Integração de informações sobre ameaças no Microsoft Sentinel
O Microsoft Sentinel oferece algumas maneiras de usar feeds de inteligência de ameaças para aprimorar a capacidade dos analistas de segurança de detetar e priorizar ameaças conhecidas:
- Use um dos muitos produtos disponíveis de plataforma integrada de inteligência contra ameaças (TIP).
- Conecte-se aos servidores TAXII para tirar proveito de qualquer fonte de inteligência de ameaças compatível com STIX.
- Conecte-se diretamente ao feed do Microsoft Defender Threat Intelligence .
- Faça uso de quaisquer soluções personalizadas que possam se comunicar diretamente com a API de Indicadores de Carregamento de Inteligência de Ameaças.
- Conecte-se a fontes de inteligência de ameaças de playbooks para enriquecer incidentes com informações de inteligência de ameaças que podem ajudar a direcionar ações de investigação e resposta.
Gorjeta
Se você tiver vários espaços de trabalho no mesmo locatário, como para MSSPs (Provedores de Serviços de Segurança Gerenciados), talvez seja mais econômico conectar indicadores de ameaça apenas ao espaço de trabalho centralizado.
Quando você tem o mesmo conjunto de indicadores de ameaça importados para cada espaço de trabalho separado, você pode executar consultas entre espaços de trabalho para agregar indicadores de ameaça em seus espaços de trabalho. Correlacione-os com sua experiência de deteção, investigação e caça de incidentes MSSP.
Feeds de informações sobre ameaças TAXII
Para se conectar aos feeds de inteligência de ameaças TAXII, siga as instruções para conectar o Microsoft Sentinel aos feeds de inteligência de ameaças STIX/TAXII, juntamente com os dados fornecidos por cada fornecedor. Talvez seja necessário entrar em contato diretamente com o fornecedor para obter os dados necessários para usar com o conector.
Inteligência de ameaças cibernéticas da Accenture
- Saiba mais sobre a integração da Accenture cyber threat intelligence (CTI) com o Microsoft Sentinel.
Cybersixgill Darkfeed
- Saiba mais sobre a integração do Cybersixgill com o Microsoft Sentinel.
- Conecte o Microsoft Sentinel ao servidor Cybersixgill TAXII e obtenha acesso ao Darkfeed. Entre em contato azuresentinel@cybersixgill.com para obter a raiz da API, ID de coleção, nome de usuário e senha.
Intercâmbio de informações sobre ameaças Cyware (CTIX)
Um componente da TIP da Cyware, CTIX, é tornar a informação acionável com um feed TAXII para suas informações de segurança e gerenciamento de eventos. Para o Microsoft Sentinel, siga as instruções aqui:
- Saiba como integrar com o Microsoft Sentinel
ESET
- Saiba mais sobre a oferta de inteligência de ameaças da ESET.
- Conecte o Microsoft Sentinel ao servidor ESET TAXII. Obtenha o URL raiz da API, ID de coleção, nome de usuário e senha da sua conta ESET. Em seguida, siga as instruções gerais e o artigo da base de conhecimento da ESET.
Centro de Análise e Compartilhamento de Informações de Serviços Financeiros (FS-ISAC)
- Junte-se ao FS-ISAC para obter as credenciais para acessar este feed.
Comunidade de partilha de informações em matéria de saúde (H-ISAC)
- Junte-se ao H-ISAC para obter as credenciais para aceder a este feed.
IBM X-Força
- Saiba mais sobre a integração do IBM X-Force.
IntSights
- Saiba mais sobre o IntSights integration with Microsoft Sentinel @IntSights.
- Conecte o Microsoft Sentinel ao servidor TAXII do IntSights. Obtenha a raiz da API, a ID de coleção, o nome de usuário e a senha do portal IntSights depois de configurar uma política dos dados que deseja enviar ao Microsoft Sentinel.
Kaspersky
- Saiba mais sobre a integração do Kaspersky com o Microsoft Sentinel.
Pulsedivo
- Saiba mais sobre a integração do Pulsedive com o Microsoft Sentinel.
ReversingLabs
- Saiba mais sobre a integração do ReversingLabs TAXII com o Microsoft Sentinel.
Sectrio
- Saiba mais sobre a integração Sectrio.
- Saiba mais sobre o processo passo a passo para integrar o feed de inteligência de ameaças da Sectrio no Microsoft Sentinel.
SEKOIA. IO
- Saiba mais sobre a SEKOIA. Integração de E/S com o Microsoft Sentinel.
ThreatConnect
- Saiba mais sobre STIX e TAXII em ThreatConnect.
- Consulte a documentação dos serviços TAXII em ThreatConnect.
Produtos integrados de plataforma de inteligência contra ameaças
Para se conectar a feeds TIP, consulte Conectar plataformas de inteligência contra ameaças ao Microsoft Sentinel. Consulte as soluções a seguir para saber quais outras informações são necessárias.
Agari Phishing Defense e Brand Protection
- Para conectar o Agari Phishing Defense e o Brand Protection, use o conector de dados Agari integrado no Microsoft Sentinel.
Anomali ThreatStream
- Para baixar o ThreatStream Integrator and Extensions, e as instruções para conectar a inteligência do ThreatStream à API de segurança do Microsoft Graph, consulte a página de downloads do ThreatStream.
AlienVault Open Threat Exchange (OTX) da AT&T Cybersecurity
- Saiba como o AlienVault OTX usa os Aplicativos Lógicos do Azure (playbooks) para se conectar ao Microsoft Sentinel. Consulte as instruções especializadas necessárias para tirar o máximo partido da oferta completa.
Plataforma EclecticIQ
- A plataforma EclecticIQ integra-se com o Microsoft Sentinel para melhorar a deteção, caça e resposta a ameaças. Saiba mais sobre os benefícios e casos de uso dessa integração bidirecional.
Filigran OpenCTI
- Filigran OpenCTI pode enviar informações sobre ameaças para o Microsoft Sentinel através de um conector dedicado que é executado em tempo real, ou agindo como um servidor TAXII 2.1 que o Sentinel pesquisará regularmente. Também pode receber incidentes estruturados do Sentinel através do conector Microsoft Sentinel Incident.
GroupIB Inteligência e Atribuição de Ameaças
- Para conectar o GroupIB Threat Intelligence and Attribution ao Microsoft Sentinel, o GroupIB usa aplicativos lógicos. Consulte as instruções especializadas que são necessárias para tirar o máximo partido da oferta completa.
Plataforma de inteligência de ameaças de código aberto MISP
- Envie indicadores de ameaça do MISP para o Microsoft Sentinel usando a API de Indicadores de Carregamento de Inteligência de Ameaças com o MISP2Sentinel.
- Consulte MISP2Sentinel no Azure Marketplace.
- Saiba mais sobre o Projeto MISP.
Palo Alto Redes MineMeld
- Para configurar o Palo Alto MineMeld com as informações de conexão com o Microsoft Sentinel, consulte Enviando IOCs para a API de segurança do Microsoft Graph usando o MineMeld. Vá para o título "Configuração do MineMeld".
Plataforma de inteligência de segurança Recorded Future
- Saiba como o Recorded Future usa aplicativos lógicos (playbooks) para se conectar ao Microsoft Sentinel. Consulte as instruções especializadas necessárias para tirar o máximo partido da oferta completa.
Plataforma ThreatConnect
- Consulte o Guia de Configuração de Integração de Indicadores de Ameaça de Segurança do Microsoft Graph para obter instruções sobre como conectar o ThreatConnect ao Microsoft Sentinel.
Plataforma de inteligência de ameaças ThreatQuotient
- Consulte Microsoft Sentinel Connector for ThreatQ integration para obter informações de suporte e instruções para conectar o ThreatQuotient TIP ao Microsoft Sentinel.
Fontes de enriquecimento de incidentes
Além de serem usados para importar indicadores de ameaças, os feeds de inteligência de ameaças também podem servir como uma fonte para enriquecer as informações em seus incidentes e fornecer mais contexto para suas investigações. Os feeds a seguir servem a esse propósito e fornecem playbooks de Aplicativos Lógicos para usar em sua resposta automatizada a incidentes. Encontre essas fontes de enriquecimento no hub Conteúdo.
Para obter mais informações sobre como localizar e gerenciar as soluções, consulte Descobrir e implantar conteúdo pronto para uso.
HYAS Insight
- Encontre e habilite playbooks de enriquecimento de incidentes para o HYAS Insight no repositório GitHub do Microsoft Sentinel. Procure subpastas começando com
Enrich-Sentinel-Incident-HYAS-Insight-
. - Consulte a documentação do conector do HYAS Insight Logic Apps.
Informações sobre Ameaças do Microsoft Defender
- Encontre e habilite playbooks de enriquecimento de incidentes para o Microsoft Defender Threat Intelligence no repositório GitHub do Microsoft Sentinel.
- Consulte a postagem do blog do Defender Threat Intelligence Tech Community para obter mais informações.
Plataforma de Inteligência de Segurança Gravada do Futuro
- Encontre e habilite playbooks de enriquecimento de incidentes para o Recorded Future no repositório GitHub do Microsoft Sentinel. Procure subpastas começando com
RecordedFuture_
. - Consulte a documentação do conector Recorded Future Logic Apps.
ReversingLabs TitaniumCloud
- Encontre e habilite playbooks de enriquecimento de incidentes para o ReversingLabs no repositório GitHub do Microsoft Sentinel.
- Consulte a documentação do conector do ReversingLabs TitaniumCloud Logic Apps.
RiskIQ PassivoTotal
- Encontre e habilite os playbooks de enriquecimento de incidentes para o RiskIQ Passive Total no repositório GitHub do Microsoft Sentinel.
- Veja mais informações sobre como trabalhar com os playbooks do RiskIQ.
- Consulte a documentação do conector RiskIQ PassiveTotal Logic Apps.
VirusTotal
- Encontre e habilite playbooks de enriquecimento de incidentes para o VirusTotal no repositório GitHub do Microsoft Sentinel. Procure subpastas começando com
Get-VTURL
. - Consulte a documentação do conector do VirusTotal Logic Apps.
Conteúdos relacionados
Neste artigo, você aprendeu como conectar seu provedor de inteligência de ameaças ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: