連線 Microsoft Sentinel 至 STIX/TAXII 威脅情報摘要
傳輸威脅情報的最廣泛採用業界標準是 STIX 數據格式和 TAXII 通訊協定的組合。 如果您的組織收到支援目前 STIX/TAXII 版本解決方案的威脅指標(2.0 或 2.1),您可以使用 威脅情報 - TAXII 數據連接器 將威脅指標帶入 Microsoft Sentinel。 此連接器可讓 Microsoft Sentinel 中的內建 TAXII 用戶端從 TAXII 2.x 伺服器匯入威脅情報。
若要從 TAXII 伺服器將 STIX 格式化的威脅指標匯入 Microsoft Sentinel,您必須取得 TAXII 伺服器 API 根和集合標識碼,然後在 Microsoft Sentinel 中啟用威脅情報 - TAXII 數據連接器。
深入瞭解 Microsoft Sentinel 中的威脅情報 ,特別是 可與 Microsoft Sentinel 整合的 TAXII 威脅情報摘要 。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
另請參閱:連線 威脅情報平臺 (TIP) 至 Microsoft Sentinel
必要條件
- 若要在內容中樞安裝、更新和刪除獨立內容或解決方案,您需要 資源群組層級的 Microsoft Sentinel 參與者 角色。
- 您必須擁有 Microsoft Sentinel 工作區的讀取和寫入許可權,才能儲存威脅指標。
- 您必須有 TAXII 2.0 或 TAXII 2.1 API 根 URI 和 集合標識符。
取得 TAXII 伺服器 API 根和集合識別碼
TAXII 2.x 伺服器會公告 API 根目錄,也就是裝載威脅情報集合的 URL。 您通常可以在裝載 TAXII 伺服器之威脅情報提供者的文件頁面中找到 API 根目錄和集合識別碼。
注意
在某些情況下,提供者只會公告稱為探索端點的URL。 您可以使用 cURL 公用程式來瀏覽探索端點並要求 API 根目錄。
在 Microsoft Sentinel 中安裝威脅情報解決方案
若要從 TAXII 伺服器將威脅指標匯入 Microsoft Sentinel,請遵循下列步驟:
針對 Azure 入口網站 中的 Microsoft Sentinel,在 [內容管理] 底下,選取 [內容中樞]。
針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>內容管理>內容中樞]。尋找並選取 威脅情報 解決方案。
選取 [ 安裝/更新] 按鈕。
如需如何管理解決方案元件的詳細資訊,請參閱 探索和部署現用內容。
啟用威脅情報 - TAXII 數據連接器
若要設定 TAXII 資料連接器,請選取 [資料連接器] 功能表。
尋找並選取 [威脅情報 - TAXII 數據連接器開啟連接器 >] 頁面 按鈕。
輸入此 TAXII 伺服器集合的易記名稱、API 根 URL、集合標識碼、使用者名稱(如有必要),以及密碼(如有必要),然後選擇指標群組和您想要的輪詢頻率。 選取新增按鈕。
您應該會收到成功建立 TAXII 伺服器連線的確認,而且您可能會重複上述最後一個步驟,以從一或多部 TAXII 伺服器連線到多個集合。
在幾分鐘內,威脅指標應該會開始流入此 Microsoft Sentinel 工作區。 您可以在 [威脅情報] 刀鋒視窗中找到新的指標,可從 Microsoft Sentinel 導覽功能表存取。
Microsoft Sentinel TAXII 用戶端的IP允許清單
某些 TAXII 伺服器,例如 FS-ISAC,必須保留允許清單上 Microsoft Sentinel TAXII 用戶端的 IP 位址。 大部分的 TAXII 伺服器都不需要此需求。
相關時,下列IP位址會包含在您的allowlist中:
- 20.193.17.32
- 20.197.219.106
- 20.48.128.36
- 20.199.186.58
- 40.80.86.109
- 52.158.170.36
- 20.52.212.85
- 52.251.70.29
- 20.74.12.78
- 20.194.150.139
- 20.194.17.254
- 51.13.75.153
- 102.133.139.160
- 20.197.113.87
- 40.123.207.43
- 51.11.168.197
- 20.71.8.176
- 40.64.106.65
相關內容
在本檔中,您已瞭解如何使用TAXII通訊協定將 Microsoft Sentinel 連線到威脅情報摘要。 若要深入瞭解 Microsoft Sentinel,請參閱下列文章。
- 學習如何洞察資料及潛在威脅。
- 開始使用 Microsoft Sentinel 來偵測威脅。