你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

威胁情报传输最广泛采用的行业标准是 STIX 数据格式和 TAXII 协议的组合。 如果组织从支持当前 STIX/TAXII 版本(2.0 或 2.1)的解决方案中获取威胁指标,则可以使用“威胁情报 - TAXII”数据连接器将威胁指标引入 Microsoft Sentinel。 此连接器使 Microsoft Sentinel 中的内置 TAXII 客户端可以从 TAXII 2.x 服务器导入威胁情报。

TAXII 导入路径

若要将 STIX 格式的威胁指标从 TAXII 服务器导入到 Microsoft Sentinel,你必须获取 TAXII 服务器 API 根和集合 ID,然后在 Microsoft Sentinel 中启用“威胁情报 - TAXII”数据连接器。

详细了解 Microsoft Sentinel 中的威胁情报,尤其是可与 Microsoft Sentinel 集成的 TAXII 威胁情报源

注意

有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

重要

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

另请参阅:将威胁情报平台 (TIP) 连接到 Microsoft Sentinel

先决条件

  • 若要在内容中心安装、更新和删除独立内容或解决方案,你需要在资源组级别拥有“Microsoft Sentinel 参与者”角色。
  • 必须拥有 Microsoft Sentinel 工作区的读取和写入权限,才能存储威胁指标。
  • 必须拥有 TAXII 2.0 或 TAXII 2.1“API 根 URI”和“集合 ID”。

获取 TAXII 服务器 API 根和集合 ID

TAXII 2.x 服务器播发 API 根,这是托管威胁情报集合的 URL。 通常可以在托管 TAXII 服务器的威胁情报提供程序的文档页中查找 API 根和集合 ID。

注意

某些情况下,提供程序将仅播发名为“发现终结点”的 URL。 可以使用 cURL 实用工具浏览发现终结点并请求 API 根。

在 Microsoft Sentinel 中安装威胁情报解决方案

若要将威胁指标从 TAXII 服务器导入到 Microsoft Sentinel,请执行以下步骤:

  1. 对于 Azure 门户中的 Microsoft Sentinel,在“内容管理”下,选择“内容中心”
    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“内容管理”>“内容中心”。

  2. 查找并选择“威胁情报”解决方案。

  3. 选择“安装/更新”按钮。

有关如何管理解决方案组件的详细信息,请参阅发现和部署现成内容

启用威胁情报 - TAXII 数据连接器

  1. 若要配置 TAXII 数据连接器,请选择“数据连接器”菜单。

  2. 查找并选择“威胁情报 - TAXII”数据连接器>“打开连接器页”按钮。

    显示数据连接器页的屏幕截图,其中列出了 TAXII 数据连接器。

  3. 为此 TAXII 服务器集合输入“易记名称”,以及“API 根 URL”、“集合 ID”、“用户名”(如有需要)和“密码”(如有需要),然后选择指示器组以及所需的轮询频率。 选择“添加”按钮。

    配置 TAXII 服务器

应该会收到指出已成功连接到 TAXII 服务器的确认信息,可以根据需要多次重复上面的最后一步,以从一个或多个 TAXII 服务器连接到多个集合。

几分钟后,威胁指标应开始流入此 Microsoft Sentinel 工作区。 可以在“威胁情报”边栏选项卡中找到新指标,该边栏选项卡可从 Microsoft Sentinel 导航菜单访问。

Microsoft Sentinel TAXII 客户端的 IP 允许列表

某些 TAXII 服务器(如 FS-ISAC)要求在允许列表上保留 Microsoft Sentinel TAXII 客户端的 IP 地址。 大多数 TAXII 服务器没有此要求。

相关时,以下 IP 地址是要包含在允许列表中的地址:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

相关内容

本文档介绍了如何使用 TAXII 协议将 Microsoft Sentinel 连接到威胁情报源。 若要详细了解 Microsoft Sentinel,请参阅以下文章。