Microsoft Sentinel'i STIX/TAXII tehdit bilgileri akışlarına Bağlan

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tehdit bilgileri iletimi için en yaygın olarak benimsenen endüstri standardı, STIX veri biçimi ile TAXII protokolünün bir bileşimidir. Kuruluşunuz geçerli STIX/TAXII sürümünü (2.0 veya 2.1) destekleyen çözümlerden tehdit göstergeleri alıyorsa tehdit göstergelerinizi Microsoft Sentinel'e getirmek için Threat Intelligence - TAXII veri bağlayıcısını kullanabilirsiniz. Bu bağlayıcı, Microsoft Sentinel'de yerleşik bir TAXII istemcisinin TAXII 2.x sunucularından tehdit bilgilerini içeri aktarmasını sağlar.

TAXII içeri aktarma yolu

STIX biçimli tehdit göstergelerini bir TAXII sunucusundan Microsoft Sentinel'e aktarmak için TAXII sunucusu API'si Kök ve Koleksiyon Kimliği'ni almanız ve ardından Microsoft Sentinel'de Tehdit Bilgileri - TAXII veri bağlayıcısını etkinleştirmeniz gerekir.

Microsoft Sentinel'deki Tehdit Bilgileri ve özellikle Microsoft Sentinel ile tümleştirilebilen TAXII tehdit bilgileri akışları hakkında daha fazla bilgi edinin.

Not

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Ayrıca bkz: Tehdit bilgileri platformunuzu (TIP) Microsoft Sentinel'e Bağlan

Önkoşullar

  • İçerik hub'ında tek başına içeriği veya çözümleri yüklemek, güncelleştirmek ve silmek için kaynak grubu düzeyinde Microsoft Sentinel Katkıda Bulunanı rolüne sahip olmanız gerekir.
  • Tehdit göstergelerinizi depolamak için Microsoft Sentinel çalışma alanında okuma ve yazma izinleriniz olmalıdır.
  • TAXII 2.0 veya TAXII 2.1 API Kök URI'niz ve Koleksiyon Kimliğiniz olmalıdır.

TAXII sunucusu API'si Kök ve Koleksiyon Kimliğini alma

TAXII 2.x sunucuları, tehdit bilgileri koleksiyonlarını barındıran URL'ler olan API Köklerini tanıtır. API Kökünü ve Koleksiyon Kimliğini genellikle TAXII sunucusunu barındıran tehdit bilgileri sağlayıcısının belge sayfalarında bulabilirsiniz.

Not

Bazı durumlarda sağlayıcı yalnızca Bulma Uç Noktası adlı bir URL'yi tanıtacaktır. Bulma uç noktasına göz atmak ve API Kökü istemek için cURL yardımcı programını kullanabilirsiniz.

Microsoft Sentinel'de Tehdit Bilgileri çözümünü yükleme

Tehdit göstergelerini bir TAXII sunucusundan Microsoft Sentinel'e aktarmak için şu adımları izleyin:

  1. Azure portalında Microsoft Sentinel için İçerik yönetimi'nin altında İçerik hub'ı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>İçerik yönetimi>İçerik hub'ı seçin.

  2. Tehdit Bilgileri çözümünü bulun ve seçin.

  3. Yükle/Güncelleştir düğmesini seçin.

Çözüm bileşenlerini yönetme hakkında daha fazla bilgi için bkz . Hazır içeriği bulma ve dağıtma.

Tehdit bilgileri - TAXII veri bağlayıcısını etkinleştirme

  1. TAXII veri bağlayıcısını yapılandırmak için Veri bağlayıcıları menüsünü seçin.

  2. Tehdit Bilgileri - TAXII veri bağlayıcısı >Bağlayıcıyı aç sayfası düğmesini bulun ve seçin.

    TAXII veri bağlayıcısının listelendiği veri bağlayıcıları sayfasını gösteren ekran görüntüsü.

  3. Bu TAXII sunucu Koleksiyonu, API Kök URL'si, Koleksiyon Kimliği, Kullanıcı Adı (gerekirse) ve Parola (gerekirse) için kolay bir ad girin ve istediğiniz gösterge grubunu ve yoklama sıklığını seçin. Ekle düğmesini seçin.

    TAXII sunucularını yapılandırma

TAXII sunucusuna bağlantının başarıyla kurulduğuna dair onay almanız gerekir ve bir veya daha fazla TAXII sunucusundan birden çok Koleksiyona bağlanmak için yukarıdaki son adımı istediğiniz kadar yineleyebilirsiniz.

Birkaç dakika içinde tehdit göstergelerinin bu Microsoft Sentinel çalışma alanına akmaya başlaması gerekir. Yeni göstergeleri Microsoft Sentinel gezinti menüsünden erişilebilen Tehdit bilgileri dikey penceresinde bulabilirsiniz.

Microsoft Sentinel TAXII istemcisi için IP izin listesi

FS-ISAC gibi bazı TAXII sunucuları, Microsoft Sentinel TAXII istemcisinin IP adreslerini izin verilenler listesinde tutma gereksinimine sahiptir. Çoğu TAXII sunucusu bu gereksinime sahip değildir.

İlgili olduğunda, aşağıdaki IP adresleri izin verilenler listenize eklenecek adreslerdir:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

İlgili içerik

Bu belgede, TAXII protokolunu kullanarak Microsoft Sentinel'i tehdit bilgileri akışlarına bağlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın.