Compartir vía


Integración de inteligencia sobre amenazas en Microsoft Sentinel

Microsoft Sentinel proporciona varias maneras de usar fuentes de inteligencia sobre amenazas para mejorar la capacidad de los analistas de seguridad de detectar y priorizar las amenazas conocidas:

Sugerencia

Si tiene varias áreas de trabajo en el mismo inquilino, como para los Proveedores de servicios de seguridad administrada (MSSP), puede ser más rentable conectar indicadores de amenazas solo al área de trabajo centralizada.

Si tiene el mismo conjunto de indicadores de amenazas importados en cada área de trabajo independiente, puede ejecutar consultas entre áreas de trabajo para agregar indicadores de amenazas en las áreas de trabajo. Correlaciónelos en la experiencia de detección, investigación y búsqueda de incidentes de MSSP.

Fuentes de inteligencia sobre amenazas TAXII

Para conectarse a las fuentes de inteligencia sobre amenazas TAXII, siga las instrucciones para conectar Microsoft Sentinel a las fuentes de inteligencia sobre amenazas STIX/TAXII, junto con los datos suministrados por cada proveedor. Es posible que tenga que ponerse en contacto directamente con el proveedor para obtener los datos necesarios para usarlos con el conector.

Inteligencia sobre ciberamenazas de Accenture

Cybersixgill Darkfeed

Intercambio de inteligencia sobre amenazas de Cyware (CTIX)

Un componente de la plataforma de inteligencia sobre amenazas de Cyware, CTIX, es hacer que Intel sea procesable con una fuente TAXII para su información de seguridad y administración de eventos. En el caso de Microsoft Sentinel, siga estas instrucciones:

ESET

Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC)

  • Únase a FS-ISAC para obtener las credenciales para acceder a esta fuente.

Comunidad de intercambio de inteligencia sanitaria (H-ISAC)

  • Únase a H-ISAC para obtener las credenciales para acceder a esta fuente.

IBM X-Force

IntSights

  • Más información sobre IntSights integration with Microsoft Sentinel @IntSights.
  • Conecte Microsoft Sentinel al servidor TAXII de IntSights. Obtenga la raíz de la API, el identificador de colección, el nombre de usuario y la contraseña del portal de IntSights después de configurar una directiva de los datos que desea enviar a Microsoft Sentinel.

Kaspersky

Pulsedive

ReversingLabs

Sectrio

SEKOIA.IO

ThreatConnect

Productos de la plataforma de inteligencia sobre amenazas integrada

Para conectarse a fuentes de la plataforma de inteligencia sobre amenazas, consulte Conectar plataformas de inteligencia sobre amenazas a Microsoft Sentinel. Consulte las siguientes soluciones para saber qué otra información se necesita.

Agari Phishing Defense y Agari Brand Protection

Anomali ThreatStream

AlienVault Open Threat Exchange (OTX) de AT&T Cybersecurity

  • Obtenga más información sobre cómo AlienVault OTX usa Azure Logic Apps (cuadernos de estrategias) para conectarse a Microsoft Sentinel. Consulte las instrucciones especializadas necesarias para aprovechar al máximo la oferta completa.

Plataforma EclecticIQ

  • La plataforma EclecticIQ se integra con Microsoft Sentinel para mejorar la detección y la búsqueda de amenazas, así como la respuesta ante ellas. Obtenga más información sobre las ventajas y los casos de uso de esta integración bidireccional.

Filigran OpenCTI

GroupIB Threat Intelligence & Attribution

Plataforma de inteligencia sobre amenazas de código abierto MISP

  • Inserte indicadores de amenazas de MISP en Microsoft Sentinel mediante la API de indicadores de carga de inteligencia sobre amenazas con MISP2Sentinel.
  • Consulte MISP2Sentinel en Azure Marketplace.
  • Obtenga más información sobre el Proyecto MISP.

Palo Alto Networks MineMeld

Plataforma de inteligencia de seguridad Recorded Future

  • Obtenga información sobre cómo Recorded Future usa Logic Apps (cuadernos de estrategias) para conectarse a Microsoft Sentinel. Consulte las instrucciones especializadas necesarias para aprovechar al máximo la oferta completa.

Plataforma ThreatConnect

Plataforma de inteligencia sobre amenazas ThreatQuotient

Orígenes de enriquecimiento de incidentes

Además de usarse para importar indicadores de amenazas, las fuentes de inteligencia sobre amenazas también pueden servir como origen para enriquecer la información de los incidentes y proporcionar más contexto para las investigaciones. Las fuentes siguientes sirven para este propósito y proporcionan cuadernos de estrategias de Logic Apps para usarlos en la respuesta a incidentes automatizada. Busque estos orígenes de enriquecimiento en el Centro de contenido.

Para obtener más información sobre cómo buscar y administrar las soluciones, consulte Detección e implementación de contenido de fábrica.

HYAS Insight

Inteligencia contra amenazas de Microsoft Defender

Plataforma de inteligencia de seguridad Recorded Future

ReversingLabs TitaniumCloud

RiskIQ PassiveTotal

VirusTotal

En este artículo, ha aprendido a conectar su proveedor de inteligencia sobre amenazas a Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los siguientes artículos: