Conectar o Microsoft Sentinel aos feeds de inteligência contra ameaças STIX/TAXII

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

O padrão do setor mais amplamente adotado para a transmissão de inteligência contra ameaças é uma combinação do formato de dados STIX e do protocolo TAXII. Caso sua organização receba indicadores de ameaça de soluções compatíveis com a versão atual do STIX/TAXII (2.0 ou 2.1), use o conector de dados Inteligência contra Ameaças – TAXII para levar seus indicadores de ameaça para o Microsoft Sentinel. O conector permite que um cliente TAXII interno no Microsoft Sentinel importe a inteligência contra ameaças de servidores TAXII 2.x.

Caminho de importação do TAXII

Para importar indicadores de ameaça formatados para STIX para o Microsoft Sentinel de um servidor TAXII, você deve obter a ID da Coleção e a Raiz da API do servidor TAXII e, em seguida, habilitar o conector de dados Inteligência contra Ameaças – TAXII no Microsoft Sentinel.

Saiba mais sobre inteligência contra ameaças no Microsoft Sentinel e, especificamente, sobre os feeds de inteligência contra ameaças TAXII que podem ser integrados ao Microsoft Sentinel.

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Importante

O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Confira também: Conectar sua TIP (plataforma de inteligência contra ameaças) ao Microsoft Sentinel

Pré-requisitos

  • Para instalar, atualizar e excluir conteúdo autônomo e soluções no hub de conteúdo, você precisa da função Colaborador do Microsoft Sentinel no nível do grupo de recursos.
  • Você precisa ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel para armazenar seus indicadores de ameaça.
  • Você deve ter uma API Root URI e uma ID de coleção do TAXII 2.0 ou TAXII 2.1.

Obter a raiz da API do servidor TAXII e a ID da coleção

Os servidores TAXII 2.x anunciam as raízes de API, que são URLs que hospedam coleções de inteligência contra ameaças. Normalmente, você pode encontrar a API Root e a ID da coleção nas páginas de documentação do provedor de inteligência contra ameaças que hospeda o servidor do TAXII.

Observação

Em alguns casos, o provedor só anunciará uma URL chamada ponto de extremidade de descoberta. Você pode usar o utilitário cURL para navegar pelo ponto de extremidade de descoberta e solicitar a API Root.

Instalar a solução da Inteligência contra Ameaças no Microsoft Sentinel

Para importar indicadores de ameaça de um servidor TAXII para o Microsoft Sentinel, siga estas etapas:

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione o Hub de conteúdo.
    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de conteúdo>Hub de conteúdo.

  2. Localize e selecione a solução de Inteligência contra Ameaças.

  3. Selecionar o botão Instalar/Atualizar.

Para obter mais informações sobre como gerenciar os componentes da solução, veja Descobrir e implantar conteúdo pronto para uso.

Habilitar a Inteligência contra ameaças - conector de dados TAXII

  1. Para configurar o conector de dados TAXII, selecione o menu Conectores de dados.

  2. Localize e selecione o conector de dados Inteligência contra ameaças - TAXII e o botão >Abrir página do conector.

    Captura de tela mostrando a página de conectores de dados com o conector de dados TAXII listado.

  3. Insira um nome amigável para essa coleção do servidor TAXII, a API Root URL, a ID da coleção, um Nome de usuário (se necessário), e uma Senha (se necessária) e escolha o grupo de indicadores e a sondagem de pesquisa desejados. Selecione o botão Adicionar.

    Configurar servidores TAXII

Você deverá receber a confirmação de que uma conexão com o servidor TAXII foi estabelecida com sucesso e poderá repetir a última etapa acima quantas vezes desejar, para se conectar a várias Coleções de um ou mais servidores TAXII.

Em alguns minutos, os indicadores de ameaça começarão a aparecer no espaço de trabalho do Microsoft Sentinel. Veja os novos indicadores na folha Inteligência contra ameaças, acessível no menu de navegação do Microsoft Sentinel.

Listagem de permitir IP para o cliente TAXII do Microsoft Azure Sentinel

Alguns servidores TAXII, como FS-ISAC, têm um requisito para manter os endereços IP do cliente TAXII do Microsoft Azure Sentinel na lista de permitidos. A maioria dos servidores TAXII não tem esse requisito.

Quando relevante, os seguintes endereços IP são aqueles a incluir na lista de permitidos:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Conteúdo relacionado

Neste documento, você aprendeu a conectar o Microsoft Sentinel a feeds de inteligência contra ameaças usando o protocolo TAXII. Para saber mais sobre o Microsoft Sentinel, confira os artigos a seguir.