Připojení informační kanály analýzy hrozeb pro STIX/TAXII od microsoftu

viz také: Připojení vaše platforma pro průzkum hrozeb (TIP) na Microsoft Sentinel .

Nejčastěji přijatý oborový standard pro přenos analýzy hrozeb je kombinací formátu dat Stix a protokolu TAXII. Pokud vaše organizace obdrží indikátory hrozeb z řešení, která podporují aktuální verzi STIX/TAXII (2,0 nebo 2,1), můžete pomocí konektoru data Intelligence – TAXII data Connector přenést své indikátory hrozeb do programu Microsoft Sentinel. Tento konektor umožňuje integrovanému klientovi TAXII v nástroji Microsoft Sentinel importovat analýzy hrozeb ze serverů TAXII 2. x.

Pokud chcete importovat STIX naformátované ukazatele hrozeb do Microsoft Sentinel ze serveru TAXII, musíte získat kořen rozhraní API serveru TAXII a ID kolekce a pak povolit konektor dat Intelligence-TAXII v nástroji Microsoft Sentinel.

Přečtěte si další informace o analýze hrozeb v Microsoft Sentinel a konkrétně o kanálech TAXII Threat Intelligence , které je možné integrovat s Microsoft Sentinel.

Požadavky

• Abyste mohli ukládat indikátory hrozeb, musíte mít oprávnění ke čtení a zápisu do pracovního prostoru Microsoft Sentinel.
• Musíte mít kořenový identifikátor URI TAXII 2,0 nebo TAXII 2,1 rozhraní API a ID kolekce.

Získání ID kořene a ID kolekce rozhraní API serveru TAXII

TAXII 2. x servery inzerují kořeny rozhraní API, což jsou adresy URL, které hostují kolekce analýz hrozeb. Kořen rozhraní API a ID kolekce obvykle můžete najít na stránkách dokumentace poskytovatele analýzy hrozeb, který je hostitelem serveru TAXII.

Vyhledání kořenového adresáře rozhraní API pomocí kudrlinkou

tady je příklad, jak použít nástroj příkazového řádku kudrlinkou , který je k dispozici ve Windows a většině distribucí pro Linux, ke zjištění kořenu rozhraní API a procházení kolekcí serveru TAXII, který byl přiřazen pouze ke koncovému bodu zjišťování. Pomocí koncového bodu zjišťování anomálií Limo ThreatStream TAXII 2,0 můžete požádat o kořenový identifikátor URI rozhraní API a pak o kolekce.

1. V prohlížeči přejděte na koncový bod zjišťování serveru ThreatStream TAXII 2,0 na adrese https://limo.anomali.com/taxii a načtěte kořenový adresář rozhraní API. Ověřte pomocí uživatelského jména a hesla guest .

   Zobrazí se následující odpověď:

   {
       "api_roots":
       [
           "https://limo.anomali.com/api/v1/taxii2/feeds/",
           "https://limo.anomali.com/api/v1/taxii2/trusted_circles/",
           "https://limo.anomali.com/api/v1/taxii2/search_filters/"
       ],
       "contact": "info@anomali.com",
       "default": "https://limo.anomali.com/api/v1/taxii2/feeds/",
       "description": "TAXII 2.0 Server (guest)",
       "title": "ThreatStream Taxii 2.0 Server"
   }
   

2. Použijte nástroj kudrlinkou a kořen rozhraní API ( https://limo.anomali.com/api/v1/taxii2/feeds/) z předchozí odpovědi, připojením " collections/ " k kořenovému adresáři rozhraní API a procházejte seznam ID kolekcí hostovaných v kořenovém adresáři rozhraní API:

   curl -u guest https://limo.anomali.com/api/v1/taxii2/feeds/collections/
   

   Po opětovném ověření pomocí hesla hosta se zobrazí následující odpověď:

   {
       "collections":
       [
           {
               "can_read": true,
               "can_write": false,
               "description": "",
               "id": "107",
               "title": "Phish Tank"
           },
           {
               "can_read": true,
               "can_write": false,
               "description": "",
               "id": "135",
               "title": "Abuse.ch Ransomware IPs"
           },
           {
               "can_read": true,
               "can_write": false,
               "description": "",
               "id": "136",
               "title": "Abuse.ch Ransomware Domains"
           },
           {
               "can_read": true,
               "can_write": false,
               "description": "",
               "id": "150",
               "title": "DShield Scanning IPs"
           },
           {
               "can_read": true,
               "can_write": false,
               "description": "",
               "id": "200",
               "title": "Malware Domain List - Hotlist"
           },
           {
               "can_read": true,
               "can_write": false,
               "description": "",
               "id": "209",
               "title": "Blutmagie TOR Nodes"
           },
           {
               "can_read": true,
               "can_write": false,
               "description": "",
               "id": "31",
               "title": "Emerging Threats C&C Server"
           },
           {
               "can_read": true,
               "can_write": false,
               "description": "",
               "id": "33",
               "title": "Lehigh Malwaredomains"
           },
           {
               "can_read": true,
               "can_write": false,
               "description": "",
               "id": "41",
               "title": "CyberCrime"
           },
           {
               "can_read": true,
               "can_write": false,
               "description": "",
               "id": "68",
               "title": "Emerging Threats - Compromised"
           }
       ]
   }
   

Nyní máte všechny informace, které potřebujete k připojení Microsoft Sentinel k jedné nebo více kolekcím serveru TAXII, které nabízí anomálie Limo.

Povolení konektoru pro analýzu hrozeb – TAXII data Connector ve službě Microsoft Sentinel

Pokud chcete naimportovat indikátory hrozeb do Microsoft Sentinel ze serveru TAXII, postupujte takto:

1. Z Azure Portalpřejděte ke službě Microsoft Sentinel .

2. Vyberte pracovní prostor , do kterého chcete naimportovat indikátory hrozeb ze serveru TAXII.

3. V nabídce vyberte datové konektory , z Galerie konektorů vyberte Threat Intelligence-TAXII a klikněte na tlačítko otevřít stránku konektoru .

4. Zadejte popisný název pro tuto kolekci serveru TAXII, adresu URL kořenového adresáře rozhraní API, ID kolekce, uživatelské jméno (v případě potřeby) a heslo (Pokud se vyžaduje) a vyberte skupinu ukazatelů a požadovanou frekvenci cyklického dotazování. Vyberte tlačítko Přidat .

   

Měli byste obdržet potvrzení, že připojení k TAXII serveru bylo úspěšně navázáno, a můžete opakovat poslední krok výše, kolikrát chcete, abyste se připojili k více kolekcím z jednoho nebo více serverů TAXII.

Během několika minut by se měly indikátory hrozby začít přesměrovat do tohoto pracovního prostoru Microsoft Sentinel. Nové indikátory najdete v okně Analýza hrozeb přístupné z navigační nabídky Microsoft Sentinel.

Výpis povolených IP adres pro klienta Microsoft Sentinel TAXII

Některé servery TAXII, jako je například FS-ISAC, mají požadavek na zachování IP adres klienta Microsoft Sentinel TAXII v povolených. Většina serverů TAXII tento požadavek nemá.

V případě potřeby jsou tyto IP adresy zahrnuté do vaší povolených:

Další kroky

V tomto dokumentu jste zjistili, jak pomocí protokolu TAXII připojit kanály Microsoft Sentinel k bezpečnostním kanálům pro Threat Intelligence. Další informace o nástroji Microsoft Sentinel najdete v následujících článcích.

• Naučte se, jak získat přehled o vašich datech a potenciálních hrozbách.
• Začněte s detekcí hrozeb pomocí ověřovacího programu Microsoft Sentinel.