你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

威胁情报传输最广泛采用的行业标准是 STIX 数据格式和 TAXII 协议的组合。 如果组织从支持当前 STIX/TAXII 版本（2.0 或 2.1）的解决方案中获取威胁指标，则可以使用“威胁情报 - TAXII”数据连接器将威胁指标引入 Microsoft Sentinel。 此连接器使 Microsoft Sentinel 中的内置 TAXII 客户端可以从 TAXII 2.x 服务器导入威胁情报。

若要将 STIX 格式的威胁指标从 TAXII 服务器导入到 Microsoft Sentinel，你必须获取 TAXII 服务器 API 根和集合 ID，然后在 Microsoft Sentinel 中启用“威胁情报 - TAXII”数据连接器。

详细了解 Microsoft Sentinel 中的威胁情报，尤其是可与 Microsoft Sentinel 集成的 TAXII 威胁情报源。

注意

有关美国政府云中的功能可用性的信息，请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

重要

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的一部分提供。 现支持在 Defender 门户中将 Microsoft Sentinel 用于生产。 有关详细信息，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

另请参阅：将威胁情报平台 (TIP) 连接到 Microsoft Sentinel

先决条件

• 若要在内容中心安装、更新和删除独立内容或解决方案，你需要在资源组级别拥有“Microsoft Sentinel 参与者”角色。
• 必须拥有 Microsoft Sentinel 工作区的读取和写入权限，才能存储威胁指标。
• 必须拥有 TAXII 2.0 或 TAXII 2.1“API 根 URI”和“集合 ID”。

获取 TAXII 服务器 API 根和集合 ID

TAXII 2.x 服务器播发 API 根，这是托管威胁情报集合的 URL。 通常可以在托管 TAXII 服务器的威胁情报提供程序的文档页中查找 API 根和集合 ID。

注意

某些情况下，提供程序将仅播发名为“发现终结点”的 URL。 可以使用 cURL 实用工具浏览发现终结点并请求 API 根。

在 Microsoft Sentinel 中安装威胁情报解决方案

若要将威胁指标从 TAXII 服务器导入到 Microsoft Sentinel，请执行以下步骤：

1. 对于 Azure 门户中的 Microsoft Sentinel，在“内容管理”下，选择“内容中心”。
   对于 Defender 门户中的 Microsoft Sentinel，请选择“Microsoft Sentinel”>“内容管理”>“内容中心”。

2. 查找并选择“威胁情报”解决方案。

3. 选择“安装/更新”按钮。

有关如何管理解决方案组件的详细信息，请参阅发现和部署现成内容。

启用威胁情报 - TAXII 数据连接器

1. 若要配置 TAXII 数据连接器，请选择“数据连接器”菜单。

2. 查找并选择“威胁情报 - TAXII”数据连接器>“打开连接器页”按钮。

   

3. 为此 TAXII 服务器集合输入“易记名称”，以及“API 根 URL”、“集合 ID”、“用户名”（如有需要）和“密码”（如有需要），然后选择指示器组以及所需的轮询频率。 选择“添加”按钮。

   

应该会收到指出已成功连接到 TAXII 服务器的确认信息，可以根据需要多次重复上面的最后一步，以从一个或多个 TAXII 服务器连接到多个集合。

几分钟后，威胁指标应开始流入此 Microsoft Sentinel 工作区。 可以在“威胁情报”边栏选项卡中找到新指标，该边栏选项卡可从 Microsoft Sentinel 导航菜单访问。

Microsoft Sentinel TAXII 客户端的 IP 允许列表

某些 TAXII 服务器（如 FS-ISAC）要求在允许列表上保留 Microsoft Sentinel TAXII 客户端的 IP 地址。 大多数 TAXII 服务器没有此要求。

相关时，以下 IP 地址是要包含在允许列表中的地址：

• 20.193.17.32
• 20.197.219.106
• 20.48.128.36
• 20.199.186.58
• 40.80.86.109
• 52.158.170.36

• 20.52.212.85
• 52.251.70.29
• 20.74.12.78
• 20.194.150.139
• 20.194.17.254
• 51.13.75.153

• 102.133.139.160
• 20.197.113.87
• 40.123.207.43
• 51.11.168.197
• 20.71.8.176
• 40.64.106.65

相关内容

本文档介绍了如何使用 TAXII 协议将 Microsoft Sentinel 连接到威胁情报源。 若要详细了解 Microsoft Sentinel，请参阅以下文章。

• 了解如何洞悉数据和潜在威胁。
• 开始使用 Microsoft Sentinel 检测威胁。