次の方法で共有


Microsoft Sentinel への脅威インテリジェンスの統合

既知の脅威を検出して優先順位を付けるセキュリティ アナリストの能力を高めるために、Microsoft Sentinel には、脅威インテリジェンスのフィードを使う方法がいくつか用意されています。

ヒント

マネージド セキュリティー サービス プロバイダー (MSSP) のように、同じテナントに複数のワークスペースがある場合、一元化されたワークスペースにのみ脅威インジケーターを接続した方がコスト効率が高い場合があります。

同じ脅威インジケーターのセットが個別のワークスペースにインポートされている場合、ワークスペース全体で脅威インジケーターを集計するためのワークスペース横断クエリを実行できます。 MSSP インシデントの検出、調査、ハンティングのエクスペリエンス内でそれらを関連付けます。

TAXII 脅威インテリジェンス フィード

TAXII 脅威インテリジェンス フィードに接続するには、各ベンダー提供のデータと共に、Microsoft Sentinel を STIX/TAXII 脅威インテリジェンス フィードに接続する手順に従います。 コネクタで使用するための必要なデータを入手するためには、適宜ベンダーに直接問い合わせてください。

Accenture サイバー脅威インテリジェンス

Cybersixgill Darkfeed

Cyware 脅威インテリジェンス エクスチェンジ (CTIX)

Cyware のヒントのコンポーネントの 1 つである CTIX は、セキュリティ情報とイベント管理のための TAXII フィードを使用して、Intel を実行可能にするものです。 Microsoft Sentinel の場合、次の手順に従います。

ESET

Financial Services Information Sharing and Analysis Center (FS-ISAC)

  • このフィードにアクセスするための資格情報を入手するには、FS-ISAC に入会してください。

Health Intelligence Sharing Community (H-ISAC)

  • このフィードにアクセスするための資格情報を入手するには、H-ISAC に入会してください。

IBM X-Force

  • 詳細については、IBM X-Force 統合に関するページを参照してください。

IntSights

  • 詳細については、IntSights integration with Microsoft Sentinel @IntSights を参照してください。
  • Microsoft Sentinel を IntSights TAXII サーバーに接続します。 Microsoft Sentinel に送信するデータのポリシーを構成した後、IntSights ポータルから API ルート、コレクション ID、ユーザー名、パスワードを取得します。

Kaspersky

Pulsedive

ReversingLabs

Sectrio

SEKOIA.IO

ThreatConnect

統合された脅威インテリジェンス プラットフォーム製品

TIP フィードに接続するには、「Microsoft Sentinel に脅威インテリジェンス プラットフォームを接続する」を参照してください。 その他の必要な情報については、次の解決策を参照してください。

Agari のフィッシング対策とブランド保護

Anomali ThreatStream

AT&T Cybersecurity の AlienVault Open Threat Exchange (OTX)

  • AlienVault OTX で、Azure Logic Apps (プレイブック) を使って Microsoft Sentinel に接続する方法を確認してください。 オファリング全体をフル活用するうえで必要な個別の手順を参照してください。

EclecticIQ Platform

  • EclecticIQ Platform は Microsoft Sentinel と統合され、脅威の検出、ハンティング、対応を強化します。 この双方向統合のベネフィットとユース ケースについて確認してください。

Filigran OpenCTI

  • Filigran OpenCTI は、リアルタイムで実行する専用コネクタ、または Sentinel が定期的にポーリングする TAXII 2.1 サーバーとして動作することで、脅威インテリジェンスを Microsoft Sentinel に送信できます。 また、Microsoft Sentinel インシデント コネクタを介して Sentinel から構造化されたインシデントを受信することもできます。

GroupIB の脅威インテリジェンスと帰属特定

MISP オープンソース脅威インテリジェンス プラットフォーム

  • MISP2Sentinel と共に脅威インテリジェンス アップロード インジケーター API を使用して、MISP から Microsoft Sentinel に脅威インジケーターをプッシュします。
  • Azure Marketplace の MISP2Sentinel を参照してください。
  • 詳細については、MISP プロジェクトに関するページを参照してください。

Palo Alto Networks MineMeld

Recorded Future セキュリティ インテリジェンス プラットフォーム

  • Recorded Future で、Logic Apps (プレイブック) を利用して Microsoft Sentinel に接続する方法を確認してください。 オファリング全体をフル活用するうえで必要な個別の手順を参照してください。

ThreatConnect Platform

ThreatQuotient 脅威インテリジェンス プラットフォーム

インシデント エンリッチメント処理ソース

脅威インテリジェンス フィードは、脅威インジケーターのインポートに使用されるほか、インシデント内の情報をエンリッチメント処理して、より多くのコンテキストを調査に提供するためのソースとしても利用されます。 以下のフィードは、この目的を担うと共に、自動インシデント応答に使用するためのロジック アプリのプレイブックを提供します。 これらのエンリッチメント処理ソースはコンテンツ ハブで入手できます。

ソリューションを検出して管理する方法の詳細については、「すぐに使えるコンテンツを検出してデプロイする」を参照してください。

HYAS Insight

Microsoft Defender 脅威インテリジェンス

Recorded Future セキュリティ インテリジェンス プラットフォーム

ReversingLabs TitaniumCloud

RiskIQ PassiveTotal

VirusTotal

この記事では、Microsoft Sentinel に脅威インテリジェンス プロバイダーを接続する方法を説明しました。 Microsoft Sentinel の詳細については、次の記事を参照してください。