共用方式為


Microsoft Sentinel 中的威脅情報整合

Microsoft Sentinel 提供一些使用威脅情報摘要的方式,以增強安全性分析師偵測以及排定已知威脅優先順序的能力:

提示

如果您在相同的租用戶中有多個工作區 (例如針對受控安全性服務提供者 (MSSP)),則僅將威脅指標連線到集中式工作區可能會更具成本效益。

當您將一組相同的威脅指標匯入每個個別工作區時,您可以執行跨工作區查詢,以彙總整個工作區的威脅指標。 將 MSSP 事件偵測、調查和搜捕體驗相互關聯。

TAXII 威脅情報摘要

若要連線到 TAXII 威脅情報摘要,請遵循指示,將 Microsoft Sentinel 連線到 STIX/TAXII 威脅情報摘要,以及每個廠商所提供的資料。 您可能需要直接連絡廠商,以取得與連接器搭配使用的必要資料。

強調網路威脅情報

Cybersixgill Darkfeed

Cyware 威脅情報 eXchange (CTIX)

Cyware TIP 的其中一個元件 CTIX,是要透過 TAXII 摘要讓 INTEL 可採取動作,以取得安全性資訊和事件管理。 對於 Microsoft Sentinel,遵循這裡的指示:

ESET

金融服務資訊共用與分析中心 (FS-ISAC)

  • 加入 FS-ISAC 以取得存取此摘要的認證。

健康情況情報共用社群 (H-ISAC)

  • 加入 H-ISAC 以取得存取此摘要的認證。

IBM X-Force

IntSights

  • 深入了解 IntSights integration with Microsoft Sentinel @IntSights
  • 將 Microsoft Sentinel 連線到 IntSights TAXII 伺服器。 在您設定要傳送至 Microsoft Sentinel 的資料原則之後,從 IntSights 入口網站取得 API 根目錄、集合識別碼、使用者名稱和密碼。

Kaspersky

Pulsedive

ReversingLabs

Sectrio

SEKOIA.IO

ThreatConnect

整合式威脅情報平台產品

若要連線到 TIP 摘要,請參閱將威脅情報平台連線到 Microsoft Sentinel。 請參閱下列解決方案,以了解需要哪些其他資訊。

Agari 網路釣魚防護和品牌保護

Anomali ThreatStream

從 AT&T 網路安全性 AlienVault Open Threat Exchange (OTX)

  • 了解 AlienVault OTX 如何使用 Azure Logic Apps (劇本) 來連線到 Microsoft Sentinel。 請參閱充分利用完整供應項目所需的特殊指示

EclecticIQ 平台

  • EclecticIQ 平台與 Microsoft Sentinel 整合,以增強威脅偵測、搜捕和回應。 深入瞭解此雙向整合的優點和使用案例

Filigran OpenCTI

GroupIB 威脅情報和屬性

MISP 開放原始碼威脅情報平台

  • 使用網路情報上傳指標 API 搭配 MISP2Sentinel,將威脅指標從 MISP 推送至 Microsoft Sentinel。
  • 請參閱 Azure Marketplace 中的 MISP2Sentinel
  • 深入了解 MISP 專案

Palo Alto Networks MineMeld

記錄未來的安全性智慧平台

  • 了解記錄的未來如何使用 Azure Logic Apps (劇本) 來連線到 Microsoft Sentinel。 請參閱充分利用完整供應項目所需的特殊指示

ThreatConnect 平台

ThreatQuotient 威脅情報平台

事件擴充來源

除了用來匯入威脅指標之外,威脅情報摘要也可以做為來源來擴充事件中的資訊,並將更多內容提供給調查。 下列摘要可以達到此目的,並提供 Logic Apps 劇本,以用於自動化事件回應。 在內容中樞中尋找這些擴充來源。

如需如何尋找及管理解決方案的詳細資訊,請參閱探索及部署現成可用的內容

HYAS Insight

Microsoft Defender 威脅情報

記錄未來的安全性智慧平台

ReversingLabs TitaniumCloud

RiskIQ PassiveTotal

VirusTotal

在本文中,您已了解如何將威脅情報提供者連線到 Microsoft Sentinel。 若要深入了解 Microsoft Sentinel,請參閱下列文章: