Microsoft Sentinel 中的威脅情報整合
Microsoft Sentinel 提供一些使用威脅情報摘要的方式,以增強安全性分析師偵測以及排定已知威脅優先順序的能力:
- 使用諸多可用整合式威脅情報平台 (TIP) 產品之一。
- 連線到 TAXII 伺服器,以利用任何 STIX 相容的威脅情報來源。
- 直接連線到 Microsoft Defender 威脅情報摘要。
- 使用任何可直接與威脅情報上傳指標 API 通訊的自訂解決方案。
- 從劇本連線至威脅情報來源,以有助直接調查和回應動作的威脅情報資訊來擴充事件。
提示
如果您在相同的租用戶中有多個工作區 (例如針對受控安全性服務提供者 (MSSP)),則僅將威脅指標連線到集中式工作區可能會更具成本效益。
當您將一組相同的威脅指標匯入每個個別工作區時,您可以執行跨工作區查詢,以彙總整個工作區的威脅指標。 將 MSSP 事件偵測、調查和搜捕體驗相互關聯。
TAXII 威脅情報摘要
若要連線到 TAXII 威脅情報摘要,請遵循指示,將 Microsoft Sentinel 連線到 STIX/TAXII 威脅情報摘要,以及每個廠商所提供的資料。 您可能需要直接連絡廠商,以取得與連接器搭配使用的必要資料。
強調網路威脅情報
Cybersixgill Darkfeed
- 了解 Cybersixgill 與 Microsoft Sentinel 整合。
- 將 Microsoft Sentinel 連線到 Cybersixgill TAXII 伺服器,並取得 Darkfeed 的存取權。 連絡 azuresentinel@cybersixgill.com,以取得 API 根目錄、集合識別碼、使用者名稱和密碼。
Cyware 威脅情報 eXchange (CTIX)
Cyware TIP 的其中一個元件 CTIX,是要透過 TAXII 摘要讓 INTEL 可採取動作,以取得安全性資訊和事件管理。 對於 Microsoft Sentinel,遵循這裡的指示:
ESET
- 了解 ESET 的威脅情報供應項目。
- 將 Microsoft Sentinel 連接到 ESET TAXII 伺服器。 從 ESET 帳戶取得 API 根 URL、集合識別碼、使用者名稱和密碼。 然後遵循一般指示和 ESET 的知識庫文章。
金融服務資訊共用與分析中心 (FS-ISAC)
- 加入 FS-ISAC 以取得存取此摘要的認證。
健康情況情報共用社群 (H-ISAC)
- 加入 H-ISAC 以取得存取此摘要的認證。
IBM X-Force
- 深入了解 IBM X-Force 整合。
IntSights
- 深入了解 IntSights integration with Microsoft Sentinel @IntSights。
- 將 Microsoft Sentinel 連線到 IntSights TAXII 伺服器。 在您設定要傳送至 Microsoft Sentinel 的資料原則之後,從 IntSights 入口網站取得 API 根目錄、集合識別碼、使用者名稱和密碼。
Kaspersky
Pulsedive
ReversingLabs
Sectrio
SEKOIA.IO
ThreatConnect
整合式威脅情報平台產品
若要連線到 TIP 摘要,請參閱將威脅情報平台連線到 Microsoft Sentinel。 請參閱下列解決方案,以了解需要哪些其他資訊。
Agari 網路釣魚防護和品牌保護
- 若要連線 Agari 網路釣魚防禦和品牌保護,請使用 Microsoft Sentinel 中的內建 Agari 資料連線器。
Anomali ThreatStream
- 若要下載 ThreatStream 整合器和延伸模組,以及將 ThreatStream 情報連線到 Microsoft Graph 安全性 API 的指示,請參閱 ThreatStream 下載頁面。
從 AT&T 網路安全性 AlienVault Open Threat Exchange (OTX)
- 了解 AlienVault OTX 如何使用 Azure Logic Apps (劇本) 來連線到 Microsoft Sentinel。 請參閱充分利用完整供應項目所需的特殊指示。
EclecticIQ 平台
- EclecticIQ 平台與 Microsoft Sentinel 整合,以增強威脅偵測、搜捕和回應。 深入瞭解此雙向整合的優點和使用案例。
Filigran OpenCTI
- Filigran OpenCTI 可以透過 即時執行的專用連接器 ,或作為 Sentinel 定期輪詢的 TAXII 2.1 伺服器,將威脅情報傳送至Microsoft Sentinel。 它也可以透過Microsoft Sentinel 事件連接器,從 Sentinel 接收結構化事件。
GroupIB 威脅情報和屬性
- 若要將 GroupIB 威脅情報和屬性連線到 Microsoft Sentinel,GroupIB 會使用 Logic Apps。 請參閱充分利用完整供應項目所需的特殊指示。
MISP 開放原始碼威脅情報平台
- 使用網路情報上傳指標 API 搭配 MISP2Sentinel,將威脅指標從 MISP 推送至 Microsoft Sentinel。
- 請參閱 Azure Marketplace 中的 MISP2Sentinel。
- 深入了解 MISP 專案。
Palo Alto Networks MineMeld
- 若要使用 Microsoft Sentinel 的連線資訊設定 Palo Alto MineMeld,請參閱使用 MineMeld 將 IOC 傳送至 Microsoft Graph 安全性 API。 移至 [MineMeld 組態] 標題。
記錄未來的安全性智慧平台
ThreatConnect 平台
- 如需將 ThreatConnect 連線至 Microsoft Sentinel 的指示,請參閱 Microsoft Graph 安全性威脅指標整合設定指南。
ThreatQuotient 威脅情報平台
- 如需將 ThreatQuotient TIP 連線至 Microsoft Sentinel 的支援資訊和指示,請參閱適用於 ThreatQ 整合的 Microsoft Sentinel 連接器。
事件擴充來源
除了用來匯入威脅指標之外,威脅情報摘要也可以做為來源來擴充事件中的資訊,並將更多內容提供給調查。 下列摘要可以達到此目的,並提供 Logic Apps 劇本,以用於自動化事件回應。 在內容中樞中尋找這些擴充來源。
如需如何尋找及管理解決方案的詳細資訊,請參閱探索及部署現成可用的內容。
HYAS Insight
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用 HYAS 深入解析的事件擴充劇本。 搜尋開頭為
Enrich-Sentinel-Incident-HYAS-Insight-
的子資料夾。 - 請參閱 HYAS 深入解析 Logic Apps 連接器文件。
Microsoft Defender 威脅情報
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用 Microsoft Defender 威脅情報的事件擴充劇本。
- 如需詳細資訊,請參閱 Defender 威脅情報技術社群部落格文章。
記錄未來的安全性智慧平台
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用記錄未來的事件擴充劇本。 搜尋開頭為
RecordedFuture_
的子資料夾。 - 請參閱記錄未來 Logic Apps 連接器文件。
ReversingLabs TitaniumCloud
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用 ReversingLabs 的事件擴充劇本。
- 請參閱 ReversingLabs TitaniumCloud Logic Apps 連接器文件。
RiskIQ PassiveTotal
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用 RiskIQ 被動總計的事件擴充劇本。
- 請參閱使用 RiskIQ 劇本的詳細資訊。
- 請參閱 RiskIQ 被動總計 Logic Apps 連接器文件。
VirusTotal
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用 VirusTotal 事件擴充劇本。 搜尋開頭為
Get-VTURL
的子資料夾。 - 請參閱病毒總計 Logic Apps 連接器文件。
相關內容
在本文中,您已了解如何將威脅情報提供者連線到 Microsoft Sentinel。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 學習如何洞察資料及潛在威脅。
- 開始 使用 Microsoft Sentinel 來偵測威脅。