Integrering av hotinformation i Microsoft Sentinel
Anteckning
Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.
Microsoft Sentinel ger dig några olika sätt att använda hotinformationsflöden för att förbättra säkerhetsanalytikernas möjlighet att identifiera och prioritera kända hot.
Du kan använda en av många tillgängliga PRODUKTER för den integrerade hotinformationsplattformen (TIPS).Du kan ansluta till TAXII-servrar för att dra nytta av alla STIX-kompatibla hotinformationskällor och du kan också använda anpassade lösningar som kan kommunicera direkt med Microsoft Graph Security-api:et tiIndicators.
Du kan också ansluta till hotinformationskällor från spelböcker för att utöka incidenter med TI-information som kan hjälpa till med direkta undersöknings- och svarsåtgärder.
Tips
Om du har flera arbetsytor i samma klientorganisation, till exempel för leverantörer av hanterade tjänster (MSP:er),kan det vara mer kostnadseffektivt att ansluta hotindikatorer till den centraliserade arbetsytan.
När du har importerat samma uppsättning hotindikatorer till varje separat arbetsyta kan du köra frågor mellan arbetsytor för att aggregera hotindikatorer på dina arbetsytor. Korrelera dem i din incidentidentifiering, undersökning och jaktupplevelse i MSSP.
TAXII-hotinformationsfeeds
Om du vill ansluta till TAXII-hotinformationsfeeds följer du anvisningarna för att ansluta Microsoft Sentinel till STIX/TAXII-hotinformationsflöden, tillsammans med de data som tillhandahålls av varje leverantör som är länkad nedan. Du kan behöva kontakta leverantören direkt för att hämta nödvändiga data som ska användas med anslutningsappen.
Anomali Anomaliei
Cybersixixix Darkfeed
- Lär dig mer om Cybersixixix-integrering med Microsoft Sentinel @Cybersixgill
- Om du vill ansluta Microsoft Sentinel till Cybersixnod TAXII Server och få åtkomst till Darkfeed kontaktar du Cybersixixix för att hämta API-roten, samlings-ID:t, användarnamnet och lösenordet.
Financial Services Information Sharing and Analysis Center (FS-ISAC)
- Anslut FS-ISAC för att hämta autentiseringsuppgifterna för att få åtkomst till den här feeden.
Community för delning av hälsoinformation (H-ISAC)
- Anslut H-ISAC för att hämta autentiseringsuppgifterna för att få åtkomst till den här feeden.
IBM X-Force
IntSights
- Läs mer om IntSights-integrering med Microsoft Sentinel @IntSights
- Om du vill ansluta Microsoft Sentinel till IntSights TAXII Server hämtar du API-rot, samlings-ID, användarnamn och lösenord från IntSights-portalen när du har konfigurerat en princip för de data som du vill skicka till Microsoft Sentinel.
ThreatConnect
Sectrio
- Läs mer om Sectrio-integrering
- Stegvisa processer för att integrera Sectrios TI-feed i Microsoft Sentinel
Integrerade produkter för hotinformationsplattformen
Om du vill ansluta till flöden för Threat Intelligence Platform (TIPS) följer du anvisningarna för att ansluta Threat Intelligence-plattformar till Microsoft Sentinel. I den andra delen av de här anvisningarna uppmanas du att ange information i din TIPS-lösning. Mer information finns på länkarna nedan.
Agari Phishing Defense och Varumärkesskydd
- Om du vill ansluta Agari Phishing Defense och Brand Protectionanvänder du den inbyggda Agari-dataanslutningsappen i Microsoft Sentinel.
Anomali ThreatStream
- Information om hur du laddar ned ThreatStream Integratoroch Extensions och anvisningarna för att ansluta ThreatStream-intelligens till Microsoft Graph API för säkerhet finns på hämtningssidan för ThreatStream.
ProxyVault Open Threat Exchange (OTX) från AT&T Cybersecurity
- IJvault OTX används Azure Logic Apps (spelböcker) för att ansluta till Microsoft Sentinel. Se de särskilda instruktioner som krävs för att dra full nytta av hela erbjudandet.
EclecticIQ-plattform
- EclecticIQ Platform integreras med Microsoft Sentinel för att förbättra hotidentifiering, jakt och svar. Läs mer om fördelarna med och användningsfallen för den här tvåvägsintegreringen.
Hotinformation och attribution för GroupIB
- För att ansluta GroupIB Threat Intelligence och Attribution till Microsoft Sentinel använder GroupIB Azure Logic Apps. Se de särskilda instruktioner som krävs för att dra full nytta av hela erbjudandet.
MISP-plattform för hotinformation med öppen källkod
- Ett exempelskript som förser klienter med MISP-instanser för att migrera hotindikatorer till Microsoft Graph API för säkerhet finns i MISPtill Microsoft Graph Security Script .
- Läs mer om MISP-Project.
Palo Alto Networks MineMeld
- Information om hur du konfigurerar Palo Alto MineMeld med anslutningsinformationen till Microsoft Sentinel finns i Skicka IPC:er till Microsoft Graph API för säkerhet med Hjälp av MineMeld och gå vidare till rubriken MinMeld-konfiguration.
Registrerad framtida säkerhetsintelligensplattform
- Recorded Future använder Azure Logic Apps (spelböcker) för att ansluta till Microsoft Sentinel. Se de särskilda instruktioner som krävs för att dra full nytta av hela erbjudandet.
ThreatConnect-plattform
- Anvisningar för hur du ansluter ThreatConnect till Microsoft Sentinel finns i konfigurationsguiden för integrering av Microsoft Graph Security Threat Indicators.
ThreatQuotient Threat Intelligence Platform
- Se Microsoft Sentinel Connector for ThreatQ integration (Microsoft Sentinel Connector för ThreatQ-integrering) för supportinformation och instruktioner för att ansluta ThreatQuotient-tipset till Microsoft Sentinel.
Källor för incidentberikning
Förutom att de används för att importera hotindikatorer kan hotinformationsflöden också fungera som källa för att utöka informationen i dina incidenter och ge mer kontext till dina undersökningar. Följande flöden har det här syftet och tillhandahåller logic app-spelböcker som du kan använda i din automatiserade incidentsvar.
HYAS Insight
- Hitta och aktivera spelböcker för incidentberikning för HYAS Insight i Microsoft Sentinel GitHub-lagringsplatsen. Sök efter undermappar som börjar med "Enrich-Sentinel-Incident-HYAS-Insight-".
- Se dokumentationen för HYAS Insight Logic App-anslutningsappen.
Registrerad framtida säkerhetsintelligensplattform
- Hitta och aktivera spelböcker för incidentberikning för Recorded Future i Microsoft Sentinel GitHub-lagringsplatsen. Sök efter undermappar som börjar med "RecordedFuture_".
- Se dokumentationen för recorded future logic app connector.
ReverseingLabsCloud
- Hitta och aktivera spelböcker för incidentberikning för ReverseingLabs i Microsoft Sentinel GitHub-lagringsplatsen.
- Se dokumentationen för ReverseingLabs Intelligence Logic App-anslutningsappen.
RiskIQ-passiv totalsumma
- Hitta och aktivera spelböcker för incidentberikning för RiskIQ-passiv totalsumma i Microsoft Sentinel GitHub-lagringsplatsen. Sök efter undermappar som börjar med "Enrich-SentinelIncident-RiskIQ-".
- Mer information om hur du arbetar med RiskIQ-spelböcker.
- Se dokumentationen för RiskIQ PassiveTotal Logic App-anslutningsappen.
Virus totalt
- Hitta och aktivera spelböcker för incidentberikning för totalt virus i Microsoft Sentinel GitHub lagringsplatsen. Sök efter undermappar som börjar med "Get-VirusTotal" och "Get-VTURL".
- Mer information finns i dokumentationen om Virus Total Logic App-anslutningsappen.
Nästa steg
I det här dokumentet har du lärt dig hur du ansluter din hotinformationsprovider till Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar.
- Lär dig hur du får insyn i dina data och potentiella hot.
- Kom igång med att identifiera hot med Microsoft Sentinel.