Integration von Bedrohungsdaten in Microsoft Sentinel
Microsoft Sentinel bietet Ihnen mehrere Möglichkeiten, Threat Intelligence-Feeds zu nutzen, um die Fähigkeit Ihrer Sicherheitsanalysten zu verbessern, bekannte Bedrohungen zu erkennen und zu priorisieren.
- Verwenden Sie eines von vielen verfügbaren Produkten der Threat Intelligence-Plattform (TIP).
- Stellen Sie eine Verbindung mit TAXII-Servern her, um von STIX-kompatiblen Threat Intelligence-Quellen zu profitieren.
- Stellen Sie eine direkte Verbindung mit dem Microsoft Defender Threat Intelligence-Feed her.
- Verwenden Sie alle benutzerdefinierten Lösungen, die direkt mit der Threat Intelligence Upload Indicators-API kommunizieren können.
- Stellen Sie über Playbooks eine Verbindung mit Threat Intelligence-Quellen her, um Incidents mit Threat Intelligence-Informationen anzureichern, die direkte Aktionen für Untersuchung und Reaktion unterstützen können.
Tipp
Wenn Sie über mehrere Arbeitsbereiche im selben Mandanten verfügen, z. B. für Managed Security Service Providers (MSSPs), kann es kostengünstiger sein, Bedrohungsindikatoren nur mit dem zentralisierten Arbeitsbereich zu verbinden.
Wenn Sie in jeden separaten Arbeitsbereich denselben Satz von Bedrohungsindikatoren importiert haben, können Sie arbeitsbereichsübergreifende Abfragen ausführen, um Bedrohungsindikatoren in Ihren Arbeitsbereichen zu aggregieren. Korrelieren Sie sie innerhalb Ihrer MSSP-Incidenterkennung, -untersuchung und -suche.
TAXII-Threat Intelligence-Feeds
Um eine Verbindung zu TAXII-Bedrohungsdaten-Feeds herzustellen, befolgen Sie die Anweisungen zur Verbindung von Microsoft Sentinel mit STIX/TAXII-Bedrohungsdaten-Feeds, zusammen mit den Daten, die von den Anbietern bereitgestellt werden. Möglicherweise müssen Sie sich direkt an den Anbieter wenden, um die erforderlichen Daten für die Verwendung mit dem Connector zu erhalten.
Accenture Cyber Threat Intelligence
- Weitere Informationen finden Sie unter Integration von Accenture Cyber Threat Intelligence (CTI) mit Microsoft Sentinel.
Cybersixgill Darkfeed
- Weitere Informationen finden Sie unter Integration von Cybersixgill mit Microsoft Sentinel .
- Verbinden Sie Microsoft Sentinel mit dem Cybersixgill-TAXII-Server, und erhalten Sie Zugriff auf Darkfeed. Wenden Sie sich an azuresentinel@cybersixgill.com, um den API-Stamm, die Sammlungs-ID, den Benutzernamen und das Kennwort zu erhalten.
Cyware Threat Intelligence eXchange (CTIX)
Eine Komponente von CTIX, dem TIP von Cyware, besteht darin, Daten mit einem TAXII-Feed für Ihre SIEM-Lösung (Security Information & Event Management) nutzbar zu machen. Für Microsoft Sentinel befolgen Sie diese Anweisungen:
- Weitere Informationen finden Sie unter Integrieren mit Microsoft Sentinel.
ESET
- Weitere Informationen finden Sie unter dem Threat Intelligence-Angebot von ESET.
- Verbinden Sie Microsoft Sentinel mit dem ESET-TAXII-Server. Rufen Sie die API-Stamm-URL, die Sammlungs-ID, den Benutzernamen und das Kennwort aus Ihrem ESET-Konto ab. Folgen Sie dann den allgemeinen Anweisungen und dem Knowledge Base-Artikel zu ESET.
Financial Services Information Sharing and Analysis Center (FS-ISAC)
- Treten Sie FS-ISAC bei, um die Anmeldeinformationen für den Zugriff auf diesen Feed zu erhalten.
Health Intelligence Sharing Community (H-ISAC)
- Treten Sie H-ISAC bei, um die Anmeldeinformationen für den Zugriff auf diesen Feed zu erhalten.
IBM X-Force
- Weitere Informationen finden Sie unter Integration von IBM X-Force.
IntSights
- Weitere Informationen finden Sie unter IntSights integration with Microsoft Sentinel @IntSights.
- Verbinden Sie Microsoft Sentinel mit dem IntSights-TAXII-Server. Rufen Sie den API-Stamm, die Sammlungs-ID, den Benutzernamen und das Kennwort aus dem IntSights-Portal ab, nachdem Sie eine Richtlinie der Daten konfiguriert haben, die Sie an Microsoft Sentinel senden möchten.
Kaspersky
- Weitere Informationen finden Sie unter Integration von Kaspersky mit Microsoft Sentinel.
Pulsedive
- Weitere Informationen finden Sie unter Integration von Pulsedive mit Microsoft Sentinel.
ReversingLabs
- Weitere Informationen finden Sie unter Integration von ReversingLabs-TAXII mit Microsoft Sentinel.
Sectrio
- Weitere Informationen finden Sie unter Integration von Sectrio.
- Weitere Informationen finden Sie unter Schrittweiser Prozess zum Integrieren des Threat Intelligence-Feeds von Sectrio in Microsoft Sentinel.
SEKOIA.IO
- Weitere Informationen finden Sie unter Integration von SEKOIA.IO mit Microsoft Sentinel.
ThreatConnect
- Weitere Informationen finden Sie unter STIX und TAXII bei ThreatConnect.
- Weitere Informationen finden Sie in der Dokumentation zum TAXII-Dienst bei ThreatConnect.
Produkte der integrierten Threat Intelligence Platform
Weitere Informationen zum Herstellen einer Verbindung mit TIP-Feeds finden Sie unter Verbinden von Threat Intelligence-Plattformen mit Microsoft Sentinel. In den folgenden Lösungen erfahren Sie, welche weiteren Informationen erforderlich sind.
Agari Phishing Defense und Brand Protection
- Um Agari Phishing Defense and Brand Protection zu verbinden, verwenden Sie den integrierten Agari-Datenkonnektor in Microsoft Sentinel.
Anomali ThreatStream
- Auf der Seite für ThreatStream-Downloads können Sie ThreatStream Integrator und Erweiterungen herunterladen. Außerdem finden Sie dort Anweisungen dazu, wie Sie ThreatStream-Daten mit der Microsoft Graph-Sicherheits-API verbinden.
AlienVault Open Threat Exchange (OTX) von AT&T Cybersecurity
- Erfahren Sie, wie AlienVault OTX Azure Logic Apps (Playbooks) für die Verbindung mit Microsoft Sentinel nutzt. Sehen Sie sich die speziellen Anweisungen an, die erforderlich sind, um das gesamte Angebot in vollem Umfang zu nutzen.
EclecticIQ Platform
- Die EclecticIQ-Plattform lässt sich mit Microsoft Sentinel integrieren, um die Erkennung, Suche und Reaktion auf Bedrohungen zu verbessern. Erfahren Sie mehr über die Vorteile und Anwendungsfälle dieser bidirektionalen Integration.
Filigran OpenCTI
- Filigran OpenCTI kann Threat Intelligence entweder über einen dedizierten Connector, der in Echtzeit ausgeführt wird, an Microsoft Sentinel senden oder als TAXII 2.1-Server fungieren, der von Sentinel regelmäßig abgerufen wird. Der Dienst kann auch strukturierte Incidents von Sentinel über den Microsoft Sentinel-Incidentconnector empfangen.
GroupIB Threat Intelligence and Attribution
- Für die Verbindung von GroupIB Threat Intelligence und Attribution mit Microsoft Sentinel nutzt GroupIB Logic Apps. Sehen Sie sich die speziellen Anweisungen an, die erforderlich sind, um das gesamte Angebot in vollem Umfang zu nutzen.
MISP-Open-Source-Threat Intelligence-Plattform
- Pushen Sie Bedrohungsindikatoren aus MISP mithilfe von MISP2Sentinel über die Threat Intelligence-API zum Hochladen von Indikatoren an Microsoft Sentinel.
- Weitere Informationen finden Sie unter MISP2Sentinel im Azure Marketplace.
- Weitere Informationen finden Sie unter dem MISP-Projekt.
Palo Alto Networks MineMeld
- Weitere Informationen zum Konfigurieren von Palo Alto MineMeld mit den Verbindungsinformationen für Microsoft Sentinel finden Sie unter Senden von IOCs an die Microsoft Graph-Sicherheits-API mit MineMeld. Navigieren Sie zur Überschrift „MineMeld-Konfiguration“.
Recorded Future Security Intelligence Platform
- Erfahren Sie, wie Recorded Future Logic Apps (Playbooks) für die Verbindung mit Microsoft Sentinel nutzt. Sehen Sie sich die speziellen Anweisungen an, die erforderlich sind, um das gesamte Angebot in vollem Umfang zu nutzen.
ThreatConnect-Plattform
- Anweisungen zur Verbindung von ThreatConnect mit Microsoft Sentinel finden Sie im Konfigurationshandbuch Microsoft Graph Security Threat Indicators Integration.
ThreatQuotient Threat Intelligence Platform
- Unter Microsoft Sentinel Connector für die ThreatQ-Integration finden Sie Support-Informationen und Anweisungen zur Verbindung von ThreatQuotient TIP mit Microsoft Sentinel.
Quellen für die Incidentanreicherung
Neben dem Import von Bedrohungsindikatoren können Threat-Intelligence-Feeds auch als Quelle zur Anreicherung der Informationen in Ihren Incidents verwendet werden und Ihren Untersuchungen mehr Kontext verleihen. Die folgenden Feeds dienen diesem Zweck und stellen Logic Apps-Playbooks zur Verwendung in Ihrer Automated Incident Response-Lösung zur Verfügung. Suchen Sie diese Anreicherungsquellen im Inhaltshub.
Weitere Informationen zum Suchen und Verwalten der Lösungen finden Sie unter Ermitteln und Bereitstellen von vorkonfigurierten Inhalten.
HYAS Insight
- Finden und aktivieren Sie Incident Enrichment Playbooks für HYAS Insight im Microsoft Sentinel GitHub Repository. Suchen Sie nach Unterordnern, die mit
Enrich-Sentinel-Incident-HYAS-Insight-
beginnen. - Weitere Informationen finden Sie in der Dokumentation zum Logik-Apps-Connector für HYAS Insight.
Microsoft Defender Threat Intelligence
- Suchen und aktivieren Sie Playbooks für Vorfallsanreicherungen für Microsoft Defender Threat Intelligence im Microsoft Sentinel GitHub Repository.
- Weitere Informationen finden Sie im Blogbeitrag der Defender Threat Intelligence Tech Community.
Recorded Future Security Intelligence Platform
- Suchen und aktivieren Sie Incident Enrichment Playbooks für Recorded Future im Microsoft Sentinel GitHub Repository. Suchen Sie nach Unterordnern, die mit
RecordedFuture_
beginnen. - Weitere Informationen finden Sie in der Dokumentation zum Logik-Apps-Connector für Recorded Futur.
ReversingLabs TitaniumCloud
- Suchen Sie im Microsoft Sentinel GitHub-Repository nach Playbooks zur Anreicherung von Vorfällen für ReversingLabs und aktivieren Sie sie.
- Weitere Informationen finden Sie in der Dokumentation zum Logik-Apps-Connector für ReversingLabs TitaniumCloud.
RiskIQ PassiveTotal
- Suchen und aktivieren Sie die Playbooks zur Anreicherung von Incidents für RiskIQ PassiveTotal im GitHub-Repository für Microsoft Sentinel.
- Weitere Informationen zum Arbeiten mit RiskIQ-Playbooks finden Sie hier.
- Weitere Informationen finden Sie in der Dokumentation zum Logik-Apps-Connector für RiskIQ PassiveTotal.
VirusTotal
- Suchen und aktivieren Sie Playbooks zur Anreicherung von Incidents für VirusTotal im GitHub-Repository für Microsoft Sentinel. Suchen Sie nach Unterordnern, die mit
Get-VTURL
beginnen. - Weitere Informationen finden Sie in der Dokumentation zum Logik-Apps-Connector für VirusTotal.
Zugehöriger Inhalt
In diesem Artikel haben Sie gelernt, wie Sie Ihren Threat Intelligence-Anbieter mit Microsoft Sentinel verbinden. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
- Beginnen Sie mit Erkennung von Bedrohungen mithilfe von Microsoft Sentinel.