連線 Microsoft Sentinel 至 STIX/TAXII 威脅情報摘要

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

傳輸威脅情報的最廣泛採用業界標準是 STIX 數據格式和 TAXII 通訊協定的組合。 如果您的組織收到支援目前 STIX/TAXII 版本解決方案的威脅指標(2.0 或 2.1),您可以使用 威脅情報 - TAXII 數據連接器 將威脅指標帶入 Microsoft Sentinel。 此連接器可讓 Microsoft Sentinel 中的內建 TAXII 用戶端從 TAXII 2.x 伺服器匯入威脅情報。

TAXII 匯入路徑

若要從 TAXII 伺服器將 STIX 格式化的威脅指標匯入 Microsoft Sentinel,您必須取得 TAXII 伺服器 API 根和集合標識碼,然後在 Microsoft Sentinel 中啟用威脅情報 - TAXII 數據連接器。

深入瞭解 Microsoft Sentinel 中的威脅情報 ,特別是 可與 Microsoft Sentinel 整合的 TAXII 威脅情報摘要

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

請參閱:連線 威脅情報平臺 (TIP) 至 Microsoft Sentinel

必要條件

  • 若要在內容中樞安裝、更新和刪除獨立內容或解決方案,您需要 資源群組層級的 Microsoft Sentinel 參與者 角色。
  • 您必須擁有 Microsoft Sentinel 工作區的讀取和寫入許可權,才能儲存威脅指標。
  • 您必須有 TAXII 2.0 或 TAXII 2.1 API 根 URI集合標識符

取得 TAXII 伺服器 API 根和集合識別碼

TAXII 2.x 伺服器會公告 API 根目錄,也就是裝載威脅情報集合的 URL。 您通常可以在裝載 TAXII 伺服器之威脅情報提供者的文件頁面中找到 API 根目錄和集合識別碼。

注意

在某些情況下,提供者只會公告稱為探索端點的URL。 您可以使用 cURL 公用程式來瀏覽探索端點並要求 API 根目錄。

在 Microsoft Sentinel 中安裝威脅情報解決方案

若要從 TAXII 伺服器將威脅指標匯入 Microsoft Sentinel,請遵循下列步驟:

  1. 針對 Azure 入口網站 中的 Microsoft Sentinel,在 [內容管理] 底下,選取 [內容中樞]。
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>內容管理>內容中樞]。

  2. 尋找並選取 威脅情報 解決方案。

  3. 選取 [ 安裝/更新] 按鈕。

如需如何管理解決方案元件的詳細資訊,請參閱 探索和部署現用內容

啟用威脅情報 - TAXII 數據連接器

  1. 若要設定 TAXII 資料連接器,請選取 [資料連接器] 功能表。

  2. 尋找並選取 [威脅情報 - TAXII 數據連接器開啟連接器 >] 頁面 按鈕。

    顯示數據連接器頁面的螢幕快照,其中列出TAXII資料連接器。

  3. 輸入此 TAXII 伺服器集合的易記名稱、API 根 URL、集合標識碼使用者名稱(如有必要),以及密碼(如有必要),然後選擇指標群組和您想要的輪詢頻率。 選取新增按鈕。

    設定 TAXII 伺服器

您應該會收到成功建立 TAXII 伺服器連線的確認,而且您可能會重複上述最後一個步驟,以從一或多部 TAXII 伺服器連線到多個集合。

在幾分鐘內,威脅指標應該會開始流入此 Microsoft Sentinel 工作區。 您可以在 [威脅情報] 刀鋒視窗中找到新的指標,可從 Microsoft Sentinel 導覽功能表存取。

Microsoft Sentinel TAXII 用戶端的IP允許清單

某些 TAXII 伺服器,例如 FS-ISAC,必須保留允許清單上 Microsoft Sentinel TAXII 用戶端的 IP 位址。 大部分的 TAXII 伺服器都不需要此需求。

相關時,下列IP位址會包含在您的allowlist中:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

相關內容

在本檔中,您已瞭解如何使用TAXII通訊協定將 Microsoft Sentinel 連線到威脅情報摘要。 若要深入瞭解 Microsoft Sentinel,請參閱下列文章。