação e caça de incidentes MSSP.
Feeds de informações sobre ameaças TAXII
Para se conectar aos feeds de inteligência de ameaças TAXII, siga as instruções para conectar o Microsoft Sentinel aos feeds de inteligência de ameaças STIX/TAXII, juntamente com os dados fornecidos por cada fornecedor. Talvez seja necessário entrar em contato diretamente com o fornecedor para obter os dados necessários para usar com o conector.
Inteligência de ameaças cibernéticas da Accenture
- Saiba mais sobre a integração do Accenture Cyber Threat Intelligence (CTI) com o Microsoft Sentinel.
Cybersixgill Darkfeed
- Saiba mais sobre a integração do Cybersixgill com o Microsoft Sentinel.
- Para conectar o Microsoft Sentinel ao Cybersixgill TAXII Server e obter acesso ao Darkfeed, entre em contato azuresentinel@cybersixgill.com para obter a raiz da API, ID de coleção, nome de usuário e senha.
Cyware Threat Intelligence eXchange (CTIX)
Um componente da plataforma de inteligência de ameaças da Cyware, CTIX, é acionar informações com um feed TAXII para o seu SIEM. No caso do Microsoft Sentinel, siga as instruções aqui:
ESET
- Saiba mais sobre a oferta de inteligência de ameaças da ESET.
- Para conectar o Microsoft Sentinel ao servidor ESET TAXII, obtenha a URL raiz da API, a ID da coleção, o nome de usuário e a senha da sua conta ESET. Em seguida, siga as instruções gerais e o artigo da base de conhecimento da ESET.
Centro de Análise e Compartilhamento de Informações de Serviços Financeiros (FS-ISAC)
- Junte-se ao FS-ISAC para obter as credenciais para acessar este feed.
Comunidade de partilha de informações em matéria de saúde (H-ISAC)
- Junte-se ao H-ISAC para obter as credenciais para aceder a este feed.
IBM X-Força
- Saiba mais sobre a integração do IBM X-Force.
IntSights
- Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
- Para conectar o Microsoft Sentinel ao Servidor TAXII do IntSights, obtenha a Raiz da API, a ID de Coleta, o Nome de Usuário e a Senha do portal IntSights depois de configurar uma política dos dados que deseja enviar ao Microsoft Sentinel.
Kaspersky
Pulsedivo
ReversingLabs
Sectrio
- Saiba mais sobre a integração Sectrio.
- Processo passo a passo para integrar o feed de TI da Sectrio no Microsoft Sentinel.
SEKOIA. IO
ThreatConnect
- Saiba mais sobre STIX e TAXII em ThreatConnect.
- Consulte a documentação dos Serviços TAXII em ThreatConnect
Produtos integrados de plataforma de inteligência contra ameaças
Para se conectar a feeds da Threat Intelligence Platform (TIP), consulte Conectar plataformas de Threat Intelligence ao Microsoft Sentinel. Consulte as soluções a seguir para saber quais informações adicionais são necessárias.
Agari Phishing Defense e Brand Protection
- Para conectar o Agari Phishing Defense e o Brand Protection, use o conector de dados Agari integrado no Microsoft Sentinel.
Anomali ThreatStream
- Para baixar o ThreatStream Integrator and Extensions, e as instruções para conectar a inteligência do ThreatStream à API de segurança do Microsoft Graph, consulte a página de downloads do ThreatStream.
AlienVault Open Threat Exchange (OTX) da AT&T Cybersecurity
- O AlienVault OTX usa os Aplicativos Lógicos do Azure (playbooks) para se conectar ao Microsoft Sentinel. Consulte as instruções especializadas necessárias para tirar o máximo partido da oferta completa.
Plataforma EclecticIQ
- A plataforma EclecticIQ integra-se com o Microsoft Sentinel para melhorar a deteção, caça e resposta a ameaças. Saiba mais sobre os benefícios e casos de uso dessa integração bidirecional.
GroupIB Inteligência e Atribuição de Ameaças
- Para conectar o GroupIB Threat Intelligence and Attribution ao Microsoft Sentinel, o GroupIB usa os Aplicativos Lógicos do Azure. Consulte as instruções especializadas necessárias para tirar o máximo partido da oferta completa.
Plataforma de Inteligência de Ameaças de Código Aberto MISP
- Envie indicadores de ameaça do MISP para o Microsoft Sentinel usando a API de indicadores de carregamento de TI com o MISP2Sentinel.
- Aqui está o link do Azure Marketplace para MISP2Sentinel.
- Saiba mais sobre o Projeto MISP.
Palo Alto Redes MineMeld
- Para configurar o Palo Alto MineMeld com as informações de conexão com o Microsoft Sentinel, consulte Enviando IOCs para a API de Segurança do Microsoft Graph usando o MineMeld e pule para o cabeçalho Configuração do MineMeld.
Plataforma de Inteligência de Segurança Gravada do Futuro
- O Recorded Future usa os Aplicativos Lógicos do Azure (playbooks) para se conectar ao Microsoft Sentinel. Consulte as instruções especializadas necessárias para tirar o máximo partido da oferta completa.
Plataforma ThreatConnect
- Consulte o Guia de Configuração de Integração de Indicadores de Ameaça de Segurança do Microsoft Graph para obter instruções sobre como conectar o ThreatConnect ao Microsoft Sentinel.
Plataforma de Inteligência de Ameaças ThreatQuotient
- Consulte Microsoft Sentinel Connector for ThreatQ integration para obter informações de suporte e instruções para conectar o ThreatQuotient TIP ao Microsoft Sentinel.
Fontes de enriquecimento de incidentes
Além de serem usados para importar indicadores de ameaças, os feeds de inteligência de ameaças também podem servir como uma fonte para enriquecer as informações em seus incidentes e fornecer mais contexto para suas investigações. Os feeds a seguir servem a esse propósito e fornecem playbooks do Logic App para usar em sua resposta automatizada a incidentes. Encontre essas fontes de enriquecimento no hub Conteúdo.
Para obter mais informações sobre como localizar e gerenciar as soluções, consulte Descobrir e implantar conteúdo pronto para uso.
HYAS Insight
- Encontre e habilite playbooks de enriquecimento de incidentes para o HYAS Insight no repositório GitHub do Microsoft Sentinel. Procure subpastas começando com
Enrich-Sentinel-Incident-HYAS-Insight-
. - Consulte a documentação do conector do HYAS Insight Logic App.
Informações sobre Ameaças do Microsoft Defender
- Encontre e habilite playbooks de enriquecimento de incidentes para o Microsoft Defender Threat Intelligence no repositório GitHub do Microsoft Sentinel.
- Consulte a postagem do blog MDTI Tech Community para obter mais informações.
Plataforma de Inteligência de Segurança Gravada do Futuro
- Encontre e habilite playbooks de enriquecimento de incidentes para o Recorded Future no repositório GitHub do Microsoft Sentinel. Procure subpastas começando com
RecordedFuture_
. - Consulte a documentação do conector do Recorded Future Logic App.
ReversingLabs TitaniumCloud
- Encontre e habilite playbooks de enriquecimento de incidentes para o ReversingLabs no repositório GitHub do Microsoft Sentinel.
- Consulte a documentação do conector do ReversingLabs TitaniumCloud Logic App.
RiskIQ Total Passivo
- Encontre e habilite playbooks de enriquecimento de incidentes para o RiskIQ Passive Total no repositório GitHub do Microsoft Sentinel.
- Veja mais informações sobre como trabalhar com os playbooks do RiskIQ.
- Consulte a documentação do conector do RiskIQ PassiveTotal Logic App.
Virus Total
- Encontre e habilite playbooks de enriquecimento de incidentes para o Total de Vírus no repositório GitHub do Microsoft Sentinel. Procure subpastas começando com
Get-VTURL
. - Consulte a documentação do conector do Virus Total Logic App.
Próximos passos
Neste documento, você aprendeu como conectar seu provedor de inteligência de ameaças ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos.