Microsoft Sentinel의 위협 인텔리전스 통합

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel은 위협 인텔리전스 피드를 사용하여 알려진 위협을 감지하고 우선 순위를 지정하는 보안 분석가의 기능을 향상시키는 몇 가지 방법을 제공합니다.

• 사용 가능한 여러 TIP(통합 위협 인텔리전스 플랫폼) 제품 중 하나를 사용합니다.
• STIX 호환 위협 인텔리전스 소스를 활용하려면 TAXII 서버에 연결합니다.
• Microsoft Defender 위협 인텔리전스 피드에 직접 연결합니다.
• 위협 인텔리전스 업로드 지표 API와 직접 통신할 수 있는 사용자 지정 솔루션을 사용합니다.
• 플레이북의 위협 인텔리전스 원본에 연결하여 직접 조사 및 대응 작업을 도울 수 있는 위협 인텔리전스 정보로 인시던트 보강.

팁

MSSP(관리형 보안 서비스 공급자) 같은 테넌트에 여러 작업 영역이 있는 경우 위협 지표를 중앙 집중식 작업 영역에만 연결하는 것이 더 비용 효율적일 수 있습니다.

각각의 개별 작업 영역으로 가져온 동일한 위협 지표 세트가 있는 경우 작업 영역 간 쿼리를 실행하여 작업 영역에서 위협 지표를 집계할 수 있습니다. MSSP 인시던트 검색, 조사, 헌팅 환경 내에서 상호 연결합니다.

TAXII 위협 인텔리전스 피드

TAXII 위협 인텔리전스 피드에 연결하려면 각 공급업체에서 제공한 데이터와 함께 Microsoft Sentinel을 STIX/TAXII 위협 인텔리전스 피드에 연결하기 위한 지침을 따르세요. 커넥터와 함께 사용하는 데 필요한 데이터를 얻으려면 공급업체에 직접 문의해야 할 수 있습니다.

강조 사이버 위협 인텔리전스

• Microsoft Sentinel과의 Accenture CTI(사이버 위협 인텔리전스) 통합에 대해 알아봅니다.

Cybersixgill Darkfeed

• Microsoft Sentinel과의 Cybersixgill 통합에 대해 알아봅니다.
• Cybersixgill TAXII 서버에 Microsoft Sentinel을 연결하고 Darkfeed에 액세스합니다. API 루트, 컬렉션 ID, 사용자 이름 및 암호를 가져오려면 문의하세요azuresentinel@cybersixgill.com.

Cyware 위협 인텔리전스 교환(CTIX)

Cyware TIP의 한 가지 구성 요소인 CTIX는 보안 정보 및 이벤트 관리를 위해 TAXII 피드를 사용하여 인텔을 실행 가능하게 만드는 것입니다. Microsoft Sentinel의 경우 다음 지침을 따르세요.

• Microsoft Sentinel과 통합하는 방법을 알아봅니다.

ESET

• ESET의 위협 인텔리전스 제공에 대해 알아봅니다.
• Microsoft Sentinel을 ESET TAXII 서버에 연결합니다. ESET 계정에서 API 루트 URL, 컬렉션 ID, 사용자 이름 및 암호를 가져옵니다. 그런 다음 일반 지침 및 ESET의 기술 자료 문서를 따릅니다.

FS-ISAC(금융 서비스 정보 공유 및 분석 센터)

• FS-ISAC에 조인하여 이 피드에 액세스할 자격 증명을 얻습니다.

H-ISAC(상태 인텔리전스 공유 커뮤니티)

• H-ISAC에 조인하여 이 피드에 액세스할 자격 증명을 가져옵니다.

IBM X-Force

• IBM X-Force 통합에 대해 자세히 알아봅니다.

IntSights

• IntSights integration with Microsoft Sentinel @IntSights에 대해 자세히 알아보세요.
• Microsoft Sentinel을 IntSights TAXII 서버에 연결합니다. Microsoft Sentinel에 보내려는 데이터의 정책을 구성한 후 IntSights 포털에서 API 루트, 컬렉션 ID, 사용자 이름 및 암호를 가져옵니다.

Kaspersky

• Microsoft Sentinel과의 Kaspersky 통합에 대해 알아봅니다.

Pulsedive

• Microsoft Sentinel과의 Pulsedive 통합에 대해 알아봅니다.

ReversingLabs

• Microsoft Sentinel과의 ReversingLabs TAXII 통합에 대해 알아봅니다.

Sectrio

• Sectrio 통합에 대해 자세히 알아봅니다.
• Sectrio의 위협 인텔리전스 피드를 Microsoft Sentinel에 통합하기 위한 단계별 프로세스에 대해 알아봅니다.

SEKOIA.IO

• Microsoft Sentinel과의 SEKOIA.IO 통합에 대해 자세히 알아봅니다.

ThreatConnect

• ThreatConnect에서의 STIX 및 TAXII에 대해 자세히 알아봅니다.
• ThreatConnect에서의 TAXII 서비스 설명서를 참조하세요.

통합 위협 인텔리전스 플랫폼 제품

TIP 피드에 연결하려면 위협 인텔리전스 플랫폼을 Microsoft Sentinel에 연결하세요. 필요한 다른 정보를 알아보려면 다음 솔루션을 참조하세요.

Agari 피싱 방어 및 브랜드 보호

• Agari 피싱 방어 및 브랜드 보호에 연결하려면 Microsoft Sentinel에서 기본 제공하는 Agari 데이터 커넥터를 사용합니다.

Anomali ThreatStream

• ThreatStream 통합자 및 확장과 ThreatStream 인텔리전스를 Microsoft Graph 보안 API에 연결하기 위한 지침을 다운로드하려면 ThreatStream 다운로드 페이지를 참조하세요.

AT&T Cybersecurity에서의 AlienVault OTX(Open Threat Exchange)

• AlienVault OTX가 Azure Logic Apps(플레이북)를 사용하여 Microsoft Sentinel에 연결하는 방법을 알아봅니다. 전체 제안을 최대한 활용하는 데 필요한 특수 지침을 참조하세요.

EclecticIQ 플랫폼

• EclecticIQ Platform은 Microsoft Sentinel과 통합되어 위협 탐지, 헌팅 및 대응을 향상시킵니다. 이 양방향 통합의 이점 및 사용 사례에 관해 자세히 알아보세요.

Filigran OpenCTI

• Filigran OpenCTI는 실시간으로 실행되는 전용 커넥터를 통해 또는 Sentinel이 정기적으로 폴링하는 TAXII 2.1 서버 역할을 하여 Microsoft Sentinel에 위협 인텔리전스를 보낼 수 있습니다. Microsoft Sentinel 인시던트 커넥터를 통해 Sentinel에서 구조적 인시던트도 수신할 수 있습니다.

GroupIB 위협 인텔리전스 및 특성

• GroupIB 위협 인텔리전스 및 특성을 Microsoft Sentinel에 연결하기 위해 GroupIB는 Logic Apps를 사용합니다. 전체 제품을 최대한 활용하는 데 필요한 특수 지침을 참조하세요.

MISP 오픈 소스 위협 인텔리전스 플랫폼

• MISP2Sentinel과 함께 위협 인텔리전스 업로드 표시기 API를 사용하여 MISP에서 Microsoft Sentinel로 위협 지표를 푸시합니다.
• Azure Marketplace에서 MISP2Sentinel을 참조하세요.
• MISP 프로젝트에 대해 자세히 알아봅니다.

Palo Alto Networks MineMeld

• Microsoft Sentinel에 대한 연결 정보를 사용하여 Palo Alto MineMeld를 구성하려면 MineMeld를 사용하여 Microsoft Graph 보안 API에 IOC 보내기를 참조하세요. "MineMeld 구성" 제목으로 이동합니다.

기록된 미래 보안 인텔리전스 플랫폼

• 기록된 미래 Logic Apps(플레이북)를 사용하여 Microsoft Sentinel에 연결하는 방법을 알아봅니다. 전체 제안을 최대한 활용하는 데 필요한 특수 지침을 참조하세요.

ThreatConnect 플랫폼

• ThreatConnect를 Microsoft Sentinel에 연결하는 지침은 Microsoft Graph 보안 위협 지표 통합 구성 가이드를 참조하세요.

ThreatQuotient 위협 인텔리전스 플랫폼

• 문서 ThreatQ 통합을 위한 Microsoft Sentinel 커넥터에서 ThreatQuotient TIP를 Microsoft Sentinel과 연결하는 데 필요한 지원 정보와 지침을 확인할 수 있습니다.

인시던트 보강 소스

위협 지표를 가져오는 데 사용되는 용도 외에도 위협 인텔리전스 피드는 인시던트에서 정보를 보강하고 조사에 더 많은 컨텍스트를 제공하는 소스 역할을 할 수 있습니다. 다음 피드는 이 용도를 제공하고 자동화된 인시던트 대응에 사용할 Logic Apps 플레이북을 제공합니다. 콘텐츠 허브에서 이러한 보강 원본을 찾습니다.

솔루션을 찾고 관리하는 방법에 대한 자세한 내용은 기본 제공 콘텐츠 검색 및 배포를 참조하세요.

HYAS Insight

• HYAS 인사이트에 대한 인시던트 보강 플레이북을 Microsoft Sentinel GitHub 리포지토리에서 찾아 사용하도록 설정합니다. Enrich-Sentinel-Incident-HYAS-Insight-로 시작하는 하위 폴더를 검색합니다.
• HYAS Insight Logic Apps 커넥터 설명서를 참조하세요.

Microsoft Defender 위협 인텔리전스

• Microsoft Defender 위협 인텔리전스에 대한 인시던트 보강 플레이북을 Microsoft Sentinel GitHub 리포지토리에서 찾아 사용하도록 설정합니다.
• 자세한 내용은 Defender 위협 인텔리전스 기술 커뮤니티 블로그 게시물을 참조하세요.

Recorded Future 보안 인텔리전스 플랫폼

• Recorded Future에 대한 인시던트 보강 플레이북을 Microsoft Sentinel GitHub 리포지토리에서 찾아 사용하도록 설정합니다. RecordedFuture_로 시작하는 하위 폴더를 검색합니다.
• 기록된 Future Logic Apps 커넥터 설명서를 참조하세요.

ReversingLabs TitaniumCloud

• ReversingLabs에 대한 인시던트 보강 플레이북을 Microsoft Sentinel GitHub 리포지토리에서 찾아 사용하도록 설정합니다.
• ReversingLabs TitaniumCloud Logic Apps 커넥터 설명서를 참조하세요.

RiskIQ PassiveTotal

• Microsoft Sentinel GitHub 리포지토리에서 RiskIQ 수동 합계에 대한 인시던트 보강 플레이북을 찾아서 사용하도록 설정합니다.
• RiskIQ 플레이북 사용에 대한 자세한 정보를 참조하세요.
• RiskIQ PassiveTotal Logic Apps 커넥터 설명서를 참조하세요.

VirusTotal

• Microsoft Sentinel GitHub 리포지토리에서 VirusTotal에 대한 인시던트 보강 플레이북을 찾아서 사용하도록 설정합니다. Get-VTURL로 시작하는 하위 폴더를 검색합니다.
• VirusTotal Logic Apps 커넥터 설명서를 참조하세요.

관련 콘텐츠

이 문서에서는 위협 인텔리전스 공급자를 Microsoft Sentinel에 연결하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.

• 데이터 및 잠재적 위협에 대한 가시성을 확보하는 방법을 알아봅니다.
• Microsoft Sentinel을 사용하여 위협 탐지에서 시작합니다.