Integrace analýzy hrozeb ve službě Microsoft Sentinel

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel nabízí několik různých způsobů použití informačních kanálů analýzy hrozeb k vylepšení schopnosti analytiků zabezpečení zjišťovat a určovat prioritu známých hrozeb.

• Použijte jeden z mnoha dostupných produktů pro integrovanou platformu analýzy hrozeb (TIP).
• Připojení servery TAXII, aby využívaly jakýkoli zdroj analýzy hrozeb kompatibilní s STIX.
• Připojení přímo do informačního kanálu Analýza hrozeb v programu Microsoft Defender.
• Využijte všechna vlastní řešení, která můžou komunikovat přímo s rozhraním API indikátorů nahrávání analýzy hrozeb.
• Můžete se také připojit ke zdrojům analýzy hrozeb z playbooků, abyste mohli rozšířit incidenty o informace TI, které můžou pomoct přímému vyšetřování a reakcím.

Tip

Pokud máte ve stejném tenantovi více pracovních prostorů, například pro poskytovatele spravovaných služeb zabezpečení (MSSP), může být cenově výhodnější připojit indikátory hrozeb pouze k centralizovaným pracovnímu prostoru.

Pokud máte stejnou sadu indikátorů hrozeb importovaných do každého samostatného pracovního prostoru, můžete spouštět dotazy mezi pracovními prostory, které agregují indikátory hrozeb napříč pracovními prostory. Korelujte je v rámci vašeho prostředí pro zjišťování, vyšetřování a proaktivní vyhledávání incidentů MSSP.

Informační kanály analýzy hrozeb TAXII

Pokud se chcete připojit k informačním kanálům analýzy hrozeb TAXII, připojte Microsoft Sentinel k informačním kanálům analýzy hrozeb STIX/TAXII spolu s daty poskytnutými jednotlivými dodavateli. Možná budete muset kontaktovat dodavatele přímo, abyste získali potřebná data pro použití s konektorem.

Accenture Cyber Threat Intelligence

• Seznamte se s integrací Funkce CTI (Accenture Cyber Threat Intelligence) se službou Microsoft Sentinel.

Cybersixgill Darkfeed

• Přečtěte si o integraci Cybersixgill s Microsoft Sentinelem.
• Pokud chcete Microsoft Sentinel připojit k serveru Cybersixgill TAXII a získat přístup k darkfeed, obraťte azuresentinel@cybersixgill.com se na získání kořenového adresáře rozhraní API, ID kolekce, uživatelského jména a hesla.

Cyware Threat Intelligence eXchange (CTIX)

Jednou z komponent platformy Cyware pro analýzu hrozeb, CTIX, je akce s informačním kanálem TAXII pro váš SIEM. V případě Microsoft Sentinelu postupujte podle těchto pokynů:

• Integrace s Microsoft Sentinelem

ESET

• Seznamte se s nabídkou analýzy hrozeb společnosti ESET.
• Pokud chcete microsoft Sentinel připojit k serveru ESET TAXII, získejte ze svého účtu ESET kořenovou adresu URL rozhraní API, ID kolekce, uživatelské jméno a heslo. Pak postupujte podle obecných pokynů a článku společnosti ESET znalostní báze.

Centrum pro sdílení a analýzu informací o finančních službách (FS-ISAC)

• Připojte se k FS-ISAC a získejte přihlašovací údaje pro přístup k tomuto informačnímu kanálu.

Komunita sdílení informací o stavu (H-ISAC)

• Připojte se k H-ISAC a získejte přihlašovací údaje pro přístup k tomuto informačnímu kanálu.

IBM X-Force

• Přečtěte si další informace o integraci IBM X-Force.

IntSights

• Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
• Pokud chcete Microsoft Sentinel připojit k serveru IntSights TAXII, získejte kořen rozhraní API, ID kolekce, uživatelské jméno a heslo z portálu IntSights po konfiguraci zásad dat, která chcete odeslat do Služby Microsoft Sentinel.

Kaspersky

• Seznamte se s integrací Společnosti Kaspersky se službou Microsoft Sentinel.

Pulsedive

• Přečtěte si o integraci Pulsedive s Microsoft Sentinelem.

ReversingLabs

• Přečtěte si o integraci ReversingLabs TAXII s Microsoft Sentinelem.

Sectrio

• Přečtěte si další informace o integraci Sectrio.
• Podrobný postup integrace informačního kanálu TI od Sectrio do Microsoft Sentinelu

SEKOIA. IO

• Přečtěte si informace o SEKOIA. Integrace vstupně-výstupních operací s Microsoft Sentinelem

ThreatConnect

• Přečtěte si další informace o STIX a TAXII na platformě Threat Připojení.
• Viz dokumentace ke službám TAXII na webu Threat Připojení

Integrované produkty platformy analýzy hrozeb

Pokud se chcete připojit k informačním kanálům TIP (Threat Intelligence Platform), podívejte se na odkazy na platformy Analýzy hrozeb k Microsoft Sentinelu. Informace o tom, jaké další informace jsou potřeba, najdete v následujících řešeních.

Agari Phishing Defense a Brand Protection

• Pokud chcete připojit Agari Phishing Defense a Brand Protection, použijte integrovaný datový konektor Agari v Microsoft Sentinelu.

Anomálie ThreatStream

• Pokud chcete stáhnout integrátor ThreatStream a rozšíření a pokyny pro připojení analýzy ThreatStream k Rozhraní API pro zabezpečení Microsoft Graphu, podívejte se na stránku pro stahování ThreatStream.

AlienVault Open Threat Exchange (OTX) od AT&T Cybersecurity

• AlienVault OTX využívá Azure Logic Apps (playbooky) k připojení k Microsoft Sentinelu. Podívejte se na specializované pokyny potřebné k tomu, abyste plně využili kompletní nabídky.

EclecticIQ Platform

• Platforma EclecticIQ se integruje se službou Microsoft Sentinel za účelem zvýšení detekce hrozeb, proaktivního vyhledávání a reakce. Přečtěte si další informace o výhodách a případech použití této obousměrné integrace.

GroupIB Threat Intelligence and Attribution

• K propojení analýzy hrozeb GroupIB a přiřazení k Microsoft Sentinelu využívá GroupIB Azure Logic Apps. Podívejte se na specializované pokyny potřebné k tomu, abyste plně využili kompletní nabídky.

Platforma MISP Open Source Threat Intelligence

• Nasdílení indikátorů hrozeb z MISP do Microsoft Sentinelu pomocí rozhraní API indikátorů nahrání TI s MISP2Sentinel.
• Tady je odkaz na Azure Marketplace pro MISP2Sentinel.
• Přečtěte si další informace o projektu MISP.

Palo Alto Networks MineMeld

• Pokud chcete nakonfigurovat Palo Alto MineMeld s informacemi o připojení ke službě Microsoft Sentinel, přečtěte si téma Odesílání vstupně-výstupních operací do služby Microsoft Graph Rozhraní API pro zabezpečení pomocí MineMeldu a přeskočte na nadpis Konfigurace MineMeld.

Zaznamenání budoucí platformy Security Intelligence

• Funkce Recorded Future využívá Azure Logic Apps (playbooky) k připojení k Microsoft Sentinelu. Podívejte se na specializované pokyny potřebné k tomu, abyste plně využili kompletní nabídky.

Hrozba Připojení Platform

• Pokyny pro připojení Připojení hrozeb k Microsoft Sentinelu najdete v průvodci konfigurací indikátorů hrozeb v Microsoft Graphu.

ThreatQuotient Threat Intelligence Platform

• Informace o podpoře a pokyny pro připojení tipu ThreatQuotient k Microsoft Sentinelu najdete v Připojení oru Microsoft Sentinelu pro integraci ThreatQ.

Zdroje rozšiřování incidentů

Kromě toho, že se používají k importu indikátorů hrozeb, můžou informační kanály analýzy hrozeb sloužit také jako zdroj k obohacení informací ve vašich incidentech a poskytnutí dalšího kontextu pro vyšetřování. Následující informační kanály slouží k tomuto účelu a poskytují playbooky aplikace logiky, které se použijí v automatizované reakci na incidenty. Tyto zdroje rozšiřování najdete v centru obsahu.

Další informace o tom, jak najít a spravovat řešení, najdete v tématu Zjišťování a nasazení obsahu před nasazením.

HYAS Insight

• Vyhledejte a povolte playbooky pro rozšiřování incidentů pro přehled HYAS v úložišti GitHub pro Microsoft Sentinel. Vyhledejte podsložky začínající na Enrich-Sentinel-Incident-HYAS-Insight-.
• Viz dokumentace ke konektoru logic appu HYAS Insight.

Microsoft Defender Analýza hrozeb

• Vyhledejte a povolte playbooky pro rozšiřování incidentů pro Analýza hrozeb v programu Microsoft Defender v úložišti Microsoft Sentinel Na GitHubu.
• Další informace najdete v blogovém příspěvku technické komunity MDTI.

Zaznamenání budoucí platformy Security Intelligence

• Vyhledejte a povolte playbooky pro rozšiřování incidentů v úložišti Microsoft Sentinel Na GitHubu pro zaznamenané budoucnost. Vyhledejte podsložky začínající na RecordedFuture_.
• Viz dokumentace ke konektoru Zaznamenané budoucí aplikace logiky.

ReversingLabs TitaniumCloud

• Vyhledejte a povolte playbooky pro rozšiřování incidentů pro ReversingLabs v úložišti Microsoft Sentinel Na GitHubu.
• Viz dokumentace k konektoru ReversingLabs TitanumCloud Logic App.

RiskIQ Passive Total

• V úložišti Microsoft Sentinel Na GitHubu vyhledejte a povolte playbooky pro rozšiřování incidentů pro riskIQ Passive Total.
• Podívejte se na další informace o práci s playbooky RiskIQ.
• Viz dokumentace ke konektoru Aplikace logiky RiskIQ PassiveTotal.

Virus Total

• V úložišti Microsoft Sentinel Na GitHubu vyhledejte a povolte playbooky pro rozšiřování incidentů pro virus Total. Vyhledejte podsložky začínající na Get-VTURL.
• Viz dokumentace ke konektoru Virus Total Logic App.

Další kroky

V tomto dokumentu jste zjistili, jak propojit poskytovatele analýzy hrozeb s Microsoft Sentinelem. Další informace o Službě Microsoft Sentinel najdete v následujících článcích.

• Zjistěte, jak získat přehled o datech a potenciálních hrozbách.
• Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel.