Microsoft Sentinel 中的威胁情报集成

Microsoft Sentinel 提供了一些使用威胁情报源的方法，以增强安全分析师检测及确定已知威胁优先级的能力：

• 使用众多可用的集成威胁情报平台 (TIP) 产品之一。
• 连接到 TAXII 服务器以利用任何与 STIX 兼容的威胁情报源。
• 直接连接到 Microsoft Defender Threat Intelligence 源。
• 使用任何可直接与威胁情报上传指示器 API 通信的自定义解决方案。
• 从 playbook 连接到威胁情报源，以使用有助于引导完成调查和响应操作的威胁情报信息来扩充事件。

提示

如果同一租户中有多个工作区，例如托管安全服务提供商 (MSSP) 的工作区，则仅将威胁指标连接到集中式工作区可能更具成本效益。

将同一组威胁指标导入到每个单独的工作区时，可以运行跨工作区查询以聚合整个工作区的威胁指标。 在 MSSP 事件检测、调查和搜寻体验中关联这些指标。

TAXII 威胁情报源

若要连接到 TAXII 威胁情报源，请结合使用每个供应商提供的数据，按说明将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源。 你可能需要直接联系供应商来获取与连接器配合使用的必要数据。

Accenture 网络威胁智能

• 了解 Accenture 网络威胁情报 (CTI) 与 Microsoft Sentinel 的集成。

Cybersixgill Darkfeed

• 了解 Cybersixgill 与 Microsoft Sentinel 的集成 。
• 将 Microsoft Sentinel 连接到 Cybersixgill TAXII 服务器，并获取对 Darkfeed 的访问权限。 联系 azuresentinel@cybersixgill.com 以获取 API 根、集合 ID、用户名和密码。

Cyware 威胁情报交换 (CTIX)

CTIX 是 Cyware TIP 的一个组件，旨在利用 TAXII 源实现 intel 可操作性，以便进行安全信息和事件管理。 对于 Microsoft Sentinel，请按照此处的说明操作：

• 了解如何与 Microsoft Sentinel 集成

ESET

• 了解 ESET 的威胁情报产品/服务。
• 将 Microsoft Sentinel 连接到 ESET TAXII 服务器。 从 ESET 帐户获取 API 根 URL、集合 ID、用户名和密码。 然后按照常规说明和 ESET 的知识库文章进行操作。

金融服务信息共享和分析中心（FS-ISAC）

• 加入 FS-ISAC 以获取用于访问此源的凭据。

Health Intelligence Sharing Community (H-ISAC)

• 加入 H-ISAC 以获取用于访问此源的凭据。

IBM X-Force

• 详细了解 IBM X-Force 集成。

IntSights

• 详细了解 IntSights 与 Microsoft Sentinel 的集成。
• 将 Microsoft Sentinel 连接到 IntSights TAXII 服务器。 在针对要发送到 Microsoft Sentinel 的数据配置策略后，从 IntSights 门户获取 API 根、集合 ID、用户名和密码。

卡巴斯基

• 了解 Kaspersky 与 Microsoft Sentinel 的集成。

Pulsedive

• 了解 Pulsedive 与 Microsoft Sentinel 的集成。

ReversingLabs

• 了解 ReversingLabs TAXII 与 Microsoft Sentinel 的集成。

Sectrio

• 详细了解 Sectrio 集成。
• 了解将 Sectrio 的威胁情报源集成到 Microsoft Sentinel 的分步过程。

SEKOIA.IO

• 了解 SEKOIA.IO 与 Microsoft Sentinel 的集成。

ThreatConnect

• 详细了解 ThreatConnect 上的 STIX 和 TAXII。
• 请参阅 ThreatConnect 上的 TAXII 服务文档。

集成式威胁情报平台产品

若要连接到 TIP 源，请参阅将威胁情报平台连接到 Microsoft Sentinel。 请参阅以下解决方案，了解需要其他哪些信息。

Agari Phishing Defense 和 Agari Brand Protection

• 若要连接 Agari Phishing Defense and Brand Protection，请使用 Microsoft Sentinel 中的内置 Agari 数据连接器。

Anomali ThreatStream

• 若要下载 ThreatStream 集成器和扩展以及有关将 ThreatStream 情报连接到 Microsoft Graph 安全性 API 的说明，请参阅 ThreatStream 下载页。

AT&T Cybersecurity 提供的 AlienVault Open Threat Exchange (OTX)

• 了解 AlienVault OTX 如何利用 Azure 逻辑应用 (playbook) 连接到 Microsoft Sentinel。 请参阅有关充分利用完整产品/服务所需的专门说明。

EclecticIQ 平台

• EclecticIQ 平台与 Microsoft Sentinel 集成以增强威胁检测、搜寻和响应功能。 详细了解此双向集成的优势和用例。

Filigran OpenCTI

• Filigran OpenCTI 可以通过实时运行的专用连接器或充当 Sentinel 将定期轮询的 TAXII 2.1 服务器，向 Microsoft Sentinel 发送威胁情报。 它还可以通过 Microsoft Sentinel 事件连接器从 Sentinel 接收结构化事件。

GroupIB 威胁情报和归因

• GroupIB 利用逻辑应用将 GroupIB Threat Intelligence and Attribution 连接到 Microsoft Sentinel。 请参阅充分利用完整产品/服务所需的专门说明。

MISP 开源威胁情报平台

• 搭配使用威胁情报上传指标 API 和 MISP2Sentinel，将威胁指标从 MISP 推送到 Microsoft Sentinel。
• 请参阅 Azure 市场中的 MISP2Sentinel。
• 详细了解 MISP 项目。

Palo Alto Networks MineMeld

• 若要为 Palo Alto MineMeld 配置 Microsoft Sentinel 连接信息，请参阅使用 MineMeld 将 IOC 发送到 Microsoft Graph 安全性 API。 转到“MineMeld 配置”标题。

Recorded Future 安全智能平台

• 了解 Recorded Future 如何利用逻辑应用 (playbook) 连接到 Microsoft Sentinel。 请参阅有关充分利用完整产品/服务所需的专门说明。

ThreatConnect 平台

• 有关将 ThreatConnect 连接到 Microsoft Sentinel 的说明，请参阅 Microsoft Graph 安全威胁指标集成配置指南。

ThreatQuotient 威胁情报平台

• 有关支持信息以及将 ThreatQuotient TIP 连接到 Microsoft Sentinel 的说明，请参阅用于 ThreatQ 集成的 Microsoft Sentinel 连接器。

事件扩充源

除了用于导入威胁指标以外，威胁情报源还可以充当一个源来扩充事件中的信息，并为调查工作提供更多上下文。 以下源可帮助实现此目的，并提供可在自动事件响应中使用的逻辑应用 playbook。 在内容中心查找这些扩充源。

有关如何查找并管理解决方案的详细信息，请参阅发现和部署现成内容。

HYAS Insight

• 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 HYAS Insight 的事件扩充 playbook。 搜索以“Enrich-Sentinel-Incident-HYAS-Insight-”开头的子文件夹。
• 参阅 HYAS Insight 逻辑应用连接器文档。

Microsoft Defender 威胁智能

• 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 Microsoft Defender Threat Intelligence 的事件扩充 playbook。
• 有关详细信息，请参阅 Defender 威胁情报技术社区博客文章。

记录的未来安全智能平台

• 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 Recorded Future 的事件扩充 playbook。 搜索以“RecordedFuture_”开头的子文件夹。
• 参阅 Recorded Future 逻辑应用连接器文档。

ReversingLabsTitiCloud

• 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 ReversingLabs 的事件扩充 playbook。
• 请参阅 ReversingLabs TitaniumCloud 逻辑应用连接器文档。

RiskIQ PassiveTotal

• 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 RiskIQ Passive Total 的事件扩充 playbook。
• 参阅有关使用 RiskIQ playbook 的详细信息。
• 请参阅 RiskIQ PassiveTotal 逻辑应用连接器文档。

VirusTotal

• 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 VirusTotal 的事件扩充 playbook。 搜索以“Get-VTURL”开头的子文件夹。
• 请参阅 VirusTotal 逻辑应用连接器文档。

相关内容

本文介绍了如何将威胁情报连接到 Microsoft Sentinel。 若要详细了解 Microsoft Sentinel，请参阅以下文章：

• 了解如何洞悉数据和潜在威胁。
• 开始使用 Microsoft Sentinel 检测威胁。