Подключение соединителя TAXII для аналитики угроз

  • 5 мин

Microsoft Sentinel интегрируется с источниками данных TAXII 2.0 и 2.1, чтобы обеспечить мониторинг, оповещение и поиск с помощью аналитики угроз. Используйте этот соединитель для отправки индикаторов угроз с серверов TAXII в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов.

На портале Azure перейдите в раздел Microsoft Sentinel > "Соединители данных", а затем выберите соединитель "Аналитика угроз — TAXII".

Чтобы просмотреть страницу соединителя, выполните следующие действия.

  1. Перейдите на страницу Соединители данных.

  2. Выберите Threat intelligence — TAXII.

  3. Затем выберите страницу Открыть соединитель в области предварительного просмотра.

  4. Укажите обязательные и необязательные сведения в текстовых полях.

    • Понятное имя (для сервера)

    • URL-адрес корневого каталога API

    • Идентификатор коллекции

    • Username

    • Password

  5. Нажмите Add, чтобы включить подключение.

В списке "Настройка серверов TAXII" отображаются подключенные в настоящее время серверы TAXII и последний полученный индикатор. Эллипс в конце настроенного сервера предоставляет возможность удалить конфигурацию сервера.

Screenshot of the Sentinel T A X I I Connector page.