Anslut Microsoft Sentinel till STIX/TAXII-hotinformationsflöden
Den vanligaste branschstandarden för överföring av hotinformation är en kombination av STIX-dataformatet och TAXII-protokollet. Om din organisation får hotindikatorer från lösningar som stöder den aktuella STIX/TAXII-versionen (2.0 eller 2.1) kan du använda dataanslutningsappen Hotinformation – TAXII för att föra in dina hotindikatorer i Microsoft Sentinel. Med den här anslutningsappen kan en inbyggd TAXII-klient i Microsoft Sentinel importera hotinformation från TAXII 2.x-servrar.
Om du vill importera STIX-formaterade hotindikatorer till Microsoft Sentinel från en TAXII-server måste du hämta ROT- och samlings-ID:t för TAXII-server-API:et och sedan aktivera anslutningsprogrammet Hotinformation – TAXII-data i Microsoft Sentinel.
Läs mer om hotinformation i Microsoft Sentinel och särskilt om TAXII-hotinformationsflöden som kan integreras med Microsoft Sentinel.
Kommentar
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.
Viktigt!
Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Se även: Anslut din plattform för hotinformation (TIP) till Microsoft Sentinel
Förutsättningar
- För att kunna installera, uppdatera och ta bort fristående innehåll eller lösningar i innehållshubben behöver du rollen Microsoft Sentinel-deltagare på resursgruppsnivå.
- Du måste ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan för att lagra dina hotindikatorer.
- Du måste ha ett API-rot-URI för TAXII 2.0 eller TAXII 2.1 och samlings-ID.
Hämta ROT- och samlings-ID för TAXII-server-API:et
TAXII 2.x-servrar annonserar API Roots, som är URL:er som är värdar för samlingar med hotinformation. Du kan vanligtvis hitta API-roten och samlings-ID:t på dokumentationssidorna för hotinformationsprovidern som är värd för TAXII-servern.
Kommentar
I vissa fall annonserar providern bara en URL som kallas identifieringsslutpunkt. Du kan använda cURL-verktyget för att bläddra i identifieringsslutpunkten och begära API-roten.
Installera hotinformationslösningen i Microsoft Sentinel
Följ dessa steg för att importera hotindikatorer till Microsoft Sentinel från en TAXII-server:
För Microsoft Sentinel i Azure-portalen går du till Innehållshantering och väljer Innehållshubb.
För Microsoft Sentinel i Defender-portalen väljer du Innehållshubben för Innehållshantering i>Microsoft Sentinel>.Leta upp och välj hotinformationslösningen.
Välj knappen Installera/uppdatera.
Mer information om hur du hanterar lösningskomponenterna finns i Identifiera och distribuera out-of-the-box-innehåll.
Aktivera hotinformation – TAXII-dataanslutning
Om du vill konfigurera TAXII-dataanslutningen väljer du menyn Dataanslutningar .
Leta upp och välj knappen Hotinformation – TAXII-dataanslutning>öppna anslutningsappen.
Ange ett eget namn för den här TAXII-serversamlingen, API-rot-URL:en, samlings-ID:t, ett användarnamn (om det behövs) och ett lösenord (om det behövs) och välj den grupp av indikatorer och den avsökningsfrekvens som du vill använda. Välj knappen Lägg till.
Du bör få en bekräftelse på att en anslutning till TAXII-servern har upprättats och du kan upprepa det sista steget ovan så många gånger du vill för att ansluta till flera samlingar från en eller flera TAXII-servrar.
Inom några minuter bör hotindikatorer börja flöda in på den här Microsoft Sentinel-arbetsytan. Du hittar de nya indikatorerna på bladet Hotinformation som är tillgänglig från Microsoft Sentinel-navigeringsmenyn.
LISTA över TILLÅTNA IP-adresser för Microsoft Sentinel TAXII-klienten
Vissa TAXII-servrar, till exempel FS-ISAC, har ett krav på att behålla IP-adresserna för Microsoft Sentinel TAXII-klienten på listan över tillåtna. De flesta TAXII-servrar har inte det här kravet.
När det är relevant är följande IP-adresser de som ska ingå i listan över tillåtna adresser:
- 20.193.17.32
- 20.197.219.106
- 20.48.128.36
- 20.199.186.58
- 40.80.86.109
- 52.158.170.36
- 20.52.212.85
- 52.251.70.29
- 20.74.12.78
- 20.194.150.139
- 20.194.17.254
- 51.13.75.153
- 102.133.139.160
- 20.197.113.87
- 40.123.207.43
- 51.11.168.197
- 20.71.8.176
- 40.64.106.65
Relaterat innehåll
I det här dokumentet har du lärt dig hur du ansluter Microsoft Sentinel till hotinformationsflöden med hjälp av TAXII-protokollet. Mer information om Microsoft Sentinel finns i följande artiklar.
- Lär dig hur du får insyn i dina data och potentiella hot.
- Kom igång med att identifiera hot med Microsoft Sentinel.