Bağlan Microsoft Sentinel'i STIX/TAXII tehdit zekası akışlarına gönderme

  • Makale
  • Okumak için 4 dakika

Not

Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.

Not

ABD Kamu bulutlarında özellik kullanılabilirliği hakkında bilgi için, ABD Kamu müşterileri için Bulut özelliği kullanılabilirliği'nin Microsoft Sentinel tablolarına bakın.

Ayrıca bkz. Bağlan zeka platformunu (TIP) Microsoft Sentinel'e gönderme

Tehdit zekası iletimi için en yaygın olarak benimsenen endüstri standardı, STIX veri biçiminin ve TAXII protokolünün bir birleşimidir. Kuruluş, geçerli STIX/TAXII sürümünü (2.0 veya 2.1) destekleyen çözümlerden tehdit göstergeleri alıyorsa tehdit göstergelerinizi Microsoft Sentinel'e getirmek için Tehdit Bilgileri - TAXII veri bağlayıcısı kullanabilirsiniz. Bu bağlayıcı, Microsoft Sentinel'de yerleşik TAXII istemcisini TAXII 2.x sunucularından tehdit zekası içeri aktarmaya olanak sağlar.

TAXII içeri aktarma yolu

STIX biçimli tehdit göstergelerini bir TAXII sunucusundan Microsoft Sentinel'e içeri aktaracak şekilde TAXII sunucusu API'si Kök ve Koleksiyon Kimliği'ne sahip olmalı ve ardından Microsoft Sentinel'de Tehdit Bilgileri - TAXII veri bağlayıcısını etkinleştirmeniz gerekir.

Microsoft Sentinel'de Tehdit Zekası ve özellikle Microsoft Sentinel ile tümleştirilene TAXII tehdit zekası akışları hakkında daha fazla bilgi edinin.

Önkoşullar

  • Tehdit göstergelerinizi depolamak için Microsoft Sentinel çalışma alanında okuma ve yazma izinlerine sahipsiniz.
  • TAXII 2.0 veya TAXII 2.1 API Kök URI'niz ve Koleksiyon Kimliğiniz olması gerekir.

TAXII sunucusu API'si Kök ve Koleksiyon Kimliğini al

TAXII 2.x sunucuları tehdit zekası koleksiyonlarını barındıran URL'ler olan API Köklerini tanıtıyor. API Kök ve Koleksiyon Kimliğini genellikle TAXII sunucusunu barındıran tehdit bilgileri sağlayıcısının belge sayfalarında bulabilirsiniz.

Not

Bazı durumlarda sağlayıcı yalnızca Bulma Uç Noktası adlı bir URL'yi tanıtacak. cURL yardımcı programını kullanarak bulma uç noktasına göz atabilir ve aşağıda ayrıntılı olarak yer alan API Kökünü isteğinde bulundurabilirsiniz.

cURL kullanarak API Kökünü bulma

Burada, API Kökü'ünü bulmak ve yalnızca bulma uç noktası göz atmak için Windows ve çoğu Linux dağıtımında sağlanan cURL komut satırı yardımcı programını kullanma örneği verilmiştir. Anomali Anomali ThreatStream TAXII 2.0 sunucusunun bulma uç noktasını kullanarak API Kök URI'sini ve ardından Koleksiyonlar'ı isteğinde bulundurabilirsiniz.

  1. API Kökü'ünü almak için tarayıcıdan ThreatStream TAXII 2.0 sunucu https://limo.anomali.com/taxii bulma uç noktasına gidin. kullanıcı adı ve parolasıyla kimlik doğrulaması guest yapın.

    Aşağıdaki yanıtı alırsınız:

    {
    "api_roots":
    [
        "https://limo.anomali.com/api/v1/taxii2/feeds/",
        "https://limo.anomali.com/api/v1/taxii2/trusted_circles/",
        "https://limo.anomali.com/api/v1/taxii2/search_filters/"
    ],
    "contact": "info@anomali.com",
    "default": "https://limo.anomali.com/api/v1/taxii2/feeds/",
    "description": "TAXII 2.0 Server (guest)",
    "title": "ThreatStream Taxii 2.0 Server"
}

  2. API Kökünde barındırılan Koleksiyon Kimlikleri listesine göz atmak için cURL yardımcı programını ve API Kökü'ünü (önceki yanıttan, API Köküne https://limo.anomali.com/api/v1/taxii2/feeds/) " " ekerek) collections/ kullanın:

    curl -u guest https://limo.anomali.com/api/v1/taxii2/feeds/collections/

    "Guest" parolasıyla yeniden kimlik doğruladikten sonra aşağıdaki yanıtı alırsınız:

    {
    "collections":
    [
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "107",
            "title": "Phish Tank"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "135",
            "title": "Abuse.ch Ransomware IPs"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "136",
            "title": "Abuse.ch Ransomware Domains"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "150",
            "title": "DShield Scanning IPs"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "200",
            "title": "Malware Domain List - Hotlist"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "209",
            "title": "Blutmagie TOR Nodes"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "31",
            "title": "Emerging Threats C&C Server"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "33",
            "title": "Lehigh Malwaredomains"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "41",
            "title": "CyberCrime"
        },
        {
            "can_read": true,
            "can_write": false,
            "description": "",
            "id": "68",
            "title": "Emerging Threats - Compromised"
        }
    ]
}

Artık Microsoft Sentinel'i Anomali Anomali Anomali Tarafından sağlanan bir veya daha fazla TAXII sunucu Koleksiyonuna bağlamak için ihtiyacınız olan tüm bilgilere sahipsiniz.

API Kökü (https://limo.anomali.com/api/v1/taxii2/feeds/) Koleksiyon kimliği
Kimlik Avı Deposu 107
Abuse.ch Fidye Yazılımı IP'leri 135
Abuse.ch Fidye Yazılımı Etki Alanları 136
DShield Tarama IP'leri 150
Kötü Amaçlı Yazılım Etki Alanı Listesi - Hotlist 200
Tmagie TOR Düğümleri 209
Gelişen Tehditler C&C Sunucusu 31
Malwaredomains Kötü Amaçlı Yazılım 33
CyberCrime 41
Gelişmekte Olan Tehditler - Ele Geçirildi 68

Microsoft Sentinel'de Tehdit Bilgileri - TAXII veri bağlayıcıyı etkinleştirme

Bir TAXII sunucusundan Microsoft Sentinel'e tehdit göstergelerini içeri aktaracak şu adımları izleyin:

  1. uygulama Azure portal Microsoft Sentinel hizmetine gidin.

  2. TAXII sunucusundan tehdit göstergelerini içeri aktarmayı istediğiniz çalışma alanını seçin.

  3. Menüden Veri bağlayıcıları'ı seçin, bağlayıcı galerisinden Tehdit Bilgileri - TAXII'yi seçin ve Bağlayıcı sayfasını aç düğmesini seçin.

  4. Bu TAXII sunucusu Koleksiyonu için kolay bir ad, API Kök URL'si, Koleksiyon Kimliği, Kullanıcı adı (gerekirse) ve Parola (gerekirse) girin ve istediğiniz gösterge grubunu ve yoklama sıklığını seçin. Ekle düğmesini seçin.

    TAXII sunucularını yapılandırma

TAXII sunucusuyla bağlantının başarıyla kuruldu ve bir veya daha fazla TAXII sunucusundan birden çok Koleksiyona bağlanmak için yukarıdaki son adımı istediğiniz kadar tekrarlamanız gerekir.

Birkaç dakika içinde tehdit göstergelerinin bu Microsoft Sentinel çalışma alanına akmaya başlaması gerekir. Yeni göstergeleri Microsoft Sentinel gezinti menüsünden erişilebilen Tehdit zekası dikey penceresinde bulabilirsiniz.

Microsoft Sentinel TAXII istemcisi için IP izin listesi

FS-ISAC gibi bazı TAXII sunucularının izin verme listesine Microsoft Sentinel TAXII istemcisinin IP adreslerini tutma gereksinimi vardır. TaxiI sunucularının çoğunda bu gereksinim yoktur.

Uygun olduğunda, aşağıdaki IP adresleri izin verme listenize dahil olanlardır:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Sonraki adımlar

Bu belgede, TAXII protokolünü kullanarak Microsoft Sentinel'i tehdit zekası akışlarına bağlamayı öğrendinsiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın.