Integrering av hotinformation i Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel ger dig några olika sätt att använda hotinformationsflöden för att förbättra dina säkerhetsanalytikers förmåga att identifiera och prioritera kända hot.

• Använd en av många tillgängliga tip-produkter (Integrated Threat Intelligence Platform).
• Anslut till TAXII-servrar för att dra nytta av alla STIX-kompatibla hotinformationskällor.
• Anslut direkt till Microsoft Defender Hotinformation feed.
• Använd alla anpassade lösningar som kan kommunicera direkt med API:et för hotinformationsuppladdningsindikatorer.
• Du kan också ansluta till hotinformationskällor från spelböcker för att utöka incidenter med TI-information som kan hjälpa till med direkta undersöknings- och svarsåtgärder.

Dricks

Om du har flera arbetsytor i samma klientorganisation, till exempel för leverantörer av hanterade säkerhetstjänster (MSSP), kan det vara mer kostnadseffektivt att endast ansluta hotindikatorer till den centraliserade arbetsytan.

När du har samma uppsättning hotindikatorer som importerats till varje separat arbetsyta kan du köra frågor mellan arbetsytor för att aggregera hotindikatorer över dina arbetsytor. Korrelera dem i din MSSP-incidentidentifiering, undersökning och jaktupplevelse.

TAXII-hotinformationsflöden

Om du vill ansluta till TAXII-hotinformationsflöden följer du anvisningarna för att ansluta Microsoft Sentinel till STIX/TAXII-hotinformationsflöden, tillsammans med de data som tillhandahålls av varje leverantör. Du kan behöva kontakta leverantören direkt för att hämta de data som behövs för att använda med anslutningsappen.

Accenture Cyber Threat Intelligence

• Lär dig mer om CTI-integrering (Accenture Cyber Threat Intelligence) med Microsoft Sentinel.

Cybersixgill Darkfeed

• Lär dig mer om Cybersixgill-integrering med Microsoft Sentinel.
• Om du vill ansluta Microsoft Sentinel till Cybersixgill TAXII Server och få åtkomst till Darkfeed kontaktar du azuresentinel@cybersixgill.com för att hämta API-rot, samlings-ID, användarnamn och lösenord.

Cyware Threat Intelligence eXchange (CTIX)

En komponent i Cywares plattform för hotinformation, CTIX, är att använda intel med en TAXII-feed för SIEM. När det gäller Microsoft Sentinel följer du anvisningarna här:

• Integrera med Microsoft Sentinel

ESET

• Lär dig mer om ESET:s erbjudande om hotinformation.
• Om du vill ansluta Microsoft Sentinel till ESET TAXII-servern hämtar du API-rot-URL: en, samlings-ID, användarnamn och lösenord från ditt ESET-konto. Följ sedan de allmänna instruktionerna och ESET:s kunskapsbas artikel.

Informationsdelning och analyscenter för finansiella tjänster (FS-ISAC)

• Anslut FS-ISAC för att hämta autentiseringsuppgifterna för att komma åt den här feeden.

Delningscommunity för hälsoinformation (H-ISAC)

• Anslut till H-ISAC för att hämta autentiseringsuppgifterna för att komma åt den här feeden.

IBM X-Force

• Läs mer om IBM X-Force-integrering.

IntSights

• Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
• Om du vill ansluta Microsoft Sentinel till IntSights TAXII Server hämtar du API-roten, samlings-ID:t, användarnamnet och lösenordet från IntSights-portalen när du har konfigurerat en princip för de data som du vill skicka till Microsoft Sentinel.

Kaspersky

• Läs mer om Kaspersky-integrering med Microsoft Sentinel.

Pulsediv

• Läs mer om Pulsedive-integrering med Microsoft Sentinel.

ReversingLabs

• Lär dig mer om ReversingLabs TAXII-integrering med Microsoft Sentinel.

Sektrio

• Läs mer om Sectrio-integrering.
• Steg för steg-process för att integrera Sectrios TI-feed i Microsoft Sentinel.

SEKOIA. IO

• Läs mer om SEKOIA. I/O-integrering med Microsoft Sentinel.

ThreatConnect

• Läs mer om STIX och TAXII på Threat Anslut.
• Se DOKUMENTATIONen om TAXII Services på Threat Anslut

Integrerade produkter för hotinformationsplattform

Information om hur du ansluter till TIP-feeds (Threat Intelligence Platform) finns i ansluta Plattformar för hotinformation till Microsoft Sentinel. Se följande lösningar för att lära dig vilken ytterligare information som behövs.

Agari Phishing Defense and Brand Protection

• Om du vill ansluta Agari Phishing Defense och Brand Protection använder du den inbyggda Agari-dataanslutningen i Microsoft Sentinel.

Anomali ThreatStream

• Information om hur du laddar ned ThreatStream Integrator och tillägg samt instruktionerna för att ansluta ThreatStream-intelligens till Microsoft Graph-API för säkerhet finns på nedladdningssidan för ThreatStream.

AlienVault Open Threat Exchange (OTX) från AT&T Cybersecurity

• AlienVault OTX använder Azure Logic Apps (spelböcker) för att ansluta till Microsoft Sentinel. Se de särskilda instruktioner som krävs för att dra full nytta av hela erbjudandet.

EclecticIQ Platform

• EclecticIQ Platform integreras med Microsoft Sentinel för att förbättra hotidentifiering, jakt och svar. Läs mer om fördelarna och användningsfallen för den här dubbelriktade integreringen.

GroupIB Threat Intelligence och Attribution

• För att ansluta GroupIB Threat Intelligence och Attribution till Microsoft Sentinel använder GroupIB Azure Logic Apps. Se de särskilda instruktioner som krävs för att dra full nytta av hela erbjudandet.

MISP-plattformen för hotinformation med öppen källkod

• Push-hotindikatorer från MISP till Microsoft Sentinel med HJÄLP av API:et för TI-uppladdningsindikatorer med MISP2Sentinel.
• Här är Azure Marketplace-länken för MISP2Sentinel.
• Läs mer om MISP-projektet.

Palo Alto Networks MineMeld

• Information om hur du konfigurerar Palo Alto MineMeld med anslutningsinformationen till Microsoft Sentinel finns i Skicka IOCs till Microsoft Graph-API för säkerhet med MineMeld och gå vidare till rubriken MineMeld-konfiguration.

Inspelad framtida säkerhetsinformationsplattform

• Recorded Future använder Azure Logic Apps (spelböcker) för att ansluta till Microsoft Sentinel. Se de särskilda instruktioner som krävs för att dra full nytta av hela erbjudandet.

Hot Anslut plattform

• Se konfigurationsguiden för Microsoft Graph Security Threat Indicators-integrering för instruktioner för att ansluta Hot Anslut till Microsoft Sentinel.

ThreatQuotient Threat Intelligence Platform

• Se Microsoft Sentinel-Anslut eller för ThreatQ-integrering för supportinformation och instruktioner för att ansluta ThreatQuotient TIP till Microsoft Sentinel.

Källor för incidentberikning

Förutom att användas för att importera hotindikatorer kan hotinformationsflöden också fungera som en källa för att berika informationen i dina incidenter och ge mer kontext till dina undersökningar. Följande feeds tjänar det här syftet och tillhandahåller logic app-spelböcker som du kan använda i ditt automatiserade incidenthanteringssvar. Hitta dessa berikningskällor i innehållshubben.

Mer information om hur du hittar och hanterar lösningarna finns i Identifiera och distribuera out-of-the-box-innehåll.

HYAS Insight

• Hitta och aktivera spelböcker för incidentberikning för HYAS Insight på Microsoft Sentinel GitHub-lagringsplatsen. Sök efter undermappar som börjar med Enrich-Sentinel-Incident-HYAS-Insight-.
• Se dokumentationen om HYAS Insight Logic App-anslutningsappen.

Microsoft Defender Hotinformation

• Hitta och aktivera spelböcker för incidentberikning för Microsoft Defender Hotinformation på Microsoft Sentinel GitHub-lagringsplatsen.
• Mer information finns i MDTI Tech Community-blogginlägget .

Inspelad framtida säkerhetsinformationsplattform

• Hitta och aktivera spelböcker för incidentberikning för inspelad framtid på Microsoft Sentinel GitHub-lagringsplatsen. Sök efter undermappar som börjar med RecordedFuture_.
• Mer information finns i dokumentationen om anslutningsprogrammet för inspelad framtida logikapp.

ReversingLabs TitaniumCloud

• Hitta och aktivera spelböcker för incidentberikning för ReversingLabs på Microsoft Sentinel GitHub-lagringsplatsen.
• Se dokumentationen om Anslutningsappen för ReversingLabs TitaniumCloud Logic App.

Passiv totalrisk för RiskIQ

• Hitta och aktivera spelböcker för incidentberikning för RiskIQ Passive Total på Microsoft Sentinel GitHub-lagringsplatsen.
• Se mer information om hur du arbetar med RiskIQ-spelböcker.
• Se dokumentationen om Anslutningsprogrammet för RiskIQ PassiveTotal Logic App.

Virus Total

• Hitta och aktivera spelböcker för incidentberikning för Virus Total på Microsoft Sentinel GitHub-lagringsplatsen. Sök efter undermappar som börjar med Get-VTURL.
• Mer information finns i dokumentationen om anslutningsprogrammet för Virus Total Logic App.

Nästa steg

I det här dokumentet har du lärt dig hur du ansluter din leverantör av hotinformation till Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar.

• Lär dig hur du får insyn i dina data och potentiella hot.
• Kom igång med att identifiera hot med Microsoft Sentinel.