Microsoft Sentinel’de tehdit bilgileri tümleştirmesi
Microsoft Sentinel, güvenlik analistlerinizin bilinen tehditleri algılama ve önceliklerini belirleme becerisini geliştirmek için tehdit bilgileri akışlarını kullanmanın birkaç farklı yolunu sunar.
- Kullanılabilir tümleşik tehdit bilgileri platformu (TIP) ürünlerinden birini kullanın.
- STIX uyumlu tehdit bilgileri kaynağından yararlanmak için TAXII sunucularına Bağlan.
- doğrudan Microsoft Defender Tehdit Analizi akışına Bağlan.
- Tehdit Bilgileri Karşıya Yükleme Göstergeleri API'siyle doğrudan iletişim kurabilen tüm özel çözümleri kullanın.
- Olayları doğrudan araştırma ve yanıt eylemlerine yardımcı olabilecek TI bilgileriyle zenginleştirmek için playbook'lardan tehdit bilgileri kaynaklarına da bağlanabilirsiniz.
İpucu
Aynı kiracıda Yönetilen Güvenlik Hizmeti Sağlayıcıları (MSSP) gibi birden çok çalışma alanınız varsa tehdit göstergelerini yalnızca merkezi çalışma alanına bağlamak daha uygun maliyetli olabilir.
Her ayrı çalışma alanına içeri aktarılan aynı tehdit göstergeleri kümesine sahip olduğunuzda, çalışma alanlarınızdaki tehdit göstergelerini toplamak için çalışma alanları arası sorgular çalıştırabilirsiniz. Bunları MSSP olay algılama, araştırma ve tehdit avcılığı deneyiminiz içinde ilişkilendirin.
TAXII tehdit bilgileri akışları
TAXII tehdit bilgileri akışlarına bağlanmak için yönergeleri izleyerek Microsoft Sentinel'i STIX/TAXII tehdit bilgileri akışlarına ve her satıcı tarafından sağlanan verilerle birlikte bağlayın. Bağlayıcıyla kullanmak üzere gerekli verileri almak için doğrudan satıcıyla iletişime geçmeniz gerekebilir.
Accenture Siber Tehdit Zekası
- Microsoft Sentinel ile Accenture Siber Tehdit Zekası (CTI) tümleştirmesi hakkında bilgi edinin.
Cybersixgill Darkfeed
- Microsoft Sentinel ile Cybersixgill tümleştirmesi hakkında bilgi edinin.
- Microsoft Sentinel'i Cybersixgill TAXII Sunucusu'na bağlamak ve Darkfeed'e erişim elde etmek için API Kökü, Koleksiyon Kimliği, Kullanıcı Adı ve Parola bilgilerini almak için iletişim kurun azuresentinel@cybersixgill.com .
Cyware Threat Intelligence eXchange (CTIX)
Cyware'in tehdit bilgileri platformu CTIX'in bir bileşeni, SIEM'iniz için bir TAXII akışı ile intel'i harekete geçirmedir. Microsoft Sentinel söz konusu olduğunda buradaki yönergeleri izleyin:
ESET
- ESET'in tehdit bilgileri teklifi hakkında bilgi edinin.
- Microsoft Sentinel'i ESET TAXII sunucusuna bağlamak için ESET hesabınızdan API kök URL'sini, Koleksiyon Kimliğini, Kullanıcı Adını ve Parola'yı edinin. Ardından genel yönergeleri ve ESET'in bilgi bankası makalesini izleyin.
Finansal Hizmetler Bilgi Paylaşım ve Analiz Merkezi (FS-ISAC)
- Bu akışa erişmek için kimlik bilgilerini almak için FS-ISAC'ye katılın.
Sağlık zekası paylaşım topluluğu (H-ISAC)
IBM X-Force
- IBM X-Force tümleştirmesi hakkında daha fazla bilgi edinin.
IntSights
- Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
- Microsoft Sentinel'i IntSights TAXII Sunucusu'na bağlamak için, Microsoft Sentinel'e göndermek istediğiniz verilerin ilkesini yapılandırdıktan sonra IntSights portalından API Kökü, Koleksiyon Kimliği, Kullanıcı Adı ve Parola bilgilerini alın.
Kaspersky
- Microsoft Sentinel ile Kaspersky tümleştirmesi hakkında bilgi edinin.
Darbeli
- Microsoft Sentinel ile Pulsedive tümleştirmesi hakkında bilgi edinin.
ReversingLabs
- Microsoft Sentinel ile ReversingLabs TAXII tümleştirmesi hakkında bilgi edinin.
Sectrio
- Sectrio tümleştirmesi hakkında daha fazla bilgi edinin.
- Sectrio'nun TI akışını Microsoft Sentinel ile tümleştirmeye yönelik adım adım işlem.
SEKOIA. IO
- SEKOIA hakkında bilgi edinin. Microsoft Sentinel ile GÇ tümleştirmesi.
ThreatConnect
- Threat Bağlan adresinde STIX ve TAXII hakkında daha fazla bilgi edinin.
- Threat sayfasında TAXII Services belgelerine bakın Bağlan
Tümleşik tehdit bilgileri platformu ürünleri
Tehdit Bilgileri Platformu (TIP) akışlarına bağlanmak için bkz . Tehdit Bilgileri platformlarını Microsoft Sentinel'e bağlama. Hangi ek bilgilerin gerekli olduğunu öğrenmek için aşağıdaki çözümlere bakın.
Agari Phishing Defense and Brand Protection
- Agari Kimlik Avı Savunması ve Marka Koruması'nı bağlamak için Microsoft Sentinel'deki yerleşik Agari veri bağlayıcısını kullanın.
Anomali ThreatStream
- ThreatStream Tümleştiricisi ve Uzantıları'nı ve ThreatStream zekasını Microsoft Graph Güvenlik API'sine bağlama yönergelerini indirmek için ThreatStream indirmeleri sayfasına bakın.
AT&T Siber Güvenlik'ten AlienVault Open Threat Exchange (OTX)
- AlienVault OTX , Microsoft Sentinel'e bağlanmak için Azure Logic Apps'i (playbook'lar) kullanır. Tüm tekliflerden tam olarak yararlanmak için gerekli özel yönergelere bakın.
EclecticIQ Platformu
- EclecticIQ Platformu, tehdit algılamayı, avcılığı ve yanıtı geliştirmek için Microsoft Sentinel ile tümleştirilir. Bu iki yönlü tümleştirmenin avantajları ve kullanım örnekleri hakkında daha fazla bilgi edinin.
GroupIB Tehdit Bilgileri ve İlişkilendirmesi
- GroupIB Tehdit Bilgileri ve İlişkilendirme'yi Microsoft Sentinel'e bağlamak için GroupIB, Azure Logic Apps'i kullanır. Tüm tekliflerden tam olarak yararlanmak için gerekli özel yönergelere bakın.
MISP Açık Kaynak Tehdit Zekası Platformu
- MISP2Sentinel ile TI karşıya yükleme göstergeleri API'sini kullanarak TEHDIT göstergelerini MISP'ten Microsoft Sentinel'e gönderin.
- MISP2Sentinel için Azure Market bağlantısı aşağıdadır.
- MISP Projesi hakkında daha fazla bilgi edinin.
Palo Alto Networks MineMeld
- Palo Alto MineMeld'i Microsoft Sentinel bağlantı bilgileriyle yapılandırmak için bkz. MineMeld kullanarak Microsoft Graph Güvenlik API'sine IOC gönderme ve MineMeld Yapılandırması başlığına atlama.
Kayıtlı Gelecek Güvenlik Zekası Platformu
- Kayıtlı Gelecek , Microsoft Sentinel'e bağlanmak için Azure Logic Apps'i (playbook'lar) kullanır. Tüm tekliflerden tam olarak yararlanmak için gerekli özel yönergelere bakın.
Tehdit Bağlan Platformu
- Threat Bağlan'ı Microsoft Sentinel'e bağlama yönergeleri için bkz. Microsoft Graph Güvenlik Tehdit Göstergeleri Tümleştirme Yapılandırma Kılavuzu.
ThreatQuotient Threat Intelligence Platformu
- ThreatQuotient TIP'i Microsoft Sentinel'e bağlamaya yönelik destek bilgileri ve yönergeler için bkz. ThreatQ tümleştirmesi için Microsoft Sentinel Bağlan or.
Olay zenginleştirme kaynakları
Tehdit göstergelerini içeri aktarmak için kullanılan tehdit bilgileri akışları, olaylarınızdaki bilgileri zenginleştirmek ve araştırmalarınıza daha fazla bağlam sağlamak için de bir kaynak görevi görebilir. Aşağıdaki akışlar bu amaca hizmet eder ve otomatik olay yanıtınızda kullanmak üzere Logic App playbook'ları sağlar. İçerik hub'ında bu zenginleştirme kaynaklarını bulun.
Çözümleri bulma ve yönetme hakkında daha fazla bilgi için bkz . Hazır içeriği bulma ve dağıtma.
HYAS Insight
- Microsoft Sentinel GitHub deposunda HYAS Insight için olay zenginleştirme playbook'larını bulun ve etkinleştirin. ile
Enrich-Sentinel-Incident-HYAS-Insight-
başlayan alt klasörleri arayın. - HYAS Insight Logic App bağlayıcısı belgelerine bakın.
Microsoft Defender Tehdit Analizi
- Microsoft Sentinel GitHub deposunda Microsoft Defender Tehdit Analizi için olay zenginleştirme playbook'larını bulun ve etkinleştirin.
- Daha fazla bilgi için MDTI Teknoloji Topluluğu blog gönderisine bakın.
Kayıtlı Gelecek Güvenlik Zekası Platformu
- Microsoft Sentinel GitHub deposunda Kayıtlı Gelecek için olay zenginleştirme playbook'larını bulun ve etkinleştirin. ile
RecordedFuture_
başlayan alt klasörleri arayın. - Kayıtlı Gelecek Mantıksal Uygulama bağlayıcısı belgelerine bakın.
ReversingLabs TitaniumCloud
- Microsoft Sentinel GitHub deposunda ReversingLabs için olay zenginleştirme playbook'larınıbulun ve etkinleştirin.
- ReversingLabs TitaniumCloud Logic App bağlayıcısı belgelerine bakın.
RiskIQ Passive Total
- Microsoft Sentinel GitHub deposunda RiskIQ Passive Total için olay zenginleştirme playbook'larını bulun ve etkinleştirin.
- RiskIQ playbook'larıyla çalışma hakkında daha fazla bilgi edinin.
- RiskIQ PassiveTotal Logic App bağlayıcısı belgelerine bakın.
Virus Total
- Microsoft Sentinel GitHub deposunda Virüs Toplamı için olay zenginleştirme playbook'larını bulun ve etkinleştirin. ile
Get-VTURL
başlayan alt klasörleri arayın. - Virüs Toplam Mantıksal Uygulama bağlayıcısı belgelerine bakın.
Sonraki adımlar
Bu belgede tehdit bilgileri sağlayıcınızı Microsoft Sentinel'e bağlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın.
- Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
- Microsoft Sentinel ile tehditleri algılamaya başlayın.