Integración de inteligencia sobre amenazas en Microsoft Sentinel

Microsoft Sentinel proporciona varias maneras diferentes de usar fuentes de inteligencia sobre amenazas para mejorar la capacidad de los analistas de seguridad de detectar y priorizar las amenazas conocidas.

Ahora puede usar uno de los muchos productos de la plataforma de inteligencia sobre amenazas integrada (TIP) disponibles, conectarse a servidores de TAXII para aprovechar cualquier origen de inteligencia sobre amenazas compatible con STIX y usar cualquier solución personalizada que pueda comunicarse directamente con la API Security tiIndicators de Microsoft Graph.

También puede conectarse a orígenes de inteligencia sobre amenazas a partir de cuadernos de estrategias, con el fin de enriquecer los incidentes con información de TI que puede ayudar a dirigir acciones de investigación y respuesta.

Fuentes de inteligencia sobre amenazas TAXII

Para conectarse a las fuentes de inteligencia sobre amenazas de TAXII, siga las instrucciones para conectar Microsoft Sentinel a fuentes de inteligencia sobre amenazas de TAXII o STIX, junto con los datos que proporciona cada proveedor vinculado a continuación. Es posible que tenga que ponerse en contacto directamente con el proveedor para obtener los datos necesarios para usarlos con el conector.

Anomali Limo

• Vea lo que necesita para conectarse a la fuente Anomali Limo.

Cybersixgill Darkfeed

• Más información sobre la integración de Cybersixgill con Microsoft Sentinel @Cybersixgill
• Para conectar Microsoft Sentinel a Cybersixgill TAXII Server y obtener acceso a Darkfeed, póngase en contacto con Cybersixgill para obtener la raíz de la API, el identificador de colección, el nombre de usuario y la contraseña.

Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC)

• Únase a FS-ISAC para obtener las credenciales para acceder a esta fuente.

Comunidad de intercambio de inteligencia sanitaria (H-ISAC)

• Únase a H-ISAC para obtener las credenciales para acceder a esta fuente.

IBM X-Force

• Más información sobre la integración de IBM X-Force

IntSights

• Obtenga más información sobre la integración de IntSights con Microsoft Sentinel @IntSights
• Para conectar Microsoft Sentinel al servidor TAXII de IntSights, obtenga la raíz de la API, el identificador de colección, el nombre de usuario y la contraseña del portal de IntSights después de configurar una directiva de los datos que desea enviar a Microsoft Sentinel.

ThreatConnect

• Más información sobre STIX y TAXII @ThreatConnect
• Documentación de servicios de TAXII @ThreatConnect

Productos de la plataforma de inteligencia sobre amenazas integrada

Para conectarse a fuentes de la plataforma de inteligencia sobre amenazas (TIP), siga las instrucciones para conectar las plataformas de inteligencia sobre amenazas a Microsoft Sentinel. En la segunda parte de estas instrucciones se le pedirá que escriba información en la solución TIP. Para más información, consulte los vínculos que se muestran a continuación.

Agari Phishing Defense y Agari Brand Protection

• Para conectar Agari Phishing Defense y Brand Protection, use el conector de datos de Agari integrado en Microsoft Sentinel.

Anomali ThreatStream

• Para descargar ThreatStream Integrator y sus extensiones, así como las instrucciones para conectar ThreatStream Intelligence a la API de Microsoft Graph Security, consulte la página de descargas de ThreatStream.

AlienVault Open Threat Exchange (OTX) de AT&T Cybersecurity

• AlienVault OTX usa Azure Logic Apps (cuadernos de estrategias) para conectarse a Microsoft Sentinel. Consulte las instrucciones especializadas necesarias para aprovechar al máximo la oferta completa.

Plataforma EclecticIQ

• La plataforma EclecticIQ se integra con Microsoft Sentinel para mejorar la detección y la búsqueda de amenazas, así como la respuesta ante ellas. Obtenga más información sobre las ventajas y los casos de uso de esta integración bidireccional.

GroupIB Threat Intelligence & Attribution

• Para conectar atribución e inteligencia sobre amenazas de GroupIB a Microsoft Sentinel, GroupIB usa Azure Logic Apps. Consulte las instrucciones especializadas necesarias para aprovechar al máximo la oferta completa.

Plataforma de inteligencia sobre amenazas de código abierto de MISP

• Para ver un script de ejemplo que proporciona a los clientes instancias de MISP para migrar indicadores de amenazas a Microsoft Graph Security API, consulte el artículo MISP to Microsoft Graph Security Script (MISP para un script de Microsoft Graph Security).
• Obtenga más información sobre el proyecto MISP.

Palo Alto Networks MineMeld

• Para configurar Palo Alto MineMeld con la información de conexión a Microsoft Sentinel, consulte el artículo sobre el envío de indicadores de riesgo a la API de seguridad de Microsoft Graph mediante MineMeld y vaya directamente al encabezado de configuración de MineMeId.

Plataforma de inteligencia de seguridad Recorded Future

• Recorded Future usa Azure Logic Apps (cuadernos de estrategias) para conectarse a Microsoft Sentinel. Consulte las instrucciones especializadas necesarias para aprovechar al máximo la oferta completa.

Plataforma ThreatConnect

• Consulte la guía de configuración de integración de indicadores de amenazas de seguridad de Microsoft Graph para obtener instrucciones para conectar ThreatConnect a Microsoft Sentinel.

Plataforma de inteligencia sobre amenazas ThreatQ

• Consulte el artículo sobre la integración de Microsoft Sentinel Connector para ThreatQ para obtener información de soporte técnico e instrucciones para conectar ThreatQuotient TIP a Microsoft Sentinel.

Orígenes de enriquecimiento de incidentes

Además de usarse para importar indicadores de amenazas, las fuentes de inteligencia sobre amenazas también pueden servir como origen para enriquecer la información de los incidentes y proporcionar más contexto para las investigaciones. Las fuentes siguientes sirven para este propósito y proporcionan cuadernos de estrategias de aplicación lógica para usarlos en la respuesta a incidentes automatizada.

HYAS Insight

• Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de HYAS Insight en el repositorio de GitHub de Microsoft Sentinel. Busque subcarpetas que comiencen por "Enrich-Sentinel-Incident-HYAS-Insight-".
• Consulte la documentación del conector de aplicaciones lógicas de HYAS Insight.

Plataforma de inteligencia de seguridad Recorded Future

• Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de Recorded Future en el repositorio de GitHub de Microsoft Sentinel. Busque subcarpetas que comiencen por "RecordedFuture_".
• Consulte la documentación del conector de aplicaciones lógicas de Recorded Future.

ReversingLabs TitaniumCloud

• Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de ReversingLabs en el repositorio de GitHub de Microsoft Sentinel.
• Consulte la documentación del conector de aplicaciones lógicas de ReversingLabs Intelligence.

RiskIQ PassiveTotal

• Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de RiskIQ Passive Total en el repositorio de GitHub de Microsoft Sentinel. Busque subcarpetas que comiencen por "Enrich-SentinelIncident-RiskIQ-".
• Consulte más información sobre cómo trabajar con cuadernos de estrategias de RiskIQ.
• Consulte la documentación del conector de aplicaciones lógicas de RiskIQ PassiveTotal.

VirusTotal

• Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes de VirusTotal en el repositorio de GitHub de Microsoft Sentinel. Busque subcarpetas que comiencen por "Get-VirusTotal" y "Get-VTURL".
• Consulte la documentación del conector de aplicaciones lógicas de VirusTotal.

Pasos siguientes

En este documento, ha aprendido a conectar su proveedor de inteligencia sobre amenazas a Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos.

• Aprenda a obtener visibilidad de los datos y de posibles amenazas.
• Empiece a detectar amenazas con Microsoft Sentinel.