Integrace analýzy hrozeb v Microsoft Sentinel
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Microsoft Sentinel nabízí několik různých způsobů, jak pomocí kanálů analýzy hrozeb vylepšit schopnost analytiků zabezpečení detekovat a upřednostňovat známé hrozby.
můžete použít jeden z mnoha dostupných integrovaných produktů pro analýzu hrozeb (threat intelligence platform), můžete se připojit k serverům TAXII a využít tak všechny zdroje informací o kompatibilitě kompatibilní s STIX a můžete také využít všechna vlastní řešení, která mohou komunikovat přímo s rozhraním API Microsoft Graph Security tiIndicators.
Můžete se také připojit ke zdrojům analýzy hrozeb z playbooky, abyste mohli vylepšit incidenty pomocí informací ČŘ, které mohou přispět k přímému šetření a akcím na reakci.
Tip
Pokud máte ve stejném tenantovi víc pracovních prostorů, jako je třeba pro poskytovatele spravovaných služeb (MSSPs), může být cenově výhodnější propojit indikátory hrozeb jenom s centralizovaným pracovním prostorem.
Když máte stejnou sadu indikátorů hrozeb naimportované do každého samostatného pracovního prostoru, můžete spustit dotazy napříč pracovními prostory a agregovat tak indikátory hrozeb napříč vašimi pracovními prostory. V rámci svých MSSPch incidentů, šetření a loveckého prostředí je koreluje.
Informační kanály pro TAXII Threat Intelligence
Pokud se chcete připojit k kanálům TAXII Threat Intelligence, postupujte podle pokynů pro připojení Microsoft Sentinel k Stix/TAXII kanálů analýzy hrozebspolu s daty poskytnutými každým dodavatelem propojeným níže. Aby bylo možné získat potřebná data pro použití s konektorem, bude pravděpodobně nutné kontaktovat dodavatele přímo.
Anomálie Limo
Cybersixgill Darkfeed
- Další informace o integraci Cybersixgill s Microsoft Sentinel @Cybersixgill
- Pokud chcete připojit Microsoft Sentinel k Cybersixgill serveru TAXII a získat přístup k Darkfeed, kontaktujte Cybersixgill , abyste získali rozhraní API root, ID kolekce, username a Password.
Sdílení informací finančních služeb a centrum pro analýzu (FS – ISAC)
- Připojte se k FS-ISAC a získejte přihlašovací údaje pro přístup k tomuto informačnímu kanálu.
Komunita pro sdílení informací o stavu (H-ISAC)
- Připojte se ke službě H-ISAC a získejte přihlašovací údaje pro přístup k tomuto informačnímu kanálu.
IBM X – Force
IntSights
- Další informace o integraci IntSights s Microsoft Sentinel @IntSights
- Pokud chcete připojit Microsoft Sentinel k serveru IntSights TAXII, Získejte kořen rozhraní API, ID kolekce, uživatelské jméno a heslo z portálu IntSights po nakonfigurování zásad pro data, která chcete odeslat do Microsoft Sentinel.
ThreatConnect
Sectrio
- Další informace o integraci Sectrio
- Podrobný postup pro integraci Sectrioového kanálu ČŘ do Microsoft Sentinel
Integrované produkty pro platformu pro analýzu hrozeb
Pokud se chcete připojit k kanálům pro platformu Threat Intelligence Platform (TIP), postupujte podle pokynů pro propojení platforem pro analýzu hrozeb s protokolem Microsoft Sentinel. Druhá část těchto pokynů volá, abyste zadali informace do svého řešení TIP. Další informace najdete v odkazech níže.
Antivirová ochrana proti útokům phishing a ochrana značky
- Pokud se chcete připojit k ochraně před útoky phishing a ochranou značek, použijte integrovaný konektor dat v programu Microsoft Sentinel.
Anomálie ThreatStream
- chcete-li stáhnout integrátor a rozšíření ThreatStreama pokyny pro připojení ThreatStream intelligence k rozhraní API zabezpečení Microsoft Graph, přečtěte si stránku ThreatStream ke_stažení .
AlienVault Open Threat Exchange (OTX) z&T kyberbezpečnosti
- AlienVault OTX využívá Azure Logic Apps (playbooky) pro připojení k ověřovací službě Microsoft Sentinel. Seznamte se se specializovanými pokyny potřebnými k plnému využití kompletní nabídky.
Platforma EclecticIQ
- Platforma EclecticIQ se integruje s Microsoft Sentinelem a vylepšuje detekci hrozeb, jejich lov a reakci. Přečtěte si další informace o výhodách a případech použití této oboustranné integrace.
GroupIB a přidělení hrozeb
- Za účelem připojení GroupIB Threat Intelligence a navýšení do programu Microsoft Sentinel GroupIB využívá Azure Logic Apps. Seznamte se se specializovanými pokyny potřebnými k plnému využití kompletní nabídky.
Platforma MISP Open Source Threat Intelligence
- vzorový skript, který poskytuje klientům MISP instance pro migraci indikátorů hrozeb do rozhraní API zabezpečení Microsoft Graph, najdete v tématu MISP to Microsoft Graph security script.
- Přečtěte si další informace o MISP Project.
Palo Alto Networks MineMeld
- pokud chcete nakonfigurovat Palo Alto MineMeld s informacemi o připojení ke službě Microsoft Sentinel, přečtěte si téma odeslání IOCs do rozhraní API zabezpečení Microsoft Graph pomocí MineMeld a přejděte k záhlaví konfigurace MineMeld .
Zaznamenaná budoucí platforma Security Intelligence
- zaznamenaná budoucnost používá Azure Logic Apps (playbooky) pro připojení k ověřovací službě Microsoft Sentinel. Seznamte se se specializovanými pokyny potřebnými k plnému využití kompletní nabídky.
Platforma ThreatConnect
- pokyny k připojení ThreatConnect ke službě Microsoft Sentinel najdete v průvodci konfigurací integrace indikátory ohrožení zabezpečení Microsoft Graph .
Platforma ThreatQuotient Threat Intelligence
- Informace o podpoře a pokyny, jak připojit THREATQUOTIENT Tip k programu Microsoft Sentinel, najdete v tématu Microsoft Sentinel Connector for ThreatQ Integration .
Zdroje rozšíření incidentů
Kromě toho, že se používá k importu indikátorů hrozeb, můžou informační kanály pro analýzu hrozeb sloužit jako zdroj pro rozšíření informací ve vašich incidentech a k zajištění většího kontextu pro vaše vyšetřování. Následující kanály slouží k tomuto účelu a poskytují playbooky aplikace logiky, které se použijí při automatické reakci na incidenty.
Přehled HYAS
- vyhledejte a povolte playbooky rozšíření incidentů pro HYAS Insight v úložišti Microsoft Sentinel GitHub. Vyhledejte podsložky začínající na "obohacení-Sentinel-incident-HYAS-Insight-".
- Podívejte se na dokumentaci k HYAS Insight Logic App Connectoru.
Zaznamenaná budoucí platforma Security Intelligence
- vyhledejte a povolte playbookyi rozšíření incidentů pro zaznamenanou budoucnost v úložišti GitHub Microsoft Sentinel. Vyhledá podsložky začínající řetězcem "RecordedFuture_".
- Podívejte se do dokumentace k nahranému budoucímu konektoruaplikace logiky.
ReversingLabs TitaniumCloud
- vyhledejte a povolte playbooky rozšíření incidentů pro ReversingLabs v úložišti Microsoft Sentinel GitHub.
- Podívejte se na dokumentaci ke konektoruaplikace logiky ReversingLabs Intelligence.
RiskIQ pasivní celkem
- vyhledejte a povolte playbooky rozšíření incidentů pro RiskIQ pasivního součtu v úložišti Microsoft Sentinel GitHub. Vyhledejte podsložky začínající na "obohacení-SentinelIncident-RiskIQ-".
- Podívejte se na Další informace o práci s RiskIQ playbooky.
- Podívejte se na dokumentaci ke konektoruaplikace logiky RiskIQ PassiveTotal.
Celkový počet virů
- vyhledejte a povolte playbooky rozšíření incidentů pro celkový počet virů v úložišti Microsoft Sentinel GitHub. Vyhledejte podsložky začínající na Get-VirusTotal a Get-VTURL.
- Podívejte se na dokumentaci Total Logic App Connector.
Další kroky
V tomto dokumentu jste zjistili, jak připojit poskytovatele analýzy hrozeb ke službě Microsoft Sentinel. Další informace o nástroji Microsoft Sentinel najdete v následujících článcích.