Freigeben über


Integration von Bedrohungsdaten in Microsoft Sentinel

Microsoft Sentinel bietet Ihnen mehrere Möglichkeiten, Threat Intelligence-Feeds zu nutzen, um die Fähigkeit Ihrer Sicherheitsanalysten zu verbessern, bekannte Bedrohungen zu erkennen und zu priorisieren.

Tipp

Wenn Sie über mehrere Arbeitsbereiche im selben Mandanten verfügen, z. B. für Managed Security Service Providers (MSSPs), kann es kostengünstiger sein, Bedrohungsindikatoren nur mit dem zentralisierten Arbeitsbereich zu verbinden.

Wenn Sie in jeden separaten Arbeitsbereich denselben Satz von Bedrohungsindikatoren importiert haben, können Sie arbeitsbereichsübergreifende Abfragen ausführen, um Bedrohungsindikatoren in Ihren Arbeitsbereichen zu aggregieren. Korrelieren Sie sie innerhalb Ihrer MSSP-Incidenterkennung, -untersuchung und -suche.

TAXII-Threat Intelligence-Feeds

Um eine Verbindung zu TAXII-Bedrohungsdaten-Feeds herzustellen, befolgen Sie die Anweisungen zur Verbindung von Microsoft Sentinel mit STIX/TAXII-Bedrohungsdaten-Feeds, zusammen mit den Daten, die von den Anbietern bereitgestellt werden. Möglicherweise müssen Sie sich direkt an den Anbieter wenden, um die erforderlichen Daten für die Verwendung mit dem Connector zu erhalten.

Accenture Cyber Threat Intelligence

Cybersixgill Darkfeed

Cyware Threat Intelligence eXchange (CTIX)

Eine Komponente von CTIX, dem TIP von Cyware, besteht darin, Daten mit einem TAXII-Feed für Ihre SIEM-Lösung (Security Information & Event Management) nutzbar zu machen. Für Microsoft Sentinel befolgen Sie diese Anweisungen:

ESET

Financial Services Information Sharing and Analysis Center (FS-ISAC)

  • Treten Sie FS-ISAC bei, um die Anmeldeinformationen für den Zugriff auf diesen Feed zu erhalten.

Health Intelligence Sharing Community (H-ISAC)

  • Treten Sie H-ISAC bei, um die Anmeldeinformationen für den Zugriff auf diesen Feed zu erhalten.

IBM X-Force

IntSights

  • Weitere Informationen finden Sie unter IntSights integration with Microsoft Sentinel @IntSights.
  • Verbinden Sie Microsoft Sentinel mit dem IntSights-TAXII-Server. Rufen Sie den API-Stamm, die Sammlungs-ID, den Benutzernamen und das Kennwort aus dem IntSights-Portal ab, nachdem Sie eine Richtlinie der Daten konfiguriert haben, die Sie an Microsoft Sentinel senden möchten.

Kaspersky

Pulsedive

ReversingLabs

Sectrio

SEKOIA.IO

ThreatConnect

Produkte der integrierten Threat Intelligence Platform

Weitere Informationen zum Herstellen einer Verbindung mit TIP-Feeds finden Sie unter Verbinden von Threat Intelligence-Plattformen mit Microsoft Sentinel. In den folgenden Lösungen erfahren Sie, welche weiteren Informationen erforderlich sind.

Agari Phishing Defense und Brand Protection

Anomali ThreatStream

AlienVault Open Threat Exchange (OTX) von AT&T Cybersecurity

  • Erfahren Sie, wie AlienVault OTX Azure Logic Apps (Playbooks) für die Verbindung mit Microsoft Sentinel nutzt. Sehen Sie sich die speziellen Anweisungen an, die erforderlich sind, um das gesamte Angebot in vollem Umfang zu nutzen.

EclecticIQ Platform

  • Die EclecticIQ-Plattform lässt sich mit Microsoft Sentinel integrieren, um die Erkennung, Suche und Reaktion auf Bedrohungen zu verbessern. Erfahren Sie mehr über die Vorteile und Anwendungsfälle dieser bidirektionalen Integration.

Filigran OpenCTI

GroupIB Threat Intelligence and Attribution

MISP-Open-Source-Threat Intelligence-Plattform

  • Pushen Sie Bedrohungsindikatoren aus MISP mithilfe von MISP2Sentinel über die Threat Intelligence-API zum Hochladen von Indikatoren an Microsoft Sentinel.
  • Weitere Informationen finden Sie unter MISP2Sentinel im Azure Marketplace.
  • Weitere Informationen finden Sie unter dem MISP-Projekt.

Palo Alto Networks MineMeld

Recorded Future Security Intelligence Platform

  • Erfahren Sie, wie Recorded Future Logic Apps (Playbooks) für die Verbindung mit Microsoft Sentinel nutzt. Sehen Sie sich die speziellen Anweisungen an, die erforderlich sind, um das gesamte Angebot in vollem Umfang zu nutzen.

ThreatConnect-Plattform

ThreatQuotient Threat Intelligence Platform

Quellen für die Incidentanreicherung

Neben dem Import von Bedrohungsindikatoren können Threat-Intelligence-Feeds auch als Quelle zur Anreicherung der Informationen in Ihren Incidents verwendet werden und Ihren Untersuchungen mehr Kontext verleihen. Die folgenden Feeds dienen diesem Zweck und stellen Logic Apps-Playbooks zur Verwendung in Ihrer Automated Incident Response-Lösung zur Verfügung. Suchen Sie diese Anreicherungsquellen im Inhaltshub.

Weitere Informationen zum Suchen und Verwalten der Lösungen finden Sie unter Ermitteln und Bereitstellen von vorkonfigurierten Inhalten.

HYAS Insight

Microsoft Defender Threat Intelligence

Recorded Future Security Intelligence Platform

ReversingLabs TitaniumCloud

RiskIQ PassiveTotal

VirusTotal

In diesem Artikel haben Sie gelernt, wie Sie Ihren Threat Intelligence-Anbieter mit Microsoft Sentinel verbinden. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln: