Verbinding maken Microsoft Sentinel naar feeds met bedreigingsinformatie van STIX/TAXII
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
Notitie
Zie de Microsoft Sentinel-tabellen in Cloud-functiebeschikbaarheid voor Amerikaanse overheidsklanten voor meer informatie over de beschikbaarheid van functies in clouds voor de Amerikaanse overheid.
Zie ook: Verbinding maken Threat Intelligence Platform (TIP) naar Microsoft Sentinel
De meest gebruikte industriestandaard voor het verzenden van bedreigingsinformatie is een combinatie van de STIX-gegevensindeling en het TAXII-protocol. Als uw organisatie bedreigingsindicatoren ontvangt van oplossingen die ondersteuning bieden voor de huidige STIX/TAXII-versie (2.0 of 2.1), kunt u de connector Bedreigingsinformatie - TAXII-gegevens gebruiken om uw bedreigingsindicatoren naar Microsoft Sentinel te brengen. Met deze connector kan een ingebouwde TAXII-client in Microsoft Sentinel bedreigingsinformatie importeren van TAXII 2.x-servers.
Als u bedreigingsindicatoren met STIX-indeling wilt importeren naar Microsoft Sentinel vanaf een TAXII-server, moet u de API-basis- en verzamelings-id van de TAXII-server ophalen en vervolgens de gegevensconnector Bedreigingsinformatie - TAXII inschakelen in Microsoft Sentinel.
Meer informatie over bedreigingsinformatie in Microsoft Sentinel en met name over de FEEDS VOOR TAXII-bedreigingsinformatie die kunnen worden geïntegreerd met Microsoft Sentinel.
Vereisten
- U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte om uw bedreigingsindicatoren op te slaan.
- U moet de basis-URI en verzamelings-id van TAXII 2.0 of TAXII 2.1 API hebben.
De API-hoofdmap en verzamelings-id van de TAXII-server ophalen
TAXII 2.x-servers adverteren API-roots. Dit zijn URL's die verzamelingen bedreigingsinformatie hosten. U vindt de API Root en de verzamelings-id meestal op de documentatiepagina's van de provider van bedreigingsinformatie die als host voor de TAXII-server wordt gebruikt.
Notitie
In sommige gevallen zal de provider alleen een URL met de naam Detectie-eindpunt adverteren. U kunt het hulpprogramma cURL gebruiken om door het detectie-eindpunt te bladeren en de API-hoofdmap aan te vragen, zoals hieronder wordt beschreven.
De API-hoofdmap zoeken met cURL
Hier is een voorbeeld van het gebruik van het cURL-opdrachtregelprogramma, dat is opgegeven in Windows en de meeste Linux-distributies, om de API-hoofdmap te vinden en door de verzamelingen van een TAXII-server te bladeren, alleen op basis van het detectie-eindpunt. Met behulp van het detectie-eindpunt van de Anomali ThreatStream TAXII 2.0-server kunt u de API-basis-URI en vervolgens de verzamelingen aanvragen.
Navigeer vanuit een browser naar het detectie-eindpunt van de ThreatStream TAXII 2.0-server op om https://limo.anomali.com/taxii de API-hoofdmap op te halen. Verifieren met de gebruikersnaam en het wachtwoord
guest.U ontvangt het volgende antwoord:
{ "api_roots": [ "https://limo.anomali.com/api/v1/taxii2/feeds/", "https://limo.anomali.com/api/v1/taxii2/trusted_circles/", "https://limo.anomali.com/api/v1/taxii2/search_filters/" ], "contact": "info@anomali.com", "default": "https://limo.anomali.com/api/v1/taxii2/feeds/", "description": "TAXII 2.0 Server (guest)", "title": "ThreatStream Taxii 2.0 Server" }Gebruik het hulpprogramma cURL en de API Root (uit het vorige antwoord, en wijs ' ' toe aan de API-hoofdmap om door de lijst met https://limo.anomali.com/api/v1/taxii2/feeds/) verzamelings-ID's te bladeren die worden gehost in de
collections/API-hoofdmap:curl -u guest https://limo.anomali.com/api/v1/taxii2/feeds/collections/Nadat de authenticatie opnieuw is ingesteld met het wachtwoord 'gast', ontvangt u het volgende antwoord:
{ "collections": [ { "can_read": true, "can_write": false, "description": "", "id": "107", "title": "Phish Tank" }, { "can_read": true, "can_write": false, "description": "", "id": "135", "title": "Abuse.ch Ransomware IPs" }, { "can_read": true, "can_write": false, "description": "", "id": "136", "title": "Abuse.ch Ransomware Domains" }, { "can_read": true, "can_write": false, "description": "", "id": "150", "title": "DShield Scanning IPs" }, { "can_read": true, "can_write": false, "description": "", "id": "200", "title": "Malware Domain List - Hotlist" }, { "can_read": true, "can_write": false, "description": "", "id": "209", "title": "Blutmagie TOR Nodes" }, { "can_read": true, "can_write": false, "description": "", "id": "31", "title": "Emerging Threats C&C Server" }, { "can_read": true, "can_write": false, "description": "", "id": "33", "title": "Lehigh Malwaredomains" }, { "can_read": true, "can_write": false, "description": "", "id": "41", "title": "CyberCrime" }, { "can_read": true, "can_write": false, "description": "", "id": "68", "title": "Emerging Threats - Compromised" } ] }
U hebt nu alle informatie die u nodig hebt om Microsoft Sentinel te verbinden met een of meer TAXII-serververzamelingen die worden geleverd door Anomali Keer.
| API Root (https://limo.anomali.com/api/v1/taxii2/feeds/) | Verzamelings-id |
|---|---|
| Phish Gas | 107 |
| Abuse.ch RANSOMWARE-IPs | 135 |
| Abuse.ch ransomwaredomeinen | 136 |
| IP's voor het scannen van DShield | 150 |
| Lijst met malwaredomeinen - Hotlist | 200 |
| Flattmagie TOR-knooppunten | 209 |
| Opkomende bedreigingen C&C Server | 31 |
| Lehigh Malwaredomains | 33 |
| Cybercriminaliteit | 41 |
| Opkomende bedreigingen - aangetast | 68 |
De connector Bedreigingsinformatie - TAXII-gegevens inschakelen in Microsoft Sentinel
Als u bedreigingsindicatoren wilt importeren in Microsoft Sentinel vanaf een TAXII-server, volgt u deze stappen:
Ga vanuit Azure Portalnaar de Microsoft Sentinel-service.
Kies de werkruimte waarin u bedreigingsindicatoren van de TAXII-server wilt importeren.
Selecteer Gegevensconnectoren in het menu, selecteer Bedreigingsinformatie - TAXII in de galerie met connectors en selecteer de knop Connectorpagina openen.
Voer een gebruiksvriendelijke naam in voor deze TAXII-serververzameling, de API-basis-URL, de verzamelings-id, een gebruikersnaam (indien nodig) en een wachtwoord (indien nodig) en kies de gewenste groep indicatoren en de pollingfrequentie. Selecteer de knop Add.
U ontvangt een bevestiging dat er een verbinding met de TAXII-server tot stand is gebracht en u kunt de laatste stap hierboven net zo vaak herhalen als u wilt, om verbinding te maken met meerdere verzamelingen van een of meer TAXII-servers.
Binnen een paar minuten beginnen bedreigingsindicatoren naar deze Microsoft Sentinel-werkruimte te stromen. U vindt de nieuwe indicatoren op de blade Bedreigingsinformatie, die toegankelijk is via het navigatiemenu van Microsoft Sentinel.
Ip-lijst met toegestane adressen voor de Microsoft Sentinel TAXII-client
Sommige TAXII-servers, zoals FS-ISAC, moeten de IP-adressen van de Microsoft Sentinel TAXII-client op de toegestane lijst houden. De meeste TAXII-servers hebben deze vereiste niet.
Indien relevant, zijn de volgende IP-adressen die u in uw allowlist wilt opnemen:
- 20.193.17.32
- 20.197.219.106
- 20.48.128.36
- 20.199.186.58
- 40.80.86.109
- 52.158.170.36
- 20.52.212.85
- 52.251.70.29
- 20.74.12.78
- 20.194.150.139
- 20.194.17.254
- 51.13.75.153
- 102.133.139.160
- 20.197.113.87
- 40.123.207.43
- 51.11.168.197
- 20.71.8.176
- 40.64.106.65
Volgende stappen
In dit document hebt u geleerd hoe u Microsoft Sentinel kunt verbinden met feeds met bedreigingsinformatie met behulp van het TAXII-protocol. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel.
- Meer informatie over het krijgen van inzicht in uw gegevens en mogelijke bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.