Integratie van bedreigingsinformatie in Microsoft Sentinel
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
Microsoft Sentinel biedt u een aantal verschillende manieren om feeds met bedreigingsinformatie te gebruiken om het vermogen van uw beveiligingsanalisten om bekende bedreigingen te detecteren en te prioriteren te verbeteren.
U kunt een van de vele beschikbare PRODUCTEN van het Platform voor geïntegreerde bedreigingsinformatie (TIP)gebruiken, u kunt verbinding maken met TAXII-servers om te profiteren van elke MET STIX compatibele bron voor bedreigingsinformatie en u kunt ook gebruikmaken van aangepaste oplossingen die rechtstreeks met de Microsoft Graph Security tiIndicators APIkunnen communiceren.
U kunt ook verbinding maken met bronnen van bedreigingsinformatie uit playbooks om incidenten te verrijken met TI-informatie die kan helpen bij het direct onderzoeken en reageren van acties.
Tip
Als u meerdere werkruimten in dezelfde tenant hebt, zoals voor MSP's (Managed Service Providers),kan het rendabeler zijn om bedreigingsindicatoren alleen te verbinden met de gecentraliseerde werkruimte.
Wanneer u dezelfde set bedreigingsindicatoren hebt geïmporteerd in elke afzonderlijke werkruimte, kunt u query's tussen werkruimten uitvoeren om bedreigingsindicatoren in uw werkruimten samen te stellen. Correleer deze binnen uw MSSP-incidentdetectie, -onderzoek en -opsporingservaring.
Feeds taxii bedreigingsinformatie
Als u verbinding wilt maken met feeds van TAXII-bedreigingsinformatie, volgt u de instructies om Microsoft Sentinel te verbinden met STIX-/TAXII-feedsmet bedreigingsinformatie, samen met de gegevens die door elke leverancier hieronder worden geleverd. Mogelijk moet u rechtstreeks contact opnemen met de leverancier om de benodigde gegevens te verkrijgen voor gebruik met de connector.
Anomali Limo
Cybersixgill Darkfeed
- Meer informatie over Cybersixgill-integratie met Microsoft Sentinel @Cybersixgill
- Als u Microsoft Sentinel wilt verbinden met Cybersixgill TAXII Server en toegang wilt krijgen tot Darkfeed, neem dan contact op met Cybersixgill om de API-hoofdmap, verzamelings-id, gebruikersnaam en wachtwoord op te halen.
Financial Services Information Sharing and Analysis Center (FS-ISAC)
- Voeg U toe aan FS-ISAC om de referenties op te halen voor toegang tot deze feed.
Health Intelligence Sharing Community (H-ISAC)
- Voeg u toe aan de H-ISAC om de referenties op te halen voor toegang tot deze feed.
IBM X-Force
IntSights
- Meer informatie over de IntSights-integratie met Microsoft Sentinel @IntSights
- Als u Microsoft Sentinel wilt verbinden met de IntSights TAXII-server, haalt u de API-hoofdmap, verzamelings-id, gebruikersnaam en wachtwoord op uit de IntSights-portal nadat u een beleid hebt geconfigureerd met de gegevens die u naar Microsoft Sentinel wilt verzenden.
ThreatConnect
Sectrio
- Meer informatie over Sectrio-integratie
- Stapsgewijs proces voor het integreren van de TI-feed van Sectrio in Microsoft Sentinel
Geïntegreerde producten voor bedreigingsinformatieplatform
Als u verbinding wilt maken met TIP-feeds (Threat Intelligence Platform), volgt u de instructies om bedreigingsinformatieplatforms te verbinden met Microsoft Sentinel. In het tweede deel van deze instructies wordt u oproepen om informatie in te voeren in uw TIP-oplossing. Zie de onderstaande koppelingen voor meer informatie.
Agari Phishing Defense and Brand Protection
- Als u verbinding wilt maken met Agari Phishing Defense en Brand Protection,gebruikt u de ingebouwde Agari-gegevensconnector in Microsoft Sentinel.
Anomali ThreatStream
- Als u ThreatStream Integrator en Extensionswilt downloaden, en de instructies voor het verbinden van ThreatStream-informatie met de Microsoft Graph beveiligings-API, gaat u naar de downloadpagina van ThreatStream.
SymantecVault Open Threat Exchange (OTX) van AT&T Cybersecurity
- Voor Devault OTX wordt gebruik gemaakt van Azure Logic Apps (playbooks) om verbinding te maken met Microsoft Sentinel. Zie de gespecialiseerde instructies die nodig zijn om optimaal te profiteren van de volledige aanbieding.
PlatformsIQ
- Het Kantiq Platform kan worden geïntegreerd met Microsoft Sentinel om detectie, opsporing en respons van bedreigingen te verbeteren. Meer informatie over de voordelen en gebruiksgevallen van deze integratie in twee punten.
GroupIB Threat Intelligence en toeschrijving
- Om GroupIB Threat Intelligence en toeschrijving te koppelen aan Microsoft Sentinel, maakt GroupIB gebruik van Azure Logic Apps. Zie de gespecialiseerde instructies die nodig zijn om optimaal te profiteren van de volledige aanbieding.
MISP Open Source Threat Intelligence Platform
- Zie misp naar Microsoft Graph Security Script voor een voorbeeldscript dat clients voorziet van MISP-exemplarenvoor het migreren van bedreigingsindicatoren naar de Microsoft Graph beveiligings-API.
- Meer informatie over de MISP-Project.
Palo Alto Networks MineMeld
- Als u Palo Alto MineMeld wilt configureren met de verbindingsgegevens voor Microsoft Sentinel, gaat u naar Sending IOCs to the Microsoft Graph beveiligings-API using MineMeld (IOCs verzenden naar microsoft Graph beveiligings-API using MineMeld) en gaat u verder met de kop MijnMeld-configuratie.
Vastgelegd Future Security Intelligence Platform
- Recorded Future maakt gebruik van Azure Logic Apps (playbooks) om verbinding te maken met Microsoft Sentinel. Zie de gespecialiseerde instructies die nodig zijn om optimaal te profiteren van de volledige aanbieding.
ThreatConnect Platform
- Zie de Microsoft Graph Security Threat Indicators Integration Configuration Guide (Integratiehandleiding voor Microsoft Graph Threat Indicators) voor instructies voor het verbinden van ThreatConnect met Microsoft Sentinel.
ThreatQuotient Threat Intelligence Platform
- Zie Microsoft Sentinel Connector for ThreatQ Integration (Microsoft Sentinel-connector voor ThreatQ-integratie) voor ondersteuningsinformatie en instructies voor het verbinden van ThreatQuotient TIP met Microsoft Sentinel.
Bronnen voor incidentverrijking
Bedreigingsinformatiefeeds kunnen niet alleen worden gebruikt voor het importeren van bedreigingsindicatoren, maar ook als bron voor het verrijken van de informatie in uw incidenten en het bieden van meer context voor uw onderzoeken. De volgende feeds dienen dit doel en bieden Logic App-playbooks voor gebruik in uw automatische incidentrespons.
HYAS Insight
- Zoek en schakel incidentverrijkings-playbooks voor HYAS Insight in de Opslagplaats van Microsoft Sentinel GitHub in. Zoek naar submappen die beginnen met 'Enrich-Sentinel-Incident-HYAS-Insight-'.
- Zie de connectordocumentatie voor HYAS Insight Logic App.
Vastgelegd Future Security Intelligence Platform
- Zoek en schakel incidentverrijkings-playbooks voor Recorded Future in de Opslagplaats van Microsoft Sentinel GitHub in. Zoek naar submappen die beginnen met 'RecordedFuture_'.
- Zie de documentatie over de Opgenomen toekomstige logic app-connector.
ReversingLabsCloud
- Zoek en schakel incidentverrijkings-playbooks voor ReversingLabs in de Opslagplaats van Microsoft Sentinel GitHub in.
- Zie de connectordocumentatie voor ReversingLabs Intelligence Logic App.
RiskIQ Passive Total
- Zoek en schakel incidentverrijkings-playbooks voor RiskIQ Passive Total in de Opslagplaats van Microsoft Sentinel GitHub in. Zoek naar submappen die beginnen met 'Enrich-SentinelIncident-RiskIQ-'.
- Zie voor meer informatie over het werken met RiskIQ-playbooks.
- Zie de connectordocumentatie riskIQ PassiveTotal Logic App.
Virustotaal
- Zoek en schakel incidentverrijkings-playbooks voor Virus Total in de Opslagplaats van Microsoft Sentinel GitHub in. Zoek naar submappen die beginnen met 'Get-VirusTotal' en 'Get-VTURL'.
- Zie de connectordocumentatie voor Virus Total Logic App.
Volgende stappen
In dit document hebt u geleerd hoe u uw provider voor bedreigingsinformatie kunt verbinden met Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel.
- Meer informatie over het krijgen van inzicht in uw gegevens en mogelijke bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.