Anslut Microsoft Sentinel till STIX/TAXII-hotinformationsflöden

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Den vanligaste branschstandarden för överföring av hotinformation är en kombination av STIX-dataformatet och TAXII-protokollet. Om din organisation får hotindikatorer från lösningar som stöder den aktuella STIX/TAXII-versionen (2.0 eller 2.1) kan du använda dataanslutningsappen Hotinformation – TAXII för att föra in dina hotindikatorer i Microsoft Sentinel. Med den här anslutningsappen kan en inbyggd TAXII-klient i Microsoft Sentinel importera hotinformation från TAXII 2.x-servrar.

TAXII-importsökväg

Om du vill importera STIX-formaterade hotindikatorer till Microsoft Sentinel från en TAXII-server måste du hämta ROT- och samlings-ID:t för TAXII-server-API:et och sedan aktivera anslutningsprogrammet Hotinformation – TAXII-data i Microsoft Sentinel.

Läs mer om hotinformation i Microsoft Sentinel och särskilt om TAXII-hotinformationsflöden som kan integreras med Microsoft Sentinel.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Se även: Anslut din plattform för hotinformation (TIP) till Microsoft Sentinel

Förutsättningar

  • För att kunna installera, uppdatera och ta bort fristående innehåll eller lösningar i innehållshubben behöver du rollen Microsoft Sentinel-deltagare på resursgruppsnivå.
  • Du måste ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan för att lagra dina hotindikatorer.
  • Du måste ha ett API-rot-URI för TAXII 2.0 eller TAXII 2.1 och samlings-ID.

Hämta ROT- och samlings-ID för TAXII-server-API:et

TAXII 2.x-servrar annonserar API Roots, som är URL:er som är värdar för samlingar med hotinformation. Du kan vanligtvis hitta API-roten och samlings-ID:t på dokumentationssidorna för hotinformationsprovidern som är värd för TAXII-servern.

Kommentar

I vissa fall annonserar providern bara en URL som kallas identifieringsslutpunkt. Du kan använda cURL-verktyget för att bläddra i identifieringsslutpunkten och begära API-roten.

Installera hotinformationslösningen i Microsoft Sentinel

Följ dessa steg för att importera hotindikatorer till Microsoft Sentinel från en TAXII-server:

  1. För Microsoft Sentinel i Azure-portalen går du till Innehållshantering och väljer Innehållshubb.
    För Microsoft Sentinel i Defender-portalen väljer du Innehållshubben för Innehållshantering i>Microsoft Sentinel>.

  2. Leta upp och välj hotinformationslösningen.

  3. Välj knappen Installera/uppdatera.

Mer information om hur du hanterar lösningskomponenterna finns i Identifiera och distribuera out-of-the-box-innehåll.

Aktivera hotinformation – TAXII-dataanslutning

  1. Om du vill konfigurera TAXII-dataanslutningen väljer du menyn Dataanslutningar .

  2. Leta upp och välj knappen Hotinformation – TAXII-dataanslutning>öppna anslutningsappen.

    Skärmbild som visar sidan för dataanslutningsappar med TAXII-dataanslutningsappen i listan.

  3. Ange ett eget namn för den här TAXII-serversamlingen, API-rot-URL:en, samlings-ID:t, ett användarnamn (om det behövs) och ett lösenord (om det behövs) och välj den grupp av indikatorer och den avsökningsfrekvens som du vill använda. Välj knappen Lägg till.

    Konfigurera TAXII-servrar

Du bör få en bekräftelse på att en anslutning till TAXII-servern har upprättats och du kan upprepa det sista steget ovan så många gånger du vill för att ansluta till flera samlingar från en eller flera TAXII-servrar.

Inom några minuter bör hotindikatorer börja flöda in på den här Microsoft Sentinel-arbetsytan. Du hittar de nya indikatorerna på bladet Hotinformation som är tillgänglig från Microsoft Sentinel-navigeringsmenyn.

LISTA över TILLÅTNA IP-adresser för Microsoft Sentinel TAXII-klienten

Vissa TAXII-servrar, till exempel FS-ISAC, har ett krav på att behålla IP-adresserna för Microsoft Sentinel TAXII-klienten på listan över tillåtna. De flesta TAXII-servrar har inte det här kravet.

När det är relevant är följande IP-adresser de som ska ingå i listan över tillåtna adresser:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Relaterat innehåll

I det här dokumentet har du lärt dig hur du ansluter Microsoft Sentinel till hotinformationsflöden med hjälp av TAXII-protokollet. Mer information om Microsoft Sentinel finns i följande artiklar.