Microsoft Sentinel 中的威脅情報整合
Microsoft Sentinel 提供一些使用威脅情報摘要的不同方式,以增強安全性分析師偵測及排定已知威脅優先順序的能力。
- 使用諸多可用整合式威脅情報平台 (TIP) 產品之一。
- 連線到 TAXII 伺服器,以利用任何 STIX 相容的威脅情報來源。
- 直接連線到 Microsoft Defender 威脅情報摘要。
- 使用任何可直接與威脅情報上傳指標 API 通訊的自訂解決方案。
- 您也可從劇本連線至威脅情報來源,以擴充有助直接調查和回應動作的 TI 資訊事件。
提示
如果您在相同的租用戶中有多個工作區 (例如針對受控安全性服務提供者 (MSSP)),則僅將威脅指標連線到集中式工作區可能會更具成本效益。
當您將一組相同的威脅指標匯入每個個別工作區時,您可以執行跨工作區查詢,以彙總整個工作區的威脅指標。 將 MSSP 事件偵測、調查和搜捕體驗相互關聯。
TAXII 威脅情報摘要
若要連線到 TAXII 威脅情報摘要,請遵循指示,將 Microsoft Sentinel 連線到 STIX/TAXII 威脅情報摘要,以及每個廠商所提供的資料。 您可能需要直接連絡廠商,以取得與連接器搭配使用的必要資料。
強調網路威脅情報
Cybersixgill Darkfeed
- 了解 Cybersixgill 與 Microsoft Sentinel 整合。
- 若要將 Microsoft Sentinel 連線到 Cybersixgill TAXII 伺服器並取得 Darkfeed 的存取權,請連絡 azuresentinel@cybersixgill.com 以取得 API 根、集合識別碼、使用者名稱和密碼。
Cyware 威脅情報 eXchange (CTIX)
Cyware 威脅情報平台 CTIX 的其中一個元件是使用 SIEM 的 TAXII 摘要來執行 Intel。 如果是 Microsoft Sentinel,請遵循這裡的指示:
ESET
- 了解 ESET 的威脅情報供應項目。
- 若要將 Microsoft Sentinel 連線到 ESET TAXII 伺服器,請從 ESET 帳戶取得 API 根 URL、集合識別碼、使用者名稱和密碼。 然後遵循一般指示和 ESET 的知識庫文章。
金融服務資訊共用與分析中心 (FS-ISAC)
- 加入 FS-ISAC 以取得存取此摘要的認證。
健康情況情報共用社群 (H-ISAC)
- 加入 FS-ISAC 以取得存取此摘要的認證。
IBM X-Force
IntSights
- Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
- 若要將 Microsoft Sentinel 連線到 IntSights TAXII 伺服器,請在設定您想要傳送至 Microsoft Sentinel 的資料原則之後,從 IntSights 入口網站取得 API 根、集合識別碼、使用者名稱和密碼。
Kaspersky
Pulsedive
ReversingLabs
Sectrio
SEKOIA.IO
ThreatConnect
整合式威脅情報平台產品
若要連線到威脅情報平台 (TIP) 摘要,請參閱將威脅情報平台連線到 Microsoft Sentinel。 請參閱下列解決方案,以了解需要哪些其他資訊。
Agari 網路釣魚防護和品牌保護
- 若要連線 Agari 網路釣魚防禦和品牌保護,請使用 Microsoft Sentinel 中的內建 Agari 資料連線器。
Anomali ThreatStream
- 若要下載 ThreatStream 整合器和延伸模組,以及將 ThreatStream 情報連線到 Microsoft Graph 安全性 API 的指示,請參閱 ThreatStream 下載頁面。
從 AT&T 網路安全性 AlienVault Open Threat Exchange (OTX)
- AlienVault OTX 使用 Azure Logic Apps (劇本) 來連線到 Microsoft Sentinel。 請參閱充分利用完整供應項目所需的特殊指示。
EclecticIQ 平台
- EclecticIQ 平台與 Microsoft Sentinel 整合,以增強威脅偵測、搜捕和回應。 深入瞭解此雙向整合的優點和使用案例。
GroupIB 威脅情報和屬性
- 若要將 GroupIB 威脅情報和屬性連線到 Microsoft Sentinel,GroupIB 會使用 Azure Logic Apps。 請參閱充分利用完整供應項目所需的特殊指示。
MISP 開放原始碼威脅情報平台
- 使用 TI 上傳指標 API 搭配 MISP2Sentinel,將威脅指標從 MISP 推送至 Microsoft Sentinel。
- 以下是 MISP2Sentinel 的 Azure Marketplace 連結。
- 深入瞭解 MISP 專案。
Palo Alto Networks MineMeld
- 若要使用 Microsoft Sentinel 的連線資訊設定 Palo Alto MineMeld,請參閱使用 MineMeld 將 IOC 傳送至 Microsoft Graph 安全性 API,並跳至 MineMeld 設定標題。
記錄未來的安全性智慧平台
ThreatConnect 平台
- 如需將 ThreatConnect 連線至 Microsoft Sentinel 的指示,請參閱 Microsoft Graph 安全性威脅指標整合設定指南。
ThreatQuotient 威脅情報平台
- 如需將 ThreatQuotient TIP 連線至 Microsoft Sentinel 的支援資訊和指示,請參閱適用於 ThreatQ 整合的 Microsoft Sentinel 連接器。
事件擴充來源
除了用來匯入威脅指標之外,威脅情報摘要也可以做為來源來擴充事件中的資訊,並將更多內容提供給調查。 下列摘要可以達到此目的,並提供邏輯應用程式劇本,以用於自動化事件回應。 在內容中樞中尋找這些擴充來源。
如需如何尋找及管理解決方案的詳細資訊,請參閱探索及部署現成可用的內容。
HYAS Insight
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用 HYAS 深入解析的事件擴充劇本。 搜尋開頭為
Enrich-Sentinel-Incident-HYAS-Insight-
的子資料夾。 - 請參閱 HYAS 深入解析邏輯應用程式連接器文件。
Microsoft Defender 威脅情報
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用 Microsoft Defender 威脅情報的事件擴充劇本。
- 如需詳細資訊,請參閱 MDTI 技術社群部落格文章。
記錄未來的安全性智慧平台
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用記錄未來的事件擴充劇本。 搜尋開頭為
RecordedFuture_
的子資料夾。 - 請參閱記錄未來邏輯應用程式連接器文件。
ReversingLabs TitaniumCloud
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用 ReversingLabs 的事件擴充劇本。
- 請參閱 ReversingLabs TitaniumCloud Logic App 連接器文件。
RiskIQ 被動總計
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用 RiskIQ 被動總計的事件擴充劇本。
- 請參閱使用 RiskIQ 劇本的詳細資訊。
- 請參閱 RiskIQ 被動總計邏輯應用程式連接器文件。
Virus Total
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用病毒總計的事件擴充劇本。 搜尋開頭為
Get-VTURL
的子資料夾。 - 請參閱病毒總計邏輯應用程式連接器文件。
下一步
在本文件中,您已瞭解如何將威脅情報提供者連線到 Microsoft Sentinel。 若要深入瞭解 Microsoft Sentinel,請參閱下列文章。
- 學習如何洞察資料及潛在威脅。
- 開始 使用 Microsoft Sentinel 來偵測威脅。