Integrering av hotinformation i Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel ger dig några sätt att använda hotinformationsflöden för att förbättra dina säkerhetsanalytikers förmåga att identifiera och prioritera kända hot:

• Använd en av många tillgängliga tip-produkter (Integrated Threat Intelligence Platform).
• Anslut till TAXII-servrar för att dra nytta av alla STIX-kompatibla hotinformationskällor.
• Anslut direkt till Microsoft Defender Hotinformation feed.
• Använd alla anpassade lösningar som kan kommunicera direkt med API:et för hotinformationsuppladdningsindikatorer.
• Anslut till hotinformationskällor från spelböcker för att utöka incidenter med information om hotinformation som kan hjälpa till att dirigera undersöknings- och svarsåtgärder.

Dricks

Om du har flera arbetsytor i samma klientorganisation, till exempel för leverantörer av hanterade säkerhetstjänster (MSSP), kan det vara mer kostnadseffektivt att bara ansluta hotindikatorer till den centraliserade arbetsytan.

När du har samma uppsättning hotindikatorer som importerats till varje separat arbetsyta kan du köra frågor mellan arbetsytor för att aggregera hotindikatorer över dina arbetsytor. Korrelera dem i din MSSP-incidentidentifiering, undersökning och jaktupplevelse.

TAXII-hotinformationsflöden

Om du vill ansluta till TAXII-hotinformationsflöden följer du anvisningarna för att ansluta Microsoft Sentinel till STIX/TAXII-hotinformationsflöden, tillsammans med de data som tillhandahålls av varje leverantör. Du kan behöva kontakta leverantören direkt för att hämta de data som behövs för att använda med anslutningsappen.

Accenture cyber threat intelligence

• Lär dig mer om CTI-integrering (Accenture cyber threat intelligence) med Microsoft Sentinel.

Cybersixgill Darkfeed

• Lär dig mer om Cybersixgill-integrering med Microsoft Sentinel.
• Anslut Microsoft Sentinel till Cybersixgill TAXII-servern och få åtkomst till Darkfeed. Kontakta azuresentinel@cybersixgill.com för att hämta API-roten, samlings-ID, användarnamn och lösenord.

Cyware threat intelligence exchange (CTIX)

En komponent i Cywares TIP, CTIX, är att göra intel användbart med ett TAXII-flöde för din säkerhetsinformation och händelsehantering. Följ anvisningarna här för Microsoft Sentinel:

• Lär dig hur du integrerar med Microsoft Sentinel

ESET

• Lär dig mer om ESET:s erbjudande om hotinformation.
• Anslut Microsoft Sentinel till ESET TAXII-servern. Hämta API:ens rot-URL, samlings-ID, användarnamn och lösenord från ditt ESET-konto. Följ sedan de allmänna instruktionerna och ESET:s kunskapsbas artikel.

Informationsdelning och analyscenter för finansiella tjänster (FS-ISAC)

• Anslut FS-ISAC för att hämta autentiseringsuppgifterna för att komma åt den här feeden.

Delningscommunity för hälsoinformation (H-ISAC)

• Anslut till H-ISAC för att hämta autentiseringsuppgifterna för att komma åt den här feeden.

IBM X-Force

• Läs mer om IBM X-Force-integrering.

IntSights

• Läs mer om IntSights integration with Microsoft Sentinel @IntSights.
• Anslut Microsoft Sentinel till IntSights TAXII-servern. Hämta API-roten, samlings-ID, användarnamn och lösenord från IntSights-portalen när du har konfigurerat en princip för de data som du vill skicka till Microsoft Sentinel.

Kaspersky

• Läs mer om Kaspersky-integrering med Microsoft Sentinel.

Pulsediv

• Läs mer om Pulsedive-integrering med Microsoft Sentinel.

ReversingLabs

• Lär dig mer om ReversingLabs TAXII-integrering med Microsoft Sentinel.

Sektrio

• Läs mer om Sectrio-integrering.
• Lär dig mer om den stegvisa processen för att integrera Sectrios hotinformationsflöde i Microsoft Sentinel.

SEKOIA. IO

• Läs mer om SEKOIA. I/O-integrering med Microsoft Sentinel.

ThreatConnect

• Läs mer om STIX och TAXII på ThreatConnect.
• Se dokumentationen om TAXII-tjänster på ThreatConnect.

Integrerade produkter för hotinformationsplattform

Information om hur du ansluter till TIP-feeds finns i Ansluta plattformar för hotinformation till Microsoft Sentinel. Se följande lösningar för att lära dig vilken annan information som behövs.

Agari Phishing Defense and Brand Protection

• Om du vill ansluta Agari Phishing Defense och Brand Protection använder du den inbyggda Agari-dataanslutningen i Microsoft Sentinel.

Anomali ThreatStream

• Information om hur du laddar ned ThreatStream Integrator och tillägg samt instruktionerna för att ansluta ThreatStream-intelligens till Microsoft Graph-API för säkerhet finns på nedladdningssidan för ThreatStream.

AlienVault Open Threat Exchange (OTX) från AT&T Cybersecurity

• Lär dig hur AlienVault OTX använder Azure Logic Apps (spelböcker) för att ansluta till Microsoft Sentinel. Se de särskilda instruktioner som krävs för att dra full nytta av hela erbjudandet.

EclecticIQ Platform

• EclecticIQ Platform integreras med Microsoft Sentinel för att förbättra hotidentifiering, jakt och svar. Läs mer om fördelarna och användningsfallen för den här dubbelriktade integreringen.

Filigran OpenCTI

• Filigran OpenCTI kan skicka hotinformation till Microsoft Sentinel via antingen en dedikerad anslutningsapp som körs i realtid eller genom att fungera som en TAXII 2.1-server som Sentinel regelbundet avsöker. Den kan också ta emot strukturerade incidenter från Sentinel via Microsoft Sentinel Incident Connector.

GroupIB Threat Intelligence och Attribution

• För att ansluta GroupIB Threat Intelligence och Attribution till Microsoft Sentinel använder GroupIB Logic Apps. Se de särskilda instruktioner som krävs för att dra full nytta av hela erbjudandet.

MISP-plattform för hotinformation med öppen källkod

• Push-hotindikatorer från MISP till Microsoft Sentinel med hjälp av API:et för uppladdningsindikatorer för hotinformation med MISP2Sentinel.
• Se MISP2Sentinel på Azure Marketplace.
• Läs mer om MISP-projektet.

Palo Alto Networks MineMeld

• Information om hur du konfigurerar Palo Alto MineMeld med anslutningsinformationen till Microsoft Sentinel finns i Skicka IOCs till Microsoft Graph-API för säkerhet med MineMeld. Gå till rubriken "MineMeld Configuration".

Inspelad framtida säkerhetsinformationsplattform

• Lär dig hur Recorded Future använder Logic Apps (spelböcker) för att ansluta till Microsoft Sentinel. Se de särskilda instruktioner som krävs för att dra full nytta av hela erbjudandet.

ThreatConnect Platform

• Mer information om hur du ansluter ThreatConnect till Microsoft Sentinel finns i konfigurationsguiden för Microsoft Graph-säkerhetshotindikatorer.

ThreatQuotient hotinformationsplattform

• Se Microsoft Sentinel Connector for ThreatQ-integrering för supportinformation och instruktioner för att ansluta ThreatQuotient TIP till Microsoft Sentinel.

Källor för incidentberikning

Förutom att användas för att importera hotindikatorer kan hotinformationsflöden också fungera som en källa för att berika informationen i dina incidenter och ge mer kontext till dina undersökningar. Följande feeds tjänar detta syfte och tillhandahåller Logic Apps-spelböcker som du kan använda i ditt automatiserade incidenthanteringssvar. Hitta dessa berikningskällor i innehållshubben.

Mer information om hur du hittar och hanterar lösningarna finns i Identifiera och distribuera out-of-the-box-innehåll.

HYAS Insight

• Hitta och aktivera spelböcker för incidentberikning för HYAS Insight på Microsoft Sentinel GitHub-lagringsplatsen. Sök efter undermappar som börjar med Enrich-Sentinel-Incident-HYAS-Insight-.
• Se dokumentationen för HYAS Insight Logic Apps-anslutningsappen.

Microsoft Defender Hotinformation

• Hitta och aktivera spelböcker för incidentberikning för Microsoft Defender Hotinformation på Microsoft Sentinel GitHub-lagringsplatsen.
• Mer information finns i blogginlägget om Defender Threat Intelligence Tech Community.

Inspelad framtida säkerhetsinformationsplattform

• Hitta och aktivera spelböcker för incidentberikning för inspelad framtid på Microsoft Sentinel GitHub-lagringsplatsen. Sök efter undermappar som börjar med RecordedFuture_.
• Se dokumentationen om inspelad framtida logic apps-anslutning.

ReversingLabs TitaniumCloud

• Hitta och aktivera spelböcker för incidentberikning för ReversingLabs på Microsoft Sentinel GitHub-lagringsplatsen.
• Se dokumentationen om Anslutningsappen för ReversingLabs TitaniumCloud Logic Apps.

RiskIQ PassiveTotal

• Hitta och aktivera spelböckerna för incidentberikning för RiskIQ Passive Total på Microsoft Sentinel GitHub-lagringsplatsen.
• Se mer information om hur du arbetar med RiskIQ-spelböcker.
• Se dokumentationen om Anslutningsprogrammet för RiskIQ PassiveTotal Logic Apps.

VirusTotal

• Hitta och aktivera spelböcker för incidentberikning för VirusTotal på Microsoft Sentinel GitHub-lagringsplatsen. Sök efter undermappar som börjar med Get-VTURL.
• Se dokumentationen om Anslutningsprogram för VirusTotal Logic Apps.

Relaterat innehåll

I den här artikeln har du lärt dig hur du ansluter din leverantör av hotinformation till Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar:

• Lär dig hur du får insyn i dina data och potentiella hot.
• Kom igång identifiera hot med Microsoft Sentinel.