你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Microsoft Sentinel 中的威胁情报集成

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 可提供一些使用威胁情报源的不同方法，以增强安全分析师检测及确定已知威胁优先级的能力。

• 使用众多可用的集成威胁情报平台 (TIP) 产品之一。
• 连接到 TAXII 服务器以利用任何与 STIX 兼容的威胁情报源。
• 直接连接到 Microsoft Defender Threat Intelligence 源。
• 使用任何可直接与威胁情报上传指示器 API 通信的自定义解决方案。
• 此外，还可以从 playbook 连接到威胁情报源，以使用有助于引导完成调查和响应操作的 TI 信息来扩充事件。

提示

如果同一租户中有多个工作区，例如托管安全服务提供商 (MSSP) 的工作区，则仅将威胁指标连接到集中式工作区可能更具成本效益。

将同一组威胁指标导入到每个单独的工作区时，可以运行跨工作区查询以聚合整个工作区的威胁指标。 在 MSSP 事件检测、调查和搜寻体验中关联这些指标。

TAXII 威胁情报源

若要连接到 TAXII 威胁情报源，请结合使用每个供应商提供的数据，按说明将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源。 你可能需要直接联系供应商来获取与连接器配合使用的必要数据。

Accenture 网络威胁智能

• 了解 Accenture 网络威胁情报 (CTI) 与 Microsoft Sentinel 的集成。

Cybersixgill Darkfeed

• 了解 Cybersixgill 与 Microsoft Sentinel 的集成 。
• 若要将 Microsoft Sentinel 连接到 Cybersixgill TAXII Server 并获取 Darkfeed 访问权限，请联系 azuresentinel@cybersixgill.com 获取 API Root、集合 ID、用户名和密码。

ESET

• 了解 ESET 的威胁情报产品/服务。
• 若要将 Microsoft Sentinel 连接到 ESET TAXII 服务器，请从 ESET 帐户获取 API 根 URL、集合 ID、用户名和密码。 然后按照常规说明和 ESET 的知识库文章进行操作。

Financial Services Information Sharing and Analysis Center (FS-ISAC)

• 加入 FS-ISAC 以获取用于访问此源的凭据。

Health Intelligence Sharing Community (H-ISAC)

• 加入 H-ISAC 以获取用于访问此源的凭据。

IBM X-Force

• 详细了解 IBM X-Force 集成。

IntSights

• Learn more about the IntSights integration with Microsoft Sentinel @IntSights。
• 若要将 Microsoft Sentinel 连接到 IntSights TAXII Server，请在针对要发送到 Microsoft Sentinel 的数据配置策略后，从 IntSights 门户获取 API Root、集合 ID、用户名和密码。

Kaspersky

• 了解 Kaspersky 与 Microsoft Sentinel 的集成。

Pulsedive

• 了解 Pulsedive 与 Microsoft Sentinel 的集成。

ReversingLabs

• 了解 ReversingLabs TAXII 与 Microsoft Sentinel 的集成。

Sectrio

• 详细了解 Sectrio 集成。
• 将 Sectrio 的 TI 源集成到 Microsoft Sentinel 的分步过程。

SEKOIA.IO

• 了解 SEKOIA.IO 与 Microsoft Sentinel 的集成。

ThreatConnect

• 在 ThreatConnect 上详细了解 STIX 和 TAXII。
• 请参阅 ThreatConnect 上的 TAXII 服务文档

集成式威胁情报平台产品

若要连接到威胁情报平台 (TIP) 源，请参阅将威胁情报平台连接到 Microsoft Sentinel。 请参阅以下解决方案，以了解需要哪些附加信息。

Agari Phishing Defense 和 Agari Brand Protection

• 若要连接 Agari Phishing Defense and Brand Protection，请使用 Microsoft Sentinel 中的内置 Agari 数据连接器。

Anomali ThreatStream

• 若要下载 ThreatStream 集成器和扩展以及有关将 ThreatStream 情报连接到 Microsoft Graph 安全性 API 的说明，请参阅 ThreatStream 下载页。

AT&T Cybersecurity 提供的 AlienVault Open Threat Exchange (OTX)

• AlienVault OTX 利用 Azure 逻辑应用 (playbook) 连接到 Microsoft Sentinel。 请参阅有关充分利用完整产品/服务所需的专门说明。

EclecticIQ 平台

• EclecticIQ 平台与 Microsoft Sentinel 集成以增强威胁检测、搜寻和响应功能。 详细了解此双向集成的优势和用例。

GroupIB Threat Intelligence and Attribution

• GroupIB 利用 Azure 逻辑应用将 GroupIB Threat Intelligence and Attribution 连接到 Microsoft Sentinel。 请参阅有关充分利用完整产品/服务所需的专门说明。

MISP 开源威胁情报平台

• 搭配使用 TI 上传指标 API 和 MISP2Sentinel，将威胁指标从 MISP 推送到 Microsoft Sentinel。
• 这是 MISP2Sentinel 的 Azure 市场链接。
• 详细了解 MISP 项目。

Palo Alto Networks MineMeld

• 若要为 Palo Alto MineMeld 配置 Microsoft Sentinel 连接信息，请参阅使用 MineMeld 将 IOC 发送到 Microsoft Graph 安全性 API 并跳转到“MineMeld 配置”标题。

Recorded Future Security Intelligence Platform

• Recorded Future 利用 Azure 逻辑应用 (playbook) 连接到 Microsoft Sentinel。 请参阅有关充分利用完整产品/服务所需的专门说明。

ThreatConnect 平台

• 有关将 ThreatConnect 连接到 Microsoft Sentinel 的说明，请参阅 Microsoft Graph 安全威胁指标集成配置指南。

ThreatQuotient Threat Intelligence Platform

• 有关支持信息以及将 ThreatQuotient TIP 连接到 Microsoft Sentinel 的说明，请参阅用于 ThreatQ 集成的 Microsoft Sentinel 连接器。

事件扩充源

除了用于导入威胁指标以外，威胁情报源还可以充当一个源来扩充事件中的信息，并为调查工作提供更多上下文。 以下源可帮助实现此目的，并提供可在自动事件响应中使用的逻辑应用 playbook。 在内容中心查找这些扩充源。

有关如何查找并管理解决方案的详细信息，请参阅发现和部署现成内容。

HYAS Insight

• 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 HYAS Insight 的事件扩充 playbook。 搜索以“Enrich-Sentinel-Incident-HYAS-Insight-”开头的子文件夹。
• 参阅 HYAS Insight 逻辑应用连接器文档。

Microsoft Defender 威胁智能

• 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 Microsoft Defender Threat Intelligence 的事件扩充 playbook。
• 有关详细信息，请参阅 MDTI 技术社区博客文章。

Recorded Future Security Intelligence Platform

• 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 Recorded Future 的事件扩充 playbook。 搜索以“RecordedFuture_”开头的子文件夹。
• 参阅 Recorded Future 逻辑应用连接器文档。

ReversingLabs TitaniumCloud

• 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 ReversingLabs 的事件扩充 playbook。
• 请参阅 ReversingLabsTitiCloud 逻辑应用连接器文档。

RiskIQ Passive Total

• 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 RiskIQ Passive Total 的事件扩充 playbook。
• 参阅有关使用 RiskIQ playbook 的详细信息。
• 参阅 RiskIQ PassiveTotal 逻辑应用连接器文档。

Virus Total

• 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 Virus Total 的事件扩充 playbook。 搜索以“Get-VTURL”开头的子文件夹。
• 参阅 Virus Total 逻辑应用连接器文档。

后续步骤

本文档介绍了如何将威胁情报连接到 Microsoft Sentinel。 若要详细了解 Microsoft Sentinel，请参阅以下文章。

• 了解如何洞悉数据和潜在威胁。
• 开始使用 Microsoft Sentinel 检测威胁。