Compartir vía


Conexión de Microsoft Sentinel a las fuentes de inteligencia sobre amenazas STIX/TAXII

El estándar del sector más ampliamente adoptado para la transmisión de la inteligencia sobre amenazas es una combinación del formato de datos STIX y el protocolo TAXII. Si su organización recibe indicadores de amenazas de soluciones que admiten la versión actual de STIX/TAXII (2.0 o 2.1), puede usar el conector de datos Inteligencia sobre amenazas: TAXII para incorporar sus indicadores de amenazas a Microsoft Sentinel. Este conector habilita un cliente de TAXII integrado en Microsoft Sentinel para importar inteligencia sobre amenazas desde servidores TAXII 2.x.

Captura de pantalla que muestra una ruta de acceso de importación TAXII.

Para importar indicadores de amenazas con formato STIX a Microsoft Sentinel desde un servidor TAXII, debe obtener el identificador de colección y raíz de la API del servidor TAXII. A continuación, habilite el conector de datos Threat Intelligence - TAXII en Microsoft Sentinel.

Obtenga más información acerca de Inteligencia sobre amenazas en Microsoft Sentinel y, específicamente, acerca de las Fuentes sobre Inteligencia contra amenazas TAXIIque puede integrar con Microsoft Sentinel.

Nota:

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Para obtener más información, consulte Conexión de la plataforma de inteligencia sobre amenazas (TIP) a Microsoft Sentinel.

Importante

Microsoft Sentinel está disponible de forma general dentro de la plataforma unificada de operaciones de seguridad de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Requisitos previos

  • Para instalar, actualizar y eliminar contenido independiente o soluciones en el Centro de contenido, necesita el rol Colaborador de Microsoft Sentinel en el nivel de grupo de recursos.
  • Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel para almacenar los indicadores de amenazas.
  • Debe tener un URI raíz de la API TAXII 2.0 o TAXII 2.1 y un identificador de colección.

Obtención del identificador de colección y raíz de la API del servidor TAXII

Los servidores TAXII 2.x anuncian raíces de API, que son direcciones URL que hospedan colecciones de inteligencia sobre amenazas. Normalmente, puede encontrar la raíz de la API y el identificador de colección en las páginas de documentación del proveedor de inteligencia sobre amenazas que hospeda el servidor TAXII.

Nota:

En algunos casos, el proveedor solo anuncia una dirección URL denominada punto de conexión de detección. Puede usar la utilidad cURL para examinar el punto de conexión de detección y solicitar la raíz de la API.

Instalación de la solución de inteligencia sobre amenazas en Microsoft Sentinel

Para importar indicadores de amenazas en Microsoft Sentinel desde un servidor TAXII, siga estos pasos:

  1. Para Microsoft Sentinel en Azure Portal, en Administración de contenido, seleccione Centro de contenido.

    Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Administración de contenidos >Centro de contenido.

  2. Busque y seleccione la solución de inteligencia sobre amenazas.

  3. Seleccione el botón Instalar o actualizar.

Para obtener más información sobre cómo administrar los componentes de la solución, consulte Detección e implementación de contenido de forma lista para su uso.

Habilitación del conector de datos de Inteligencia contra amenazas: TAXII

  1. Para configurar el conector de datos TAXII, seleccione el menú Conectores de datos.

  2. Busque y seleccione el conector de datos Inteligencia sobre amenazas: TAXII y, a continuación, seleccione Página abrir conector.

    Captura de pantalla que muestra la página Conectores de datos con el conector de datos TAXII que aparece en la lista.

  3. Escriba un nombre para esta colección de servidores TAXII en el cuadro de texto Nombre descriptivo . Rellene los cuadros de texto de Dirección URL raíz de la API, identificador de colección, nombre de usuario (si es necesario) y contraseña (si es necesario). Elija el grupo de indicadores y la frecuencia de sondeo que desee. Seleccione Agregar.

    Captura de pantalla que muestra la configuración de servidores TAXII.

Debería recibir la confirmación de que se estableció correctamente una conexión con el servidor TAXII. Repita el último paso tantas veces como quiera conectarse a varias colecciones desde uno o varios servidores TAXII.

En cuestión de minutos, los indicadores de amenazas deberían empezar a fluir en esta área de trabajo de Microsoft Sentinel. Busque los nuevos indicadores en el panelInteligencia sobre amenazas. Puede acceder a él desde el menú de Microsoft Sentinel.

Lista de direcciones IP permitidas para el cliente TAXII de Microsoft Sentinel

Algunos servidores TAXII, como FS-ISAC, tienen el requisito de mantener las direcciones IP del cliente TAXII de Microsoft Sentinel en la lista de permitidos. La mayoría de los servidores TAXII no tienen este requisito.

Cuando proceda, las siguientes direcciones IP son las direcciones que se van a incluir en la lista de permitidos:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

En este artículo, ha aprendido a conectar Microsoft Sentinel a fuentes de inteligencia sobre amenazas mediante el protocolo TAXII. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: