Conectar o Microsoft Sentinel aos feeds de inteligência contra ameaças STIX/TAXII
O padrão do setor mais amplamente adotado para a transmissão de inteligência contra ameaças é uma combinação do formato de dados STIX e do protocolo TAXII. Caso sua organização receba indicadores de ameaça de soluções compatíveis com a versão atual do STIX/TAXII (2.0 ou 2.1), use o conector de dados Inteligência contra Ameaças – TAXII para levar seus indicadores de ameaça para o Microsoft Sentinel. O conector permite que um cliente TAXII interno no Microsoft Sentinel importe a inteligência contra ameaças de servidores TAXII 2.x.
Para importar indicadores de ameaça formatados como STIX para o Microsoft Sentinel de um servidor TAXII, você deve obter a ID de coleção e raiz da API do servidor TAXII. Em seguida, você habilita o conector de dados da inteligência contra ameaças – TAXII no Microsoft Sentinel.
Saiba mais sobre inteligência contra ameaças no Microsoft Sentinel e especificamente sobre os feeds de inteligência contra ameaças TAXII que você pode integrar ao Microsoft Sentinel.
Observação
Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Para obter mais informações, confira Conectar a sua plataforma de inteligência contra ameaças (TIP) ao Microsoft Sentinel.
Importante
O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Pré-requisitos
- Para instalar, atualizar e excluir conteúdo autônomo ou soluções no Hub de Conteúdo, você precisa da função Colaborador do Microsoft Sentinel no nível do grupo de recursos.
- Você precisa ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel para armazenar seus indicadores de ameaça.
- Você deve ter um URI raiz e uma ID de coleção da API TAXII 2.0 ou TAXII 2.1.
Obter a ID de coleção e raiz da API do servidor TAXII
Os servidores TAXII 2.x anunciam raízes de API, que são URLs que hospedam coleções de inteligência contra ameaças. Normalmente, você pode encontrar a raiz da API e a ID da coleção nas páginas de documentação do provedor de inteligência contra ameaças que hospeda o servidor TAXII.
Observação
Em alguns casos, o provedor anuncia apenas uma URL chamada de ponto de extremidade de descoberta. Você pode usar o utilitário cURL para procurar o ponto de extremidade de descoberta e solicitar a raiz da API.
Instalar a solução da Inteligência contra Ameaças no Microsoft Sentinel
Para importar indicadores de ameaça de um servidor TAXII para o Microsoft Sentinel, siga estas etapas:
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione o Hub de conteúdo.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de conteúdo>Hub de conteúdo.
Localize e selecione a solução de Inteligência contra Ameaças.
Selecionar o botão Instalar/Atualizar.
Para obter mais informações sobre como gerenciar os componentes da solução, veja Descobrir e implantar conteúdo pronto para uso.
Habilitar a Inteligência contra Ameaças – conector de dados TAXII
Para configurar o conector de dados TAXII, selecione o menu Conectores de dados.
Localize e selecione o conector de dados Inteligência contra ameaças – TAXII e, em seguida, selecione Abrir página do conector.
Insira um nome para esta coleção de servidores TAXII na caixa de texto Nome amigável. Preencha as caixas de texto de URL raiz da API, ID da coleção, Nome de usuário (se necessário) e Senha (se necessário). Escolha o grupo de indicadores e a frequência de sondagem desejada. Selecione Adicionar.
Você deve receber a confirmação de que uma conexão com o servidor TAXII foi estabelecida com sucesso. Repita a última etapa quantas vezes quiser se conectar a várias coleções de um ou mais servidores TAXII.
Em alguns minutos, os indicadores de ameaça começarão a aparecer no espaço de trabalho do Microsoft Sentinel. Encontre os novos indicadores no painel Inteligência contra ameaças. Você pode acessá-lo no menu do Microsoft Sentinel.
Lista de permissões de IP para o cliente TAXII do Microsoft Sentinel
Alguns servidores TAXII, como FS-ISAC, têm um requisito para manter os endereços IP do cliente TAXII do Microsoft Azure Sentinel na lista de permitidos. A maioria dos servidores TAXII não tem esse requisito.
Quando relevantes, os seguintes endereços IP são os endereços a serem incluídos na lista de permissões:
- 20.193.17.32
- 20.197.219.106
- 20.48.128.36
- 20.199.186.58
- 40.80.86.109
- 52.158.170.36
- 20.52.212.85
- 52.251.70.29
- 20.74.12.78
- 20.194.150.139
- 20.194.17.254
- 51.13.75.153
- 102.133.139.160
- 20.197.113.87
- 40.123.207.43
- 51.11.168.197
- 20.71.8.176
- 40.64.106.65
Conteúdo relacionado
Neste artigo, você aprendeu a conectar o Microsoft Sentinel a feeds de inteligência contra ameaças usando o protocolo TAXII. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
- Saiba como obter visibilidade dos seus dados e de possíveis ameaças.
- Introdução à detecção de ameaças com o Microsoft Sentinel.