Подключение Microsoft Sentinel к веб-каналам аналитики угроз STIX/TAXII.
Наиболее широко распространенный в отрасли стандарт передачи аналитики угроз — это сочетание формата данных STIX и протокола TAXII. Если ваша организация получает индикаторы угроз из решений, поддерживающих текущую версию STIX/TAXII (2.0 или 2.1), для отправки индикаторов угроз в Microsoft Sentinel можно использовать соединитель данных Threat Intelligence — TAXII. При его использовании включается встроенный в Microsoft Sentinel клиент TAXII для импорта аналитики угроз с серверов TAXII 2.x.
Чтобы импортировать индикаторы угроз в формате STIX в Microsoft Sentinel с сервера TAXII, необходимо получить корневой адрес API сервера TAXII и идентификатор коллекции, а затем включить соединитель данных "Аналитика угроз — TAXII" в Microsoft Sentinel.
Изучите информацию об аналитике угроз в Microsoft Sentinel, в частности о веб-каналах аналитики угроз TAXII, которые поддерживают интеграцию с Microsoft Sentinel.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.
Внимание
Microsoft Sentinel доступен в составе единой платформы операций безопасности на портале Microsoft Defender. Microsoft Sentinel на портале Defender теперь поддерживается для использования в рабочей среде. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
См. также: Подключение платформы аналитики угроз (TIP) к Microsoft Sentinel
Необходимые компоненты
- Чтобы установить, обновить и удалить автономное содержимое или решения в центре содержимого, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.
- Также вам нужны разрешения на чтение и запись в рабочей области Microsoft Sentinel для хранения индикаторов угроз.
- Вы должны иметь корневой URI API-интерфейса и идентификатор коллекции для TAXII 2.0 или TAXII 2.1.
Получение идентификатора коллекции и корневого адреса API сервера TAXII
Серверы TAXII 2. x объявляют корневые адреса API — URL-адреса, по которым размещаются коллекции аналитики угроз. Как правило, корневой адрес API и идентификатор коллекции можно найти в документации поставщика аналитики угроз, у которого размещен сервер TAXII.
Примечание.
В некоторых случаях поставщик объявляет только URL-адрес, называемый конечной точкой обнаружения. Для просмотра конечной точки обнаружения и запроса корневого адреса API можно использовать служебную программу cURL.
Установка решения аналитики угроз в Microsoft Sentinel
Чтобы импортировать индикаторы угроз в Microsoft Sentinel с сервера TAXII, выполните следующие действия.
Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.
Для Microsoft Sentinel на портале Defender выберите Центр содержимого управления>содержимым Microsoft Sentinel>.Найдите и выберите решение аналитики угроз.
Нажмите кнопку
"Установить и обновить".
Дополнительные сведения об управлении компонентами решения см. в статье "Обнаружение и развертывание содержимого вне поля".
Включение аналитики угроз — соединитель данных TAXII
Чтобы настроить соединитель данных TAXII, выберите меню соединителей данных.
Найдите и выберите соединитель данных TAXII и нажмите кнопку "Открыть соединитель>".
Введите понятное имя для этой коллекции серверов TAXII, корневой URL-адрес API, идентификатор коллекции, имя пользователя (если требуется) и пароль (если требуется), а затем выберите группу индикаторов и требуемую частоту опроса. Нажмите кнопку Добавить.
Должно появиться сообщение о том, что подключение к серверу TAXII установлено. Последний шаг, описанный выше, можно повторить любое число раз для подключения к нескольким коллекциям с одного или нескольких серверов TAXII.
В течение нескольких минут индикаторы угроз должны начать поступать в эту рабочую область Microsoft Sentinel. Новые индикаторы вы можете найти в колонке Аналитика угроз, которая доступна через меню навигации Microsoft Sentinel.
Список разрешенных IP-адресов для клиента TAXII Microsoft Sentinel
На некоторых серверах TAXII, таких как FS-ISAC, имеются требования сохранять IP-адреса клиента TAXII Microsoft Sentinel в списке разрешенных адресов. Для большинства серверов TAXII это требование отсутствует.
При необходимости следующие IP-адреса должны быть включены в список разрешенных адресов:
- 20.193.17.32
- 20.197.219.106
- 20.48.128.36
- 20.199.186.58
- 40.80.86.109
- 52.158.170.36
- 20.52.212.85
- 52.251.70.29
- 20.74.12.78
- 20.194.150.139
- 20.194.17.254
- 51.13.75.153
- 102.133.139.160
- 20.197.113.87
- 40.123.207.43
- 51.11.168.197
- 20.71.8.176
- 40.64.106.65
Связанный контент
В этом документе описано, как подключить Microsoft Sentinel к веб-каналам аналитики угроз с помощью протокола TAXII. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях.
- Узнайте, как отслеживать свои данные и потенциальные угрозы.
- Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по