Anslut Microsoft Sentinel till flöden för STIX/TAXII-hotinformation

  • Artikel
  • 4 minuter för att läsa

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.

Anteckning

Information om funktionstillgänglighet i US Government-moln finns i Microsoft Sentinel-tabeller i Cloud feature availability for US Government customers (Funktionstillgänglighet för amerikanska myndigheter).

Se även: Anslut din hotinformationsplattform (TIPS) till Microsoft Sentinel

Den mest använda branschstandarden för överföring av hotinformation är en kombination av STIX-dataformatet och TAXII-protokollet. Om din organisation får hotindikatorer från lösningar som stöder den aktuella STIX/TAXII-versionen (2.0 eller 2.1) kan du använda dataanslutningsappen Threat Intelligence – TAXII för att föra in hotindikatorerna i Microsoft Sentinel. Med den här anslutningsappen kan en inbyggd TAXII-klient i Microsoft Sentinel importera hotinformation från TAXII 2.x-servrar.

TAXII-importsökväg

Om du vill importera STIX-formaterade hotindikatorer till Microsoft Sentinel från en TAXII-server måste du hämta ROT- och samlings-ID:t för TAXII-server-API:et och sedan aktivera threat intelligence – TAXII-dataanslutning i Microsoft Sentinel.

Läs mer om hotinformation i Microsoft Sentinel och mer specifikt om flöden för TAXII-hotinformation som kan integreras med Microsoft Sentinel.

Förutsättningar

  • Du måste ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan för att lagra dina hotindikatorer.
  • Du måste ha en TAXII 2.0- eller TAXII 2.1 API-rot-URI och samlings-ID.

Hämta ROT- och samlings-ID:t för TAXII-server-API:et

TAXII 2.x-servrar annonserar API-rötter, som är URL:er som är värdar för samlingar av hotinformation. Du hittar vanligtvis API-roten och samlings-ID:t på dokumentationssidorna för hotinformationsprovidern som är värd för TAXII-servern.

Anteckning

I vissa fall annonserar providern bara en URL som kallas identifieringsslutpunkt. Du kan använda verktyget cURL för att bläddra i identifieringsslutpunkten och begära API-roten enligt beskrivningen nedan.

Hitta API-roten med cURL

Här är ett exempel på hur du använder kommandoradsverktyget cURL, som finns i Windows och de flesta Linux-distributioner, för att identifiera API-roten och bläddra bland samlingarna för en TAXII-server, med enbart identifieringsslutpunkten. Med hjälp av identifieringsslutpunkten för ANOMALI ThreatStream TAXII 2.0-servern kan du begära API:et rot-URI och sedan samlingarna.

  1. Från en webbläsare navigerar du till ThreatStream TAXII 2.0-serveridentifieringsslutpunkten på https://limo.anomali.com/taxii för att hämta API-roten. Autentisera med användarnamnet och lösenordet guest .

    Du får följande svar:

    {
    "api_roots":
    [
        "https://limo.anomali.com/api/v1/taxii2/feeds/",
        "https://limo.anomali.com/api/v1/taxii2/trusted_circles/",
        "https://limo.anomali.com/api/v1/taxii2/search_filters/"
    ],
    "contact": "info@anomali.com",
    "default": "https://limo.anomali.com/api/v1/taxii2/feeds/",
    "description": "TAXII 2.0 Server (guest)",
    "title": "ThreatStream Taxii 2.0 Server"
}

  2. Använd cURL-verktyget och API-roten ( från föregående svar, lägga till " " " i API-roten för att bläddra i listan över samlings-ID:n som finns på https://limo.anomali.com/api/v1/taxii2/feeds/) collections/ API-roten:

    curl -u guest https://limo.anomali.com/api/v1/taxii2/feeds/collections/

    När du har autentiserat igen med lösenordet "guest" får du följande svar:

    {
    "collections":
    [
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "107",
            "title": "Phish Tank"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "135",
            "title": "Abuse.ch Ransomware IPs"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "136",
            "title": "Abuse.ch Ransomware Domains"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "150",
            "title": "DShield Scanning IPs"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "200",
            "title": "Malware Domain List - Hotlist"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "209",
            "title": "Blutmagie TOR Nodes"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "31",
            "title": "Emerging Threats C&C Server"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "33",
            "title": "Lehigh Malwaredomains"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "41",
            "title": "CyberCrime"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "68",
            "title": "Emerging Threats - Compromised"
        }
    ]
}

Nu har du all information du behöver för att ansluta Microsoft Sentinel till en eller flera TAXII-serversamlingar som tillhandahålls av Anomali Uppluff.

API-rot (https://limo.anomali.com/api/v1/taxii2/feeds/) Samlings-ID
Phish Tank 107
Abuse.ch IP-adresser för utpressningstrojaner 135
Abuse.ch domäner för utpressningstrojaner 136
IP-adresser för DShield-genomsökning 150
Lista över skadlig kod – hotlist 200
Fel med TOR-noder 209
Nya hot C&C Server 31
Lehigh Malwaredomains 33
Cybercrime 41
Nya hot – komprometterade 68

Aktivera threat intelligence – TAXII-dataanslutning i Microsoft Sentinel

Följ dessa steg om du vill importera hotindikatorer till Microsoft Sentinel från en TAXII-server:

  1. Från Azure Portalnavigerar du till Microsoft Sentinel-tjänsten.

  2. Välj den arbetsyta som du vill importera hotindikatorer till från TAXII-servern.

  3. Välj Dataanslutningsappar på menyn, välj Hotinformation – TAXII från galleriet med anslutningsappar och välj knappen Öppna anslutningssidan.

  4. Ange ett eget namn för den här TAXII-serversamlingen, API-rot-URL, samlings-ID, ett användarnamn (om det behövs) och ett lösenord (om det behövs) och välj den grupp med indikatorer och avsökningsfrekvens som du vill använda. Välj knappen Lägg till.

    Konfigurera TAXII-servrar

Du bör få en bekräftelse på att en anslutning till TAXII-servern har upprättats och du kan upprepa det sista steget ovan så många gånger du vill för att ansluta till flera samlingar från en eller flera TAXII-servrar.

Inom några minuter bör hotindikatorer börja flöda till den här Microsoft Sentinel-arbetsytan. Du hittar de nya indikatorerna på bladet Hotinformation som är tillgängliga från Microsoft Sentinel-navigeringsmenyn.

IP-tillåt lista för Microsoft Sentinel TAXII-klienten

Vissa TAXII-servrar, till exempel FS-ISAC, har ett krav på att behålla IP-adresserna för Microsoft Sentinel TAXII-klienten på listan över tillåtna. De flesta TAXII-servrar har inte det här kravet.

När det är relevant är följande IP-adresser de som ska ingå i listan över tillåtna adresser:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Nästa steg

I det här dokumentet har du lärt dig hur du ansluter Microsoft Sentinel till hotinformationsflöden med hjälp av TAXII-protokollet. Mer information om Microsoft Sentinel finns i följande artiklar.