Sdílet prostřednictvím

Připojení Microsoft Sentinelu k informačním kanálům ANALÝZY hrozeb STIX/TAXII

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nejrozšířenější oborový standard pro přenos analýzy hrozeb je kombinace datového formátu STIX a protokolu TAXII. Pokud vaše organizace obdrží indikátory hrozeb z řešení, která podporují aktuální verzi STIX/TAXII (2.0 nebo 2.1), můžete pomocí datového konektoru Threat Intelligence – TAXII přenést indikátory hrozeb do Microsoft Sentinelu. Tento konektor umožňuje integrovanému klientovi TAXII v Microsoft Sentinelu importovat analýzu hrozeb ze serverů TAXII 2.x.

Snímek obrazovky znázorňující cestu importu TAXII

Pokud chcete importovat indikátory hrozeb ve formátu STIX do Služby Microsoft Sentinel ze serveru TAXII, musíte získat kořen rozhraní API serveru TAXII a ID kolekce. Potom povolíte datový konektor Threat Intelligence – TAXII v Microsoft Sentinelu.

Přečtěte si další informace o inteligenci hrozeb v Microsoft Sentinelu a konkrétně o informačních kanálech ANALÝZY hrozeb TAXII, které můžete integrovat s Microsoft Sentinelem.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Další informace najdete v tématu Připojení platformy analýzy hrozeb (TIP) k Microsoft Sentinelu.

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

  • Pokud chcete nainstalovat, aktualizovat a odstranit samostatný obsah nebo řešení v centru obsahu, potřebujete roli Přispěvatel Microsoft Sentinelu na úrovni skupiny prostředků.
  • Abyste mohli ukládat indikátory hrozeb, musíte mít oprávnění ke čtení a zápisu do pracovního prostoru Microsoft Sentinelu.
  • Musíte mít identifikátor URI kořenového identifikátoru URI rozhraní API TAXII 2.0 nebo TAXII 2.1.

Získání ID kořenového adresáře a kolekce rozhraní API serveru TAXII

Servery TAXII 2.x inzerují kořeny rozhraní API, což jsou adresy URL, které hostují kolekce analýzy hrozeb. Kořen rozhraní API a ID kolekce obvykle najdete na stránkách dokumentace poskytovatele analýzy hrozeb, který je hostitelem serveru TAXII.

Poznámka:

V některých případech poskytovatel inzeruje pouze adresu URL označovanou jako koncový bod zjišťování. Pomocí nástroje cURL můžete procházet koncový bod zjišťování a požádat o kořenový adresář rozhraní API.

Instalace řešení Analýza hrozeb v Microsoft Sentinelu

Pokud chcete importovat indikátory hrozeb do Služby Microsoft Sentinel ze serveru TAXII, postupujte takto:

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa obsahu vyberte Centrum obsahu.

    Pro Microsoft Sentinel na portálu Defender vyberte centrum obsahu pro správu>obsahu služby Microsoft Sentinel>.

  2. Vyhledejte a vyberte řešení Analýzy hrozeb .

  3. Vyberte tlačítko Instalovat/Aktualizovat.

Další informace o správě komponent řešení najdete v tématu Zjišťování a nasazení obsahu před nasazením.

Povolení datového konektoru Threat Intelligence – TAXII

  1. Pokud chcete nakonfigurovat datový konektor TAXII, vyberte nabídku Datové konektory .

  2. Najděte a vyberte datový konektor Analýza hrozeb – TAXII a pak vyberte Otevřít stránku konektoru.

    Snímek obrazovky znázorňující stránku Datové konektory se zobrazeným datovým konektorem TAXII

  3. Do textového pole Popisný název zadejte název této kolekce serverů TAXII. Vyplňte textová pole pro kořenovou adresu URL rozhraní API, ID kolekce, uživatelské jméno (v případě potřeby) a heslo (v případě potřeby). Zvolte skupinu indikátorů a požadovanou frekvenci dotazování. Vyberte Přidat.

    Snímek obrazovky znázorňující konfiguraci serverů TAXII

Měli byste obdržet potvrzení, že připojení k serveru TAXII bylo úspěšně vytvořeno. Opakujte poslední krok tolikrát, kolikrát se chcete připojit k více kolekcí z jednoho nebo více serverů TAXII.

Během několika minut by se indikátory hrozeb měly začít spouštět do tohoto pracovního prostoru Služby Microsoft Sentinel. Najděte nové indikátory v podokně Analýza hrozeb. Můžete k němu přistupovat z nabídky Microsoft Sentinelu.

Seznam povolených IP adres pro klienta TAXII služby Microsoft Sentinel

Některé servery TAXII, jako je FS-ISAC, mají požadavek na zachování IP adres klienta TAXII služby Microsoft Sentinel na seznamu povolených. Většina serverů TAXII tento požadavek nemá.

Pokud je to relevantní, jsou následující IP adresy, které se mají zahrnout do seznamu povolených adres:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Související obsah

V tomto článku jste zjistili, jak připojit Microsoft Sentinel k informačním kanálům analýzy hrozeb pomocí protokolu TAXII. Další informace o službě Microsoft Sentinel najdete v následujících článcích: