Microsoft Sentinel 'de tehdit bilgileri tümleştirmesi
Not
Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.
Microsoft Sentinel, güvenlik analistlerinizin bilinen tehditleri algılama ve önceliklerini belirleme yeteneğini geliştirmek için tehdit bilgileri akışlarını kullanmanın birkaç farklı yolunu sağlar.
kullanılabilen birçok tümleşik tehdit bilgileri platformu (tıp) ürününükullanabilirsiniz, her türlü stix uyumlu tehdit zekası kaynağından faydalanmak için taxıı sunucularına bağlanabilir ve ayrıca, Microsoft Graph Security tiındicators apı'siyle doğrudan iletişim kurabilen tüm özel çözümleri de kullanabilirsiniz.
Ayrıca, araştırma ve yanıt eylemlerine doğrudan yardımcı olabilecek TI bilgileri ile olayları zenginleştirmek için, PlayBook 'lardan tehdit bilgileri kaynaklarına bağlanabilirsiniz.
İpucu
Aynı kiracıda yönetilen hizmet sağlayıcıları (MSSPs)gibi birden fazla çalışma alanınız varsa, tehdit göstergelerini yalnızca merkezi çalışma alanına bağlamak daha uygun maliyetli olabilir.
Her farklı çalışma alanına içeri aktarılan aynı tehdit göstergeleri kümesine sahip olduğunuzda, çalışma alanlarınızda tehdit göstergelerini toplamak için çalışma alanları arası sorgular çalıştırabilirsiniz. MSSP olay algılama, araştırma ve avcılık deneyiminizin içinde bunlarla bağıntı kurun.
TAXıı Threat Intelligence akışları
TAXıı Threat Intelligence akışlarına bağlanmak için, Microsoft Sentinel 'e, aşağıda bağlanmış her bir satıcı tarafından sağlanan verilerle birlikte Microsoft Sentinel to STIX/TAXıı Threat Intelligence akışlarını bağlamayönergelerini izleyin. Bağlayıcıyla kullanılacak gerekli verileri almak için doğrudan satıcıyla iletişim kurmanız gerekebilir.
Anomali Limo
Sialtıya koyu akış
- Microsoft Sentinel ile Sialtıgill tümleştirme hakkında bilgi edinin @Cybersixgill
- Microsoft Sentinel 'i Cyberaltıgill TAXıı sunucusuna bağlamak ve karanlık akışa erişim sağlamak için, API kökünü, koleksiyon KIMLIĞINI, Kullanıcı adını ve parolayı almak üzere Sikogill ile iletişim kurun .
Finans hizmetleri bilgi paylaşımı ve Analiz Merkezi (FS-ISAC)
- Bu akışa erişmek için kimlik bilgilerini almak üzere FS-ISAC 'ye katın.
Sağlık bilgileri paylaşım topluluğu (H-ISAC)
- Bu akışa erişmek üzere kimlik bilgilerini almak için H-ISAC 'ye katın .
IBM X-zorla
IntSights
- Microsoft Sentinel ile ıntsıghts tümleştirmesi hakkında daha fazla bilgi edinin @IntSights
- Microsoft Sentinel 'i IntSights TAXıı sunucusuna bağlamak için, Microsoft Sentinel 'e göndermek istediğiniz verilerin bir ilkesini yapılandırdıktan sonra, ıntsıghts portalından API kökünü, koleksiyon KIMLIĞINI, Kullanıcı adını ve parolayı alın.
ThreatConnect
- STIX ve TAXıı hakkında daha fazla bilgi edinin @ThreatConnect
- TAXıı Hizmetleri belgeleri @ThreatConnect
Sectrio
- Sectrio tümleştirmesi hakkında daha fazla bilgi edinin
- Sectrio 'un TI akışını Microsoft Sentinel 'e tümleştirmek için adım adım işlem
Tümleşik tehdit bilgileri platformu ürünleri
Tehdit bilgileri platformu (tıp) akışlarına bağlanmak için, tehdit zekası platformlarını Microsoft Sentinel 'e bağlamayönergelerini izleyin. Bu yönergelerin ikinci bölümü, tıp çözümünüze bilgi girmenize yönelik olarak çağrı yapılır. Daha fazla bilgi için aşağıdaki bağlantılara bakın.
Agari savunma ve marka koruması
- Agari kimlik avı savunması ve marka korumasınıbağlamak Için, Microsoft Sentinel 'de yerleşik Agari veri bağlayıcısını kullanın.
Anomali ThreatStream
- threatstream tümleştirmelerini ve uzantılarınıve Microsoft Graph güvenlik apı 'sine threatstream ıntelligence bağlama yönergelerini indirmek için, threatstream indirmeleri sayfasına bakın.
alienkasası açık tehdit Exchange (otx),&T sisecurity 'den
- alienkasa otx , Microsoft Sentinel 'e bağlanmak için Azure Logic Apps (playbooks) kullanır. Eksiksiz sunumdan tam anlamıyla yararlanabilmek için gereken özelleştirilmiş yönergelere bakın.
EclecticIQ platformu
- EclecticIQ platformu tehdit algılamayı, arama ve yanıtı iyileştirmek için Microsoft Sentinel ile tümleşir. Bu iki yönlü tümleştirmenin avantajları ve kullanım durumları hakkında daha fazla bilgi edinin.
Groupıb tehdit bilgileri ve Attributıon
- Groupıb tehdit zekası ve atıklama 'Yı Microsoft Sentinel 'e bağlamak Için groupıb Azure Logic Apps kullanır. Eksiksiz sunumdan tam anlamıyla yararlanabilmek için gereken özelleştirilmiş yönergelere bakın.
Hatalı p açık kaynak tehdit bilgileri platformu
- tehdit göstergelerini Microsoft Graph güvenlik apı 'sine geçirmek için hatalı p örnekleri sunan bir örnek betik için, bkz. mıp to Microsoft Graph security script.
- MISP Project hakkında daha fazla bilgi edinin.
Palo Alto Networks MineMeld
- palo alto minemeld 'yi Microsoft Sentinel 'e bağlantı bilgileriyle yapılandırmak için bkz. minemeld kullanarak Microsoft Graph güvenlik apı 'sine ıocs gönderme ve minemeld yapılandırma başlığına atlama.
Gelecek güvenlik zekası platformu kaydedildi
- daha sonra kaydedilen , Microsoft Sentinel 'e bağlanmak için Azure Logic Apps (playbooks) kullanır. Eksiksiz sunumdan tam anlamıyla yararlanabilmek için gereken özelleştirilmiş yönergelere bakın.
ThreatConnect platformu
- threatconnect 'i Microsoft Sentinel 'e bağlama yönergeleri için bkz. güvenlik tehdidi göstergeleri tümleştirme yapılandırma kılavuzu Microsoft Graph .
Threatbölüm tehdit bilgileri platformu
- Threatbölüm Ipucunu Microsoft Sentinel 'e bağlamaya yönelik destek bilgileri ve yönergeler için bkz. Microsoft Sentinel Connector .
Olay zenginleştirme kaynakları
Tehdit göstergelerini içeri aktarmak için kullanmanın yanı sıra, tehdit bilgileri akışları da olaylarınızın bilgilerini zenginleştirmek ve araştırmalarınıza daha fazla bağlam sağlamak için bir kaynak olarak da kullanılabilir. Aşağıdaki akışlar bu amaca yardımcı olarak Otomatik olay Yanıtınızdakikullanabileceğiniz mantıksal uygulama PlayBook 'larını sağlar.
HYAS Insight
- Microsoft Sentinel GitHub deposundaki HYAS ınsight için olay zenginleştirme playbook 'larını bulun ve etkinleştirin. "Enrich-Sentinel-Incident-HYAS-Insight-" ile başlayan alt klasörleri arayın.
- HYAS Insight Logic App Connector belgelerinebakın.
Gelecek güvenlik zekası platformu kaydedildi
- Microsoft Sentinel GitHub deposundadaha sonra kaydedilen olay zenginleştirme playbook 'ları 'ları bulun ve etkinleştirin. "RecordedFuture_" ile başlayan alt klasörleri ara.
- Kaydedilen gelecekteki Logic App Connector belgelerinebakın.
ReversingLabs TitaniumCloud
- Microsoft Sentinel GitHub deposunda reversinglabs için olay zenginleştirme playbook 'larını bulun ve etkinleştirin.
- ReversingLabs Intelligence Logic App Connector belgelerinebakın.
RiskIQ pasif toplamı
- Microsoft Sentinel GitHub deposundaki riskiq pasif toplamı için olay zenginleştirme oyun defterlerini bulun ve etkinleştirin. "Enrich-SentinelIncident-RiskIQ-" ile başlayan alt klasörleri arayın.
- RiskIQ playbooks ile çalışma hakkında daha fazla bilgi için bkz..
- RiskIQ PassiveTotal Logic App Connector belgelerinebakın.
Virüs toplamı
- Microsoft Sentinel GitHub deposundaki virüs toplamı için olay zenginleştirme playbook 'ları 'ları bulun ve etkinleştirin. "Get-VirusTotal" ve "Get-VTURL" ile başlayan alt klasörleri arayın.
- Bkz. virüs toplam Logic App Connector belgeleri.
Sonraki adımlar
Bu belgede, tehdit bilgileri sağlayıcınızı Microsoft Sentinel 'e bağlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın.