Compartilhar via


Integração da inteligência contra ameaças no Microsoft Sentinel

O Microsoft Sentinel permite usar os feeds de inteligência contra ameaças de algumas maneiras para aprimorar a capacidade dos analistas de segurança de detectar e priorizar ameaças conhecidas:

Dica

Se você tiver vários workspaces no mesmo locatário, como MSSPs (Provedores de Serviço de Segurança Gerenciada), poderá ser mais econômico conectar indicadores de ameaça somente ao workspace centralizado.

Quando você tiver o mesmo conjunto de indicadores de ameaça importados para cada workspace separado, você poderá executar consultas entre workspaces para agregar indicadores de ameaça em seus workspaces. Correlacione-os em sua experiência de detecção, investigação e busca de incidentes do MSSP.

Feeds de inteligência contra ameaças TAXII

Para se conectar aos feeds de inteligência contra ameaças TAXII, siga as instruções para conectar o Microsoft Sentinel aos feeds de inteligência contra ameaças STIX/TAXII, juntamente com os dados fornecidos por cada fornecedor. Pode ser necessário entrar em contato diretamente com o fornecedor para obter os dados necessários para usar com o conector.

Inteligência contra ameaças cibernéticas da Accenture

Darkfeed do Cybersixgill

Troca de informações sobre inteligência contra ameaças da Cyware (CTIX)

Um componente do TIP da Cyware, o CTIX, é tornar a inteligência acionável com um feed TAXII para seu gerenciamento de eventos e informações de segurança. Para o Microsoft Sentinel, siga as instruções aqui:

ESET

Centro de Análise e Troca de Informações sobre Serviços Financeiros (FS-ISAC)

  • Junte-se ao FS-ISAC para obter as credenciais e acessar este feed.

Comunidade de Compartilhamento de Inteligência de Integridade (H-ISAC)

  • Ingresse no H-ISAC para obter as credenciais e acessar este feed.

IBM X-Force

IntSights

  • Saiba mais sobre o IntSights integration with Microsoft Sentinel @IntSights.
  • Conecte o Microsoft Sentinel ao servidor TAXII do IntSights. Obtenha a raiz da API, a ID da coleção, o nome de usuário e a senha do portal do IntSights depois de configurar uma política dos dados que deseja enviar ao Microsoft Sentinel.

Kaspersky

Pulsedive

ReversingLabs

Sectrio

SEKOIA.IO

ThreatConnect

Produtos integrados da plataforma de inteligência contra ameaças

Para se conectar aos feeds de TIP, consulte Conectar plataformas de inteligência contra ameaças ao Microsoft Sentinel. Consulte as soluções a seguir para saber quais informações adicionais são necessárias.

Agari Phishing Defense e Brand Protection

Anomali ThreatStream

AlienVault Open Threat Exchange (OTX) da AT&T Cybersecurity

  • Saiba como o AlienVault OTX usa Aplicativos Lógicos do Azure (guias estratégicos) para se conectar ao Microsoft Sentinel. Confira as instruções especializadas que devem ser seguidas para aproveitar ao máximo toda a oferta.

Plataforma EclecticIQ

  • A Plataforma EclecticIQ integra-se ao Microsoft Sentinel para aprimorar a detecção, a busca e a resposta a ameaças. Saiba mais sobre os benefícios e casos de uso dessa integração de duas vias.

Filigran OpenCTI

Atribuição e inteligência contra ameaças do GroupIB

Plataforma de inteligência contra ameaças de código aberto MISP

  • Envie indicadores de ameaça por push do MISP para o Microsoft Sentinel usando a API de Indicadores de Upload de Inteligência contra Ameaças com o MISP2Sentinel.
  • Consulte MISP2Sentinel no Azure Marketplace.
  • Saiba mais sobre o Projeto MISP.

Palo Alto Networks MineMeld

Plataforma de inteligência de segurança da Recorded Future

  • Saiba como a Recorded Future usa os Aplicativos Lógicos do Azure (guias estratégicos) para se conectar ao Microsoft Sentinel. Confira as instruções especializadas que devem ser seguidas para aproveitar ao máximo toda a oferta.

Plataforma ThreatConnect

Plataforma de inteligência contra ameaças da ThreatQuotient

Fontes de enriquecimento de incidentes

Além de seu uso para importar indicadores de ameaça, os feeds de inteligência contra ameaças também podem atuar como uma fonte para enriquecer as informações em incidentes e fornecer mais contexto às investigações. Os feeds a seguir servem a essa finalidade e fornecem guias estratégicos dos Aplicativos Lógicos para usar em sua resposta a incidente automatizada. Localize essas fontes de enriquecimento no Hub de conteúdo.

Para obter mais informações sobre como gerenciar os componentes da solução, consulte Descobrir e implantar conteúdo pronto para uso.

HYAS Insight

  • Encontre e habilite os guias estratégicos de enriquecimento de incidentes para o HYAS Insight no repositório GitHub do Microsoft Sentinel. Pesquise subpastas que comecem com Enrich-Sentinel-Incident-HYAS-Insight-.
  • Consulte a documentação do conector dos Aplicativos Lógicos do HYAS Insight.

Informações sobre Ameaças do Microsoft Defender

Plataforma Recorded Future Security Intelligence

ReversingLabs TitaniumCloud

RiskIQ PassiveTotal

VirusTotal

Neste artigo, você aprendeu a conectar seu provedor de inteligência contra ameaças ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: