Интеграция аналитики угроз в Microsoft Sentinel

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В Microsoft Sentinel можно использовать веб-каналы аналитики угроз различными способами. Это дает аналитикам по вопросам безопасности дополнительные возможности для обнаружения и ранжирования известных угроз.

• Используйте один из многих доступных продуктов интегрированной платформы аналитики угроз (TIP).
• Подключение на серверы TAXII, чтобы воспользоваться любым источником аналитики угроз, совместимым с STIX.
• Подключение непосредственно на веб-канал Аналитика угроз Microsoft Defender.
• Используйте любые пользовательские решения, которые могут взаимодействовать непосредственно с API отправки индикаторов угроз.
• Вы также можете подключаться к источникам аналитики угроз из сборников схем, чтобы получать для инцидентов дополнительные аналитические данные, которые могут помочь при расследовании и выборе ответных действий.

Совет

Если у вас есть несколько рабочих областей в одном клиенте, например для поставщиков управляемых служб безопасности (MSSPs), это может оказаться более экономичным для подключения индикаторов угроз только к централизованной рабочей области.

При импорте одного и того же набора индикаторов угроз в каждую отдельную рабочую область можно выполнять запросы между рабочими областями для агрегирования индикаторов угроз по рабочим областям. Соотносите их в процессе обнаружения инцидентов MSSP, исследования и охоты.

Веб-каналы аналитики угроз TAXII

Чтобы подключиться к каналам аналитики угроз TAXII, следуйте инструкциям по подключению Microsoft Sentinel к каналам аналитики угроз STIX/TAXII вместе с данными, предоставленными каждым поставщиком. Чтобы получить необходимые данные для подключения через соединитель, вам может потребоваться обратиться к поставщику напрямую.

Аналитика киберугроз Accenture

• Узнайте об интеграции Accenture Cyber Threat Intelligence (CTI) с Microsoft Sentinel.

Cybersixgill Darkfeed

• Узнайте об интеграции Cybersixgill с Microsoft Sentinel.
• Чтобы подключить Microsoft Sentinel к серверу Cybersixgill TAXII Server и получить доступ к Darkfeed, обратитесь azuresentinel@cybersixgill.com к API Root, Collection ID, Username и Password.

Cyware Threat Intelligence eXchange (CTIX)

Одним из компонентов платформы аналитики угроз Cyware, CTIX, является действие intel с каналом TAXII для siEM. В случае Microsoft Sentinel следуйте инструкциям ниже.

• Интеграция с Microsoft Sentinel

ESET

• Узнайте о предложении аналитики угроз ESET.
• Чтобы подключить Microsoft Sentinel к серверу ESET TAXII, получите корневой URL-адрес API, идентификатор коллекции, имя пользователя и пароль из учетной записи ESET. Затем следуйте общим инструкциям и база знаний статье ESET.

Центр распространения и анализа информации в сфере финансовых услуг (FS-ISAC)

• Присоединитесь к FS-ISAC, чтобы получить учетные данные для доступа к этому веб-каналу.

Сообщество для обмена данными аналитики работоспособности (H-ISAC)

• Присоединитесь к H-ISAC, чтобы получить учетные данные для доступа к этому веб-каналу.

IBM X-Force

• Узнайте больше об интеграции IBM X-Force.

IntSights

• Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
• Чтобы подключить Azure Sentinel к серверу TAXII IntSights, получите корневой адрес API, идентификатор коллекции, имя пользователя и пароль на портале IntSights после настройки политики для данных, которые вы хотите отправлять в Microsoft Sentinel.

Kaspersky

• Узнайте об интеграции Антивируса с Microsoft Sentinel.

Pulsedive

• Узнайте об интеграции Pulsedive с Microsoft Sentinel.

ReversingLabs

• Узнайте об интеграции ReversingLabs TAXII с Microsoft Sentinel.

Sectrio

• Узнайте больше об интеграции Sectrio.
• Пошаговый процесс интеграции веб-канала TI Sectrio в Microsoft Sentinel.

SEKOIA. IO

• Узнайте о SEKOIA. Интеграция операций ввода-вывода с Microsoft Sentinel.

ThreatConnect

• Узнайте больше о STIX и TAXII в Threat Подключение.
• См. документацию по службам TAXII в Threat Подключение

Интегрированные продукты платформы аналитики угроз

Сведения о подключении к веб-каналам платформы аналитики угроз (TIP) см. в статье о подключении платформ аналитики угроз к Microsoft Sentinel. Ознакомьтесь со следующими решениями, чтобы узнать, какие дополнительные сведения необходимы.

Agari Phishing Defense and Brand Protection

• Чтобы подключиться к Agari Phishing Defense and Brand Protection, используйте встроенный соединитель данных Agari в Microsoft Sentinel.

Anomali ThreatStream

• Чтобы загрузить ThreatStream Integrator с расширениями, а также инструкции по подключению аналитики ThreatStream к Microsoft Graph Security API, посетите страницу загрузок ThreatStream.

AlienVault Open Threat Exchange (OTX) от AT&T Cybersecurity

• AlienVault OTX использует Azure Logic Apps (сборники схем) для подключения к Microsoft Azure Sentinel. Ознакомьтесь со специальными инструкциями, позволяющими в полной мере использовать преимущества этого предложения.

Платформа EclecticIQ

• Платформа EclecticIQ интегрируется с Microsoft Sentinel, чтобы улучшить обнаружение угроз, охоту и реагирование. См. дополнительные сведения о преимуществах и вариантах использования такой двусторонней интеграции.

GroupIB Threat Intelligence and Attribution

• Для подключения GroupIB Threat Intelligence and Attribution к Microsoft Sentinel используется служба Azure Logic Apps. Ознакомьтесь со специальными инструкциями, позволяющими в полной мере использовать преимущества этого предложения.

Платформа аналитики угроз с открытым исходным кодом MISP

• Push-индикаторы угроз из MISP в Microsoft Sentinel с помощью API отправки индикаторов TI с ПОМОЩЬЮ MISP2Sentinel.
• Ниже приведена ссылка Azure Marketplace для MISP2Sentinel.
• См. дополнительные сведения о проекте MISP.

Palo Alto Networks MineMeld

• Сведения о настройке Palo Alto MineMeld и о подключении к Microsoft Sentinel см. в статье Send IOCs to Microsoft Graph API With MineMeld (Отправка индикаторов компрометации в Microsoft Graph API с помощью MineMeld), в разделе MineMeld Configuration (Настройка MineMeld).

Платформа обнаружения угроз Recorded Future

• Recorded Future использует Azure Logic Apps (сборники схем) для подключения к Microsoft Sentinel. Ознакомьтесь со специальными инструкциями, позволяющими в полной мере использовать преимущества этого предложения.

Платформа ThreatConnect

• Инструкции по подключению ThreatConnect к Microsoft Sentinel см. в документе Microsoft Graph Security Threat Indicators Integration Configuration Guide (Руководство по настройке интеграции индикаторов угроз в Microsoft Graph Security).

Платформа аналитики угроз ThreatQuotient

• Сведения о поддержке и инструкции по подключению ThreatQuotient TIP к Microsoft Sentinel см. в описании соединителя Microsoft Sentinel для интеграции ThreatQ.

Источники дополнительных данных для инцидентов

Веб-каналы аналитики угроз можно использовать не только для импорта индикаторов угроз, но и в качестве источника дополнительной информации для инцидентов, что позволяет получить контекст для расследований. Перечисленные ниже веб-каналы служат для этой цели и предоставляют сборники схем Logic Apps для использования в вашей системе автоматизированного реагирования на инциденты. Найдите эти источники обогащения в центре контента.

Дополнительные сведения о том, как найти решения и управлять ими, см. в статье "Обнаружение и развертывание содержимого вне поля".

HYAS Insight

• Сборники схем, позволяющие получить дополнительную информацию по инцидентам, для HYAS Insight можно найти в репозитории Microsoft Sentinel на GitHub. Выполните поиск вложенных папок, начиная с Enrich-Sentinel-Incident-HYAS-Insight-.
• См. документацию по соединителю Logic Apps для HYAS Insight.

Аналитика угроз Microsoft Defender

• Найдите и включите сборники схем обогащения инцидентов для Аналитика угроз Microsoft Defender в репозитории Microsoft Sentinel GitHub.
• Дополнительные сведения см. в записи блога сообщества MDTI Tech Community.

Платформа обнаружения угроз Recorded Future

• Сборники схем, позволяющие получить дополнительную информацию по инцидентам, для Recorded Future можно найти в репозитории Microsoft Sentinel на GitHub. Выполните поиск вложенных папок, начиная с RecordedFuture_.
• См. документацию по соединителю Logic Apps для Recorded Future.

ReversingLabs TitaniumCloud

• Сборники схем, позволяющие получить дополнительную информацию по инцидентам, для ReversingLabs можно найти в репозитории Microsoft Sentinel на GitHub.
• См. документацию по соединителю приложения логики ReversingLabs TitanCloud.

RiskIQ Passive Total

• Сборники схем, позволяющие получить дополнительную информацию по инцидентам, для RiskIQ Passive Total можно найти в репозитории Microsoft Sentinel на GitHub.
• См. дополнительные сведения о работе со сборниками схем RiskIQ.
• См. документацию по соединителю Logic Apps для RiskIQ PassiveTotal.

Virus Total

• Сборники схем, позволяющие получить дополнительную информацию по инцидентам, для Virus Total можно найти в репозитории Microsoft Sentinel на GitHub. Выполните поиск вложенных папок, начиная с Get-VTURL.
• См. документацию по соединителю Logic Apps для Virus Total.

Следующие шаги

В этом документе описано, как подключить вашего поставщика аналитики угроз к Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях.

• Узнайте, как отслеживать свои данные и потенциальные угрозы.
• Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.