Udostępnij za pośrednictwem

Łączenie usługi Microsoft Sentinel z źródłami danych analizy zagrożeń STIX/TAXII

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Najpopularniejszym standardem branżowym transmisji analizy zagrożeń jest połączenie formatu danych STIX i protokołu TAXII. Jeśli Organizacja otrzymuje wskaźniki zagrożeń z rozwiązań obsługujących bieżącą wersję STIX/TAXII (2.0 lub 2.1), możesz użyć łącznika danych Analizy zagrożeń — TAXII, aby wprowadzić wskaźniki zagrożeń do usługi Microsoft Sentinel. Ten łącznik umożliwia wbudowanemu klientowi TAXII w usłudze Microsoft Sentinel importowanie analizy zagrożeń z serwerów TAXII 2.x.

Zrzut ekranu przedstawiający ścieżkę importu TAXII.

Aby zaimportować wskaźniki zagrożeń w formacie STIX do usługi Microsoft Sentinel z serwera TAXII, musisz uzyskać identyfikator główny i identyfikator kolekcji interfejsu API serwera TAXII. Następnie włączysz łącznik danych Analizy zagrożeń — TAXII w usłudze Microsoft Sentinel.

Dowiedz się więcej na temat analizy zagrożeń w usłudze Microsoft Sentinel, a w szczególności na temat kanałów informacyjnych analizy zagrożeń TAXII, które można zintegrować z usługą Microsoft Sentinel.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Aby uzyskać więcej informacji, zobacz Łączenie platformy analizy zagrożeń (TIP) z usługą Microsoft Sentinel.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

  • Aby zainstalować, zaktualizować i usunąć autonomiczną zawartość lub rozwiązania w centrum zawartości, potrzebna jest rola Współautor usługi Microsoft Sentinel na poziomie grupy zasobów.
  • Aby przechowywać wskaźniki zagrożeń, musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.
  • Musisz mieć identyfikator URI interfejsu API TAXII 2.0 lub TAXII 2.1 i identyfikator kolekcji.

Pobieranie identyfikatora głównego i identyfikatora kolekcji interfejsu API serwera TAXII

Serwery TAXII 2.x anonsują katalogi głównych interfejsów API, które są adresami URL hostujących kolekcje analizy zagrożeń. Zazwyczaj można znaleźć katalog główny interfejsu API i identyfikator kolekcji na stronach dokumentacji dostawcy analizy zagrożeń, który hostuje serwer TAXII.

Uwaga

W niektórych przypadkach dostawca anonsuje tylko adres URL nazywany punktem końcowym odnajdywania. Możesz użyć narzędzia cURL , aby przeglądać punkt końcowy odnajdywania i żądać katalogu głównego interfejsu API.

Instalowanie rozwiązania analizy zagrożeń w usłudze Microsoft Sentinel

Aby zaimportować wskaźniki zagrożeń do usługi Microsoft Sentinel z serwera TAXII, wykonaj następujące kroki:

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.

    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Centrum zawartości zarządzania zawartością>usługi Microsoft Sentinel.>

  2. Znajdź i wybierz rozwiązanie analizy zagrożeń.

  3. Wybierz przycisk Zainstaluj/Aktualizuj.

Aby uzyskać więcej informacji na temat zarządzania składnikami rozwiązania, zobacz Odnajdywanie i wdrażanie gotowej zawartości.

Włączanie łącznika danych Analizy zagrożeń — TAXII

  1. Aby skonfigurować łącznik danych TAXII, wybierz menu Łączniki danych.

  2. Znajdź i wybierz łącznik danych Analiza zagrożeń — TAXII , a następnie wybierz stronę Otwórz łącznik.

    Zrzut ekranu przedstawiający stronę Łączniki danych z wyświetlonym łącznikiem danych TAXII.

  3. Wprowadź nazwę kolekcji serwerów TAXII w polu tekstowym Przyjazna nazwa . Wypełnij pola tekstowe dla głównego adresu URL interfejsu API, identyfikatora kolekcji, nazwy użytkownika (w razie potrzeby) i hasła (w razie potrzeby). Wybierz grupę wskaźników i odpowiednią częstotliwość sondowania. Wybierz Dodaj.

    Zrzut ekranu przedstawiający konfigurowanie serwerów TAXII.

Powinno zostać wyświetlone potwierdzenie pomyślnego nawiązania połączenia z serwerem TAXII. Powtórz ostatni krok tyle razy, ile chcesz połączyć z wieloma kolekcjami z co najmniej jednego serwera TAXII.

W ciągu kilku minut wskaźniki zagrożeń powinny zacząć przepływać do tego obszaru roboczego usługi Microsoft Sentinel. Znajdź nowe wskaźniki w okienku Analiza zagrożeń. Dostęp do niego można uzyskać z menu usługi Microsoft Sentinel.

Lista dozwolonych adresów IP dla klienta TAXII usługi Microsoft Sentinel

Niektóre serwery TAXII, takie jak FS-ISAC, muszą zachować adresy IP klienta TAXII usługi Microsoft Sentinel na liście dozwolonych. Większość serwerów TAXII nie ma tego wymagania.

W razie potrzeby następujące adresy IP to adresy, które należy uwzględnić na liście dozwolonych:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Powiązana zawartość

W tym artykule przedstawiono sposób łączenia usługi Microsoft Sentinel z kanałami informacyjnymi analizy zagrożeń przy użyciu protokołu TAXII. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły: