共用方式為

將 Microsoft Sentinel 連線至 STIX/TAXII 威脅情報摘要

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

用於傳輸威脅情報的最廣泛採用業界標準是 STIX 資料格式和 TAXII 通訊協定的組合。 如果組織從支援目前 STIX/TAXII 版本 (2.0 或 2.1) 的解決方案收到威脅指標,您可使用威脅情報 - TAXII 資料連接器將威脅指標帶入 Microsoft Sentinel。 此連接器可讓 Microsoft Sentinel 中的內建 TAXII 用戶端從 TAXII 2.x 伺服器匯入威脅情報。

TAXII 匯入路徑

若要從 TAXII 伺服器將 STIX 格式的威脅指標匯入 Microsoft Sentinel,您必須取得 TAXII 伺服器 API 根目錄和集合識別碼,然後在 Microsoft Sentinel 中啟用威脅情報 - TAXII 資料連接器。

深入了解 Microsoft Sentinel 中的威脅情報,特別是可與 Microsoft Sentinel 整合的 TAXII 威脅情報摘要

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

重要

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

請參閱將威脅情報平台 (TIP) 連接至 Microsoft Sentinel

必要條件

  • 若要在內容中樞安裝、更新和刪除獨立內容或解決方案,您需要資源群組層級的 Microsoft Sentinel 參與者 角色。
  • 您必須擁有 Microsoft Sentinel 工作區的讀取和寫入權限,才能儲存威脅指標。
  • 您必須有 TAXII 2.0 或 TAXII 2.1 API 根目錄 URI集合識別碼

取得 TAXII 伺服器 API 根目錄和集合識別碼

TAXII 2.x 伺服器會通告 API 根目錄,也就是裝載威脅情報集合的 URL。 您通常可以在裝載 TAXII 伺服器的威脅情報提供者的文件頁面中找到 API 根目錄和集合識別碼。

注意

在某些情況下,提供者只會通告稱為探索端點的 URL。 您可以使用 cURL 公用程式來瀏覽探索端點並要求 API 根目錄。

在 Microsoft Sentinel 中安裝威脅情報解決方案

若要將來自 TAXII 伺服器的威脅指標匯入 Microsoft Sentinel,請遵循這些步驟:

  1. 對於 Azure 入口網站 中的 Microsoft Sentinel,在 [內容管理] 下方,選取 [內容中樞]
    對於 Defender 入口網站 中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[内容管理]>[內容中樞]

  2. 尋找並選取 [威脅情報] 解決方案。

  3. 選取 [安裝/更新] 按鈕。

如需如何管理解決方案元件的詳細資訊,請參閱探索及部署現成可用的內容 (部分機器翻譯)。

啟用威脅情報 - TAXII 資料連接器

  1. 若要設定 TAXII 資料連接器,請選取 [資料連接器] 功能表。

  2. 尋找並選取 [威脅情報 - TAXII][資料連接器]>[開啟連接器] 頁面 按鈕。

    顯示資料連接器頁面的螢幕擷取畫面,其中列出 TAXII 資料連接器。

  3. 輸入此 TAXII 伺服器集合的易記名稱API 根目錄 URL集合識別碼使用者 名稱 (如必要),以及密碼 (如必要),然後選擇指標群組和您想要的輪詢頻率。 選取新增按鈕。

    設定 TAXII 伺服器

您應該會收到 TAXII 伺服器的連線已成功建立的確認,而您可能會重複上述步驟多次,以從一或多部 TAXII 伺服器連接至多個集合。

在幾分鐘內,威脅指標應該就會開始流入此 Microsoft Sentinel 工作區。 您可以從 Microsoft Sentinel 導覽功能表中存取 [威脅情報] 刀鋒視窗,在其中尋找這些新指標。

Microsoft Sentinel TAXII 用戶端的 IP 允許清單

某些 TAXII 伺服器,例如 FS-ISAC,會要求必須在允許清單上保留 Microsoft Sentinel TAXII 用戶端的 IP 位址。 大部分 TAXII 伺服器都沒有此要求。

有需要時,下列 IP 位址是要包含至您的允許清單的 IP 位址:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

相關內容

在本文件中,您已了解如何使用 TAXII 通訊協定將 Microsoft Sentinel 連接至威脅情報摘要。 若要深入瞭解 Microsoft Sentinel,請參閱下列文章。