Integratie van bedreigingsinformatie in Microsoft Sentinel

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel biedt u een aantal manieren om feeds voor bedreigingsinformatie te gebruiken om de mogelijkheid van uw beveiligingsanalisten om bekende bedreigingen te detecteren en te prioriteren:

• Gebruik een van de vele beschikbare producten van het Integrated Threat Intelligence Platform (TIP).
• Maak verbinding met TAXII-servers om te profiteren van een met STIX compatibele bedreigingsinformatiebron.
• Maak rechtstreeks verbinding met de Microsoft Defender-bedreigingsinformatie feed.
• Maak gebruik van aangepaste oplossingen die rechtstreeks kunnen communiceren met de API Voor het uploaden van bedreigingsinformatie.
• Maak verbinding met bedreigingsinformatiebronnen van playbooks om incidenten te verrijken met informatie over bedreigingsinformatie die kan helpen bij het direct onderzoeken en reageren van acties.

Tip

Als u meerdere werkruimten in dezelfde tenant hebt, zoals voor Managed Security Service Providers (MSSP's), is het mogelijk rendabeler om bedreigingsindicatoren alleen te verbinden met de gecentraliseerde werkruimte.

Wanneer u dezelfde set bedreigingsindicatoren hebt geïmporteerd in elke afzonderlijke werkruimte, kunt u query's voor meerdere werkruimten uitvoeren om bedreigingsindicatoren in uw werkruimten samen te voegen. Correleren binnen uw MSSP-incidentdetectie, onderzoek en opsporingservaring.

TAXII-feeds voor bedreigingsinformatie

Volg de instructies om Microsoft Sentinel te verbinden met STIX-/TAXII-bedreigingsinformatiefeeds, samen met de gegevens die door elke leverancier worden verstrekt om verbinding te maken met TAXII-feeds voor bedreigingsinformatie. Mogelijk moet u rechtstreeks contact opnemen met de leverancier om de benodigde gegevens voor gebruik met de connector te verkrijgen.

Accenture cyber threat intelligence

• Meer informatie over CTI-integratie (Cyber Threat Intelligence) van Accenture met Microsoft Sentinel.

Cybersixgill Darkfeed

• Meer informatie over Cybersixgill-integratie met Microsoft Sentinel.
• Verbind Microsoft Sentinel met de Cybersixgill TAXII-server en krijg toegang tot Darkfeed. Neem contact op azuresentinel@cybersixgill.com om de API-hoofdmap, verzamelings-id, gebruikersnaam en wachtwoord te verkrijgen.

Cyware Threat Intelligence Exchange (CTIX)

Een onderdeel van Cyware's TIP, CTIX, is het maken van informatie die kan worden uitgevoerd met een TAXII-feed voor uw beveiligingsinformatie en gebeurtenisbeheer. Volg voor Microsoft Sentinel de instructies hier:

• Meer informatie over het integreren met Microsoft Sentinel

ESET

• Meer informatie over de bedreigingsinformatie van ESET.
• Verbind Microsoft Sentinel met de ESET TAXII-server. Haal de API-hoofd-URL, verzamelings-id, gebruikersnaam en wachtwoord op uit uw ESET-account. Volg vervolgens de algemene instructies en het knowledge base-artikel van ESET.

Financial Services Information Sharing and Analysis Center (FS-ISAC)

• Meld u aan bij FS-ISAC om de referenties op te halen voor toegang tot deze feed.

Health Intelligence Sharing Community (H-ISAC)

• Neem deel aan de H-ISAC om de referenties op te halen voor toegang tot deze feed.

IBM X-Force

• Meer informatie over IBM X-Force-integratie.

IntSights

• Meer informatie over de IntSights integration with Microsoft Sentinel @IntSights.
• Verbind Microsoft Sentinel met de IntSights TAXII-server. Haal de API-hoofdmap, verzamelings-id, gebruikersnaam en wachtwoord op uit de IntSights-portal nadat u een beleid hebt geconfigureerd voor de gegevens die u naar Microsoft Sentinel wilt verzenden.

Kaspersky

• Meer informatie over De integratie van Microsoft Sentinel met Microsoft Sentinel.

Pulsedive

• Meer informatie over Pulsedive-integratie met Microsoft Sentinel.

ReversingLabs

• Meer informatie over ReversingLabs TAXII-integratie met Microsoft Sentinel.

Sectrio

• Meer informatie over Sectrio-integratie.
• Meer informatie over het stapsgewijze proces voor het integreren van de bedreigingsinformatiefeed van Sectrio in Microsoft Sentinel.

SEKOIA. IO

• Meer informatie over SEKOIA. IO-integratie met Microsoft Sentinel.

ThreatConnect

• Meer informatie over STIX en TAXII bij ThreatConnect.
• Raadpleeg de documentatie over TAXII-services op ThreatConnect.

Geïntegreerde threat intelligence-platformproducten

Zie Bedreigingsinformatieplatforms verbinden met Microsoft Sentinel om verbinding te maken met TIP-feeds. Zie de volgende oplossingen voor meer informatie over wat er nodig is.

Agari Phishing Defense and Brand Protection

• Als u Agari Phishing Defense en Brand Protection wilt verbinden, gebruikt u de ingebouwde Agari-gegevensconnector in Microsoft Sentinel.

Anomali ThreatStream

• Als u ThreatStream Integrator en Extensions wilt downloaden, en de instructies voor het verbinden van ThreatStream intelligence met de Microsoft Graph beveiligings-API, raadpleegt u de pagina ThreatStream-downloads.

AlienVault Open Threat Exchange (OTX) van AT&T Cybersecurity

• Meer informatie over hoe AlienVault OTX gebruikmaakt van Azure Logic Apps (playbooks) om verbinding te maken met Microsoft Sentinel. Zie de gespecialiseerde instructies die nodig zijn om optimaal te profiteren van het volledige aanbod.

EclecticIQ-platform

• EclecticIQ Platform kan worden geïntegreerd met Microsoft Sentinel om de detectie, opsporing en reactie van bedreigingen te verbeteren. Meer informatie over de voordelen en gebruiksvoorbeelden van deze integratie in twee richtingen.

Filigran OpenCTI

• Filigran OpenCTI kan bedreigingsinformatie verzenden naar Microsoft Sentinel via een toegewezen connector die in realtime wordt uitgevoerd of door te fungeren als een TAXII 2.1-server die Sentinel regelmatig zal peilen. Het kan ook gestructureerde incidenten van Sentinel ontvangen via de Microsoft Sentinel Incident-connector.

Bedreigingsinformatie en -toeschrijving van GroupIB

• GroupIB Threat Intelligence en Toeschrijving verbinden met Microsoft Sentinel maakt GroupIB gebruik van Logic Apps. Zie de gespecialiseerde instructies die nodig zijn om optimaal te profiteren van het volledige aanbod.

MISP opensource-platform voor bedreigingsinformatie

• Push bedreigingsindicatoren van MISP naar Microsoft Sentinel met behulp van de API Threat Intelligence Upload Indicators met MISP2Sentinel.
• Zie MISP2Sentinel in Azure Marketplace.
• Meer informatie over het MISP-project.

Palo Alto Networks MineMeld

• Als u Palo Alto MineMeld wilt configureren met de verbindingsgegevens naar Microsoft Sentinel, raadpleegt u IOC's verzenden naar de Microsoft Graph-beveiligings-API met behulp van MineMeld. Ga naar de kop 'MineMeld Configuration'.

Opgenomen toekomstige beveiligingsinformatieplatform

• Meer informatie over hoe Recorded Future gebruikmaakt van Logic Apps (playbooks) om verbinding te maken met Microsoft Sentinel. Zie de gespecialiseerde instructies die nodig zijn om optimaal te profiteren van het volledige aanbod.

ThreatConnect-platform

• Zie de integratiehandleiding voor Microsoft Graph Security Threat Indicators voor instructies voor het verbinden van ThreatConnect met Microsoft Sentinel.

ThreatQuotient Threat Intelligence-platform

• Zie Microsoft Sentinel Connector for ThreatQ-integratie voor ondersteuningsinformatie en instructies om ThreatQuotient TIP te verbinden met Microsoft Sentinel.

Bronnen voor incidentverrijking

Naast het importeren van bedreigingsindicatoren, kunnen bedreigingsinformatiefeeds ook fungeren als bron om de informatie in uw incidenten te verrijken en meer context te bieden aan uw onderzoeken. De volgende feeds dienen dit doel en bieden Logic Apps-playbooks voor gebruik in uw geautomatiseerde incidentrespons. Zoek deze verrijkingsbronnen in de Content Hub.

Zie Out-of-The-Box-inhoud ontdekken en implementeren voor meer informatie over het vinden en beheren van de oplossingen.

HYAS Insight

• Vind en schakel playbooks voor incidentverrijking in voor HYAS Insight in de GitHub-opslagplaats van Microsoft Sentinel. Zoek naar submappen die beginnen met Enrich-Sentinel-Incident-HYAS-Insight-.
• Raadpleeg de documentatie van de HYAS Insight Logic Apps-connector.

Microsoft Defender Threat Intelligence

• Vind en schakel playbooks voor incidentverrijking in voor Microsoft Defender-bedreigingsinformatie in de GitHub-opslagplaats van Microsoft Sentinel.
• Zie het blogbericht van de Defender Threat Intelligence Tech Community voor meer informatie.

Opgenomen Future Security Intelligence Platform

• Vind en schakel playbooks voor incidentverrijking in voor Recorded Future in de GitHub-opslagplaats van Microsoft Sentinel. Zoek naar submappen die beginnen met RecordedFuture_.
• Raadpleeg de documentatie voor de Opgenomen Logic Apps-connector.

ReversingLabs TitaniumCloud

• Zoek en schakel playbooks voor incidentverrijking in voor ReversingLabs in de GitHub-opslagplaats van Microsoft Sentinel.
• Zie de documentatie voor de Connector reversingLabs TitaniumCloud Logic Apps.

RiskIQ PassiveTotal

• Zoek en schakel de playbooks voor incidentverrijking in voor RiskIQ Passive Total in de GitHub-opslagplaats van Microsoft Sentinel.
• Zie meer informatie over het werken met RiskIQ-playbooks.
• Raadpleeg de documentatie van de RiskIQ PassiveTotal Logic Apps-connector.

VirusTotal

• Vind en schakel playbooks voor incidentverrijking in voor VirusTotal in de GitHub-opslagplaats van Microsoft Sentinel. Zoek naar submappen die beginnen met Get-VTURL.
• Raadpleeg de documentatie van de VirusTotal Logic Apps-connector.

Gerelateerde inhoud

In dit artikel hebt u geleerd hoe u uw bedreigingsinformatieprovider verbindt met Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Meer informatie over hoe u inzicht krijgt in uw gegevens en potentiële bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.