Интеграция аналитики угроз в Microsoft Sentinel
В Microsoft Sentinel можно использовать веб-каналы аналитики угроз различными способами. Это дает аналитикам по вопросам безопасности дополнительные возможности для обнаружения и ранжирования известных угроз.
- Используйте один из многих доступных продуктов интегрированной платформы аналитики угроз (TIP).
- Подключение на серверы TAXII, чтобы воспользоваться любым источником аналитики угроз, совместимым с STIX.
- Подключение непосредственно на веб-канал Аналитика угроз Microsoft Defender.
- Используйте любые пользовательские решения, которые могут взаимодействовать непосредственно с API отправки индикаторов угроз.
- Вы также можете подключаться к источникам аналитики угроз из сборников схем, чтобы получать для инцидентов дополнительные аналитические данные, которые могут помочь при расследовании и выборе ответных действий.
Совет
Если у вас есть несколько рабочих областей в одном клиенте, например для поставщиков управляемых служб безопасности (MSSPs), это может оказаться более экономичным для подключения индикаторов угроз только к централизованной рабочей области.
При импорте одного и того же набора индикаторов угроз в каждую отдельную рабочую область можно выполнять запросы между рабочими областями для агрегирования индикаторов угроз по рабочим областям. Соотносите их в процессе обнаружения инцидентов MSSP, исследования и охоты.
Веб-каналы аналитики угроз TAXII
Чтобы подключиться к каналам аналитики угроз TAXII, следуйте инструкциям по подключению Microsoft Sentinel к каналам аналитики угроз STIX/TAXII вместе с данными, предоставленными каждым поставщиком. Чтобы получить необходимые данные для подключения через соединитель, вам может потребоваться обратиться к поставщику напрямую.
Аналитика киберугроз Accenture
Cybersixgill Darkfeed
- Узнайте об интеграции Cybersixgill с Microsoft Sentinel.
- Чтобы подключить Microsoft Sentinel к серверу Cybersixgill TAXII Server и получить доступ к Darkfeed, обратитесь azuresentinel@cybersixgill.com к API Root, Collection ID, Username и Password.
Cyware Threat Intelligence eXchange (CTIX)
Одним из компонентов платформы аналитики угроз Cyware, CTIX, является действие intel с каналом TAXII для siEM. В случае Microsoft Sentinel следуйте инструкциям ниже.
ESET
- Узнайте о предложении аналитики угроз ESET.
- Чтобы подключить Microsoft Sentinel к серверу ESET TAXII, получите корневой URL-адрес API, идентификатор коллекции, имя пользователя и пароль из учетной записи ESET. Затем следуйте общим инструкциям и база знаний статье ESET.
Центр распространения и анализа информации в сфере финансовых услуг (FS-ISAC)
- Присоединитесь к FS-ISAC, чтобы получить учетные данные для доступа к этому веб-каналу.
Сообщество для обмена данными аналитики работоспособности (H-ISAC)
- Присоединитесь к H-ISAC, чтобы получить учетные данные для доступа к этому веб-каналу.
IBM X-Force
- Узнайте больше об интеграции IBM X-Force.
IntSights
- Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
- Чтобы подключить Azure Sentinel к серверу TAXII IntSights, получите корневой адрес API, идентификатор коллекции, имя пользователя и пароль на портале IntSights после настройки политики для данных, которые вы хотите отправлять в Microsoft Sentinel.
Kaspersky
Pulsedive
ReversingLabs
Sectrio
- Узнайте больше об интеграции Sectrio.
- Пошаговый процесс интеграции веб-канала TI Sectrio в Microsoft Sentinel.
SEKOIA. IO
ThreatConnect
- Узнайте больше о STIX и TAXII в Threat Подключение.
- См. документацию по службам TAXII в Threat Подключение
Интегрированные продукты платформы аналитики угроз
Сведения о подключении к веб-каналам платформы аналитики угроз (TIP) см. в статье о подключении платформ аналитики угроз к Microsoft Sentinel. Ознакомьтесь со следующими решениями, чтобы узнать, какие дополнительные сведения необходимы.
Agari Phishing Defense and Brand Protection
- Чтобы подключиться к Agari Phishing Defense and Brand Protection, используйте встроенный соединитель данных Agari в Microsoft Sentinel.
Anomali ThreatStream
- Чтобы загрузить ThreatStream Integrator с расширениями, а также инструкции по подключению аналитики ThreatStream к Microsoft Graph Security API, посетите страницу загрузок ThreatStream.
AlienVault Open Threat Exchange (OTX) от AT&T Cybersecurity
- AlienVault OTX использует Azure Logic Apps (сборники схем) для подключения к Microsoft Azure Sentinel. Ознакомьтесь со специальными инструкциями, позволяющими в полной мере использовать преимущества этого предложения.
Платформа EclecticIQ
- Платформа EclecticIQ интегрируется с Microsoft Sentinel, чтобы улучшить обнаружение угроз, охоту и реагирование. См. дополнительные сведения о преимуществах и вариантах использования такой двусторонней интеграции.
GroupIB Threat Intelligence and Attribution
- Для подключения GroupIB Threat Intelligence and Attribution к Microsoft Sentinel используется служба Azure Logic Apps. Ознакомьтесь со специальными инструкциями, позволяющими в полной мере использовать преимущества этого предложения.
Платформа аналитики угроз с открытым исходным кодом MISP
- Push-индикаторы угроз из MISP в Microsoft Sentinel с помощью API отправки индикаторов TI с ПОМОЩЬЮ MISP2Sentinel.
- Ниже приведена ссылка Azure Marketplace для MISP2Sentinel.
- См. дополнительные сведения о проекте MISP.
Palo Alto Networks MineMeld
- Сведения о настройке Palo Alto MineMeld и о подключении к Microsoft Sentinel см. в статье Send IOCs to Microsoft Graph API With MineMeld (Отправка индикаторов компрометации в Microsoft Graph API с помощью MineMeld), в разделе MineMeld Configuration (Настройка MineMeld).
Платформа обнаружения угроз Recorded Future
- Recorded Future использует Azure Logic Apps (сборники схем) для подключения к Microsoft Sentinel. Ознакомьтесь со специальными инструкциями, позволяющими в полной мере использовать преимущества этого предложения.
Платформа ThreatConnect
- Инструкции по подключению ThreatConnect к Microsoft Sentinel см. в документе Microsoft Graph Security Threat Indicators Integration Configuration Guide (Руководство по настройке интеграции индикаторов угроз в Microsoft Graph Security).
Платформа аналитики угроз ThreatQuotient
- Сведения о поддержке и инструкции по подключению ThreatQuotient TIP к Microsoft Sentinel см. в описании соединителя Microsoft Sentinel для интеграции ThreatQ.
Источники дополнительных данных для инцидентов
Веб-каналы аналитики угроз можно использовать не только для импорта индикаторов угроз, но и в качестве источника дополнительной информации для инцидентов, что позволяет получить контекст для расследований. Перечисленные ниже веб-каналы служат для этой цели и предоставляют сборники схем Logic Apps для использования в вашей системе автоматизированного реагирования на инциденты. Найдите эти источники обогащения в центре контента.
Дополнительные сведения о том, как найти решения и управлять ими, см. в статье "Обнаружение и развертывание содержимого вне поля".
HYAS Insight
- Сборники схем, позволяющие получить дополнительную информацию по инцидентам, для HYAS Insight можно найти в репозитории Microsoft Sentinel на GitHub. Выполните поиск вложенных папок, начиная с
Enrich-Sentinel-Incident-HYAS-Insight-
. - См. документацию по соединителю Logic Apps для HYAS Insight.
Аналитика угроз Microsoft Defender
- Найдите и включите сборники схем обогащения инцидентов для Аналитика угроз Microsoft Defender в репозитории Microsoft Sentinel GitHub.
- Дополнительные сведения см. в записи блога сообщества MDTI Tech Community.
Платформа обнаружения угроз Recorded Future
- Сборники схем, позволяющие получить дополнительную информацию по инцидентам, для Recorded Future можно найти в репозитории Microsoft Sentinel на GitHub. Выполните поиск вложенных папок, начиная с
RecordedFuture_
. - См. документацию по соединителю Logic Apps для Recorded Future.
ReversingLabs TitaniumCloud
- Сборники схем, позволяющие получить дополнительную информацию по инцидентам, для ReversingLabs можно найти в репозитории Microsoft Sentinel на GitHub.
- См. документацию по соединителю приложения логики ReversingLabs TitanCloud.
RiskIQ Passive Total
- Сборники схем, позволяющие получить дополнительную информацию по инцидентам, для RiskIQ Passive Total можно найти в репозитории Microsoft Sentinel на GitHub.
- См. дополнительные сведения о работе со сборниками схем RiskIQ.
- См. документацию по соединителю Logic Apps для RiskIQ PassiveTotal.
Virus Total
- Сборники схем, позволяющие получить дополнительную информацию по инцидентам, для Virus Total можно найти в репозитории Microsoft Sentinel на GitHub. Выполните поиск вложенных папок, начиная с
Get-VTURL
. - См. документацию по соединителю Logic Apps для Virus Total.
Следующие шаги
В этом документе описано, как подключить вашего поставщика аналитики угроз к Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях.
- Узнайте, как отслеживать свои данные и потенциальные угрозы.
- Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.