Integrace analýzy hrozeb ve službě Microsoft Sentinel

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel nabízí několik způsobů použití informačních kanálů analýzy hrozeb k vylepšení schopnosti analytiků zabezpečení zjišťovat a určovat prioritu známých hrozeb:

• Použijte jeden z mnoha dostupných produktů pro integrovanou platformu analýzy hrozeb (TIP).
• Připojte se k serverům TAXII a využijte výhod libovolného zdroje analýzy hrozeb kompatibilních s STIX.
• Připojte se přímo k informačnímu kanálu Analýza hrozeb v programu Microsoft Defender.
• Využijte všechna vlastní řešení, která můžou komunikovat přímo s rozhraním API indikátorů nahrávání analýzy hrozeb.
• Připojte se ke zdrojům analýzy hrozeb z playbooků a obohaťte incidenty informacemi o analýze hrozeb, které můžou pomoct s přímým vyšetřováním a reakcemi.

Tip

Pokud máte ve stejném tenantovi více pracovních prostorů, například pro poskytovatele spravovaných služeb zabezpečení (MSSP), může být cenově výhodnější připojit indikátory hrozeb pouze k centralizovaným pracovnímu prostoru.

Pokud máte stejnou sadu indikátorů hrozeb importovaných do každého samostatného pracovního prostoru, můžete spouštět dotazy mezi pracovními prostory, které agregují indikátory hrozeb napříč pracovními prostory. Korelujte je v rámci vašeho prostředí pro zjišťování, vyšetřování a proaktivní vyhledávání incidentů MSSP.

Informační kanály analýzy hrozeb TAXII

Pokud se chcete připojit k informačním kanálům analýzy hrozeb TAXII, připojte Microsoft Sentinel k informačním kanálům analýzy hrozeb STIX/TAXII spolu s daty poskytnutými jednotlivými dodavateli. Možná budete muset kontaktovat dodavatele přímo, abyste získali potřebná data pro použití s konektorem.

Accenture cyber threat intelligence

• Seznamte se s integrací analýzy kybernetických hrozeb (CTI) Společnosti Accenture se službou Microsoft Sentinel.

Cybersixgill Darkfeed

• Přečtěte si o integraci Cybersixgill s Microsoft Sentinelem.
• Připojte Microsoft Sentinel k serveru Cybersixgill TAXII a získejte přístup k aplikaci Darkfeed. Kontakt azuresentinel@cybersixgill.com pro získání kořenového adresáře rozhraní API, ID kolekce, uživatelského jména a hesla

Výměna Cyware threat intelligence (CTIX)

Jednou z komponent Cyware TIP, CTIX, je učinit intel actionable with a TAXII feed for your security information and event management. Pro Microsoft Sentinel postupujte podle zde uvedených pokynů:

• Informace o integraci s Microsoft Sentinelem

ESET

• Seznamte se s nabídkou analýzy hrozeb společnosti ESET.
• Připojte Microsoft Sentinel k serveru ESET TAXII. Získejte kořenovou adresu URL rozhraní API, ID kolekce, uživatelské jméno a heslo ze svého účtu ESET. Pak postupujte podle obecných pokynů a článku společnosti ESET znalostní báze.

Centrum pro sdílení a analýzu informací o finančních službách (FS-ISAC)

• Připojte se k FS-ISAC a získejte přihlašovací údaje pro přístup k tomuto informačnímu kanálu.

Komunita sdílení informací o stavu (H-ISAC)

• Připojte se k H-ISAC a získejte přihlašovací údaje pro přístup k tomuto informačnímu kanálu.

IBM X-Force

• Přečtěte si další informace o integraci IBM X-Force.

IntSights

• Další informace o nástroji IntSights integration with Microsoft Sentinel @IntSights.
• Připojte Microsoft Sentinel k serveru IntSights TAXII. Po konfiguraci zásad dat, která chcete odeslat do Microsoft Sentinelu, získejte z portálu IntSights kořen rozhraní API, ID kolekce, uživatelské jméno a heslo.

Kaspersky

• Seznamte se s integrací Společnosti Kaspersky se službou Microsoft Sentinel.

Pulsedive

• Přečtěte si o integraci Pulsedive s Microsoft Sentinelem.

ReversingLabs

• Přečtěte si o integraci ReversingLabs TAXII s Microsoft Sentinelem.

Sectrio

• Přečtěte si další informace o integraci Sectrio.
• Seznamte se s podrobným procesem integrace informačního kanálu analýzy hrozeb Sectrio do Microsoft Sentinelu.

SEKOIA. IO

• Přečtěte si informace o SEKOIA. Integrace vstupně-výstupních operací s Microsoft Sentinelem

ThreatConnect

• Přečtěte si další informace o STIX a TAXII na ThreatConnect.
• Viz dokumentace ke službám TAXII na webu ThreatConnect.

Integrované produkty platformy analýzy hrozeb

Pokud se chcete připojit k informačním kanálům TIP, přečtěte si téma Připojení platforem analýzy hrozeb k Microsoft Sentinelu. V následujících řešeních se dozvíte, jaké další informace jsou potřeba.

Agari Phishing Defense a Brand Protection

• Pokud chcete připojit Agari Phishing Defense a Brand Protection, použijte integrovaný datový konektor Agari v Microsoft Sentinelu.

Anomálie ThreatStream

• Pokud chcete stáhnout integrátor ThreatStream a rozšíření a pokyny pro připojení analýzy ThreatStream k Rozhraní API pro zabezpečení Microsoft Graphu, podívejte se na stránku pro stahování ThreatStream.

AlienVault Open Threat Exchange (OTX) od AT&T Cybersecurity

• Zjistěte, jak AlienVault OTX využívá Azure Logic Apps (playbooky) k připojení k Microsoft Sentinelu. Podívejte se na specializované pokyny potřebné k tomu, abyste plně využili kompletní nabídky.

EclecticIQ Platform

• EclecticIQ Platform se integruje se službou Microsoft Sentinel za účelem zvýšení detekce hrozeb, proaktivního vyhledávání a reakce. Přečtěte si další informace o výhodách a případech použití této obousměrné integrace.

Filigran OpenCTI

• Filigran OpenCTI může odesílat informace o hrozbách do Microsoft Sentinelu buď prostřednictvím vyhrazeného konektoru , který běží v reálném čase, nebo tím, že funguje jako server TAXII 2.1, který bude Sentinel pravidelně dotazovat. Může také přijímat strukturované incidenty ze služby Sentinel prostřednictvím konektoru incidentů Microsoft Sentinelu.

GroupIB Threat Intelligence and Attribution

• K propojení analýzy hrozeb GroupIB a přiřazení k Microsoft Sentinelu využívá GroupIB Logic Apps. Podívejte se na specializované pokyny , které jsou nezbytné k tomu, abyste plně využili kompletní nabídky.

Open source platforma analýzy hrozeb MISP

• Nasdílení indikátorů hrozeb z MISP do Microsoft Sentinelu pomocí rozhraní API indikátorů pro nahrání analýzy hrozeb s FUNKCÍ MISP2Sentinel.
• Viz MISP2Sentinel na Azure Marketplace.
• Přečtěte si další informace o projektu MISP.

Palo Alto Networks MineMeld

• Pokud chcete nakonfigurovat Palo Alto MineMeld s informacemi o připojení ke službě Microsoft Sentinel, přečtěte si téma Odesílání vstupně-výstupních operací do microsoft Graphu Rozhraní API pro zabezpečení pomocí MineMeldu. Přejděte na nadpis "MineMeld Configuration".

Zaznamenaná platforma pro analýzu zabezpečení v budoucnu

• Přečtěte si, jak funkce Recorded Future využívá Logic Apps (playbooky) k připojení k Microsoft Sentinelu. Podívejte se na specializované pokyny potřebné k tomu, abyste plně využili kompletní nabídky.

ThreatConnect Platform

• Pokyny pro připojení ThreatConnect k Microsoft Sentinelu najdete v průvodci konfigurací indikátorů ohrožení zabezpečení v Microsoft Graphu.

ThreatQuotient Threat Intelligence Platform

• Informace o podpoře a pokyny pro připojení tipu ThreatQuotient k Microsoft Sentinelu najdete v tématu Integrace konektoru Microsoft Sentinelu pro ThreatQ.

Zdroje rozšiřování incidentů

Kromě toho, že se používají k importu indikátorů hrozeb, můžou informační kanály analýzy hrozeb sloužit také jako zdroj k obohacení informací ve vašich incidentech a poskytnutí dalšího kontextu pro vyšetřování. Následující informační kanály slouží k tomuto účelu a poskytují playbooky Logic Apps, které se mají použít ve vaší automatizované reakci na incidenty. Tyto zdroje rozšiřování najdete v centru obsahu.

Další informace o tom, jak najít a spravovat řešení, najdete v tématu Zjišťování a nasazení obsahu před nasazením.

HYAS Insight

• Vyhledejte a povolte playbooky pro rozšiřování incidentů pro přehled HYAS v úložišti GitHub pro Microsoft Sentinel. Vyhledejte podsložky začínající na Enrich-Sentinel-Incident-HYAS-Insight-.
• Viz dokumentace ke konektoru HYAS Insight Logic Apps.

Microsoft Defender Analýza hrozeb

• Vyhledejte a povolte playbooky pro rozšiřování incidentů pro Analýza hrozeb v programu Microsoft Defender v úložišti Microsoft Sentinel Na GitHubu.
• Další informace najdete v blogovém příspěvku technické komunity Defender Threat Intelligence.

Zaznamenání budoucí platformy Security Intelligence

• Vyhledejte a povolte playbooky pro rozšiřování incidentů v úložišti Microsoft Sentinel Na GitHubu pro zaznamenané budoucnost. Vyhledejte podsložky začínající na RecordedFuture_.
• Viz dokumentace ke konektoru Recorded Future Logic Apps.

ReversingLabs TitaniumCloud

• Vyhledejte a povolte playbooky pro rozšiřování incidentů pro ReversingLabs v úložišti Microsoft Sentinel Na GitHubu.
• Viz dokumentace ke konektoru ReversingLabs TitanumCloud Logic Apps.

RiskIQ PassiveTotal

• V úložišti Microsoft Sentinel Na GitHubu vyhledejte a povolte playbooky pro rozšiřování incidentů pro riskIQ Passive Total.
• Podívejte se na další informace o práci s playbooky RiskIQ.
• Viz dokumentace ke konektoru RiskIQ PassiveTotal Logic Apps.

VirusTotal

• V úložišti Microsoft Sentinel Na GitHubu vyhledejte a povolte playbooky pro rozšiřování incidentů pro VirusTotal. Vyhledejte podsložky začínající na Get-VTURL.
• Viz dokumentace ke konektoru VirusTotal Logic Apps.

Související obsah

V tomto článku jste zjistili, jak propojit poskytovatele analýzy hrozeb s Microsoft Sentinelem. Další informace o službě Microsoft Sentinel najdete v následujících článcích:

• Zjistěte, jak získat přehled o datech a potenciálních hrozbách.
• Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel.