Partilhar via


Integração de informações sobre ameaças no Microsoft Sentinel

O Microsoft Sentinel oferece algumas maneiras de usar feeds de inteligência de ameaças para aprimorar a capacidade dos analistas de segurança de detetar e priorizar ameaças conhecidas:

  • Use um dos muitos produtos disponíveis de plataforma integrada de inteligência contra ameaças (TIP).
  • Conecte-se aos servidores TAXII para tirar proveito de qualquer fonte de inteligência de ameaças compatível com STIX.
  • Conecte-se diretamente ao feed do Microsoft Defender Threat Intelligence .
  • Faça uso de quaisquer soluções personalizadas que possam se comunicar diretamente com a API de Indicadores de Carregamento de Inteligência de Ameaças.
  • Conecte-se a fontes de inteligência de ameaças de playbooks para enriquecer incidentes com informações de inteligência de ameaças que podem ajudar a direcionar ações de investigação e resposta.

Gorjeta

Se você tiver vários espaços de trabalho no mesmo locatário, como para MSSPs (Provedores de Serviços de Segurança Gerenciados), talvez seja mais econômico conectar indicadores de ameaça apenas ao espaço de trabalho centralizado.

Quando você tem o mesmo conjunto de indicadores de ameaça importados para cada espaço de trabalho separado, você pode executar consultas entre espaços de trabalho para agregar indicadores de ameaça em seus espaços de trabalho. Correlacione-os com sua experiência de deteção, investigação e caça de incidentes MSSP.

Feeds de informações sobre ameaças TAXII

Para se conectar aos feeds de inteligência de ameaças TAXII, siga as instruções para conectar o Microsoft Sentinel aos feeds de inteligência de ameaças STIX/TAXII, juntamente com os dados fornecidos por cada fornecedor. Talvez seja necessário entrar em contato diretamente com o fornecedor para obter os dados necessários para usar com o conector.

Inteligência de ameaças cibernéticas da Accenture

Cybersixgill Darkfeed

Intercâmbio de informações sobre ameaças Cyware (CTIX)

Um componente da TIP da Cyware, CTIX, é tornar a informação acionável com um feed TAXII para suas informações de segurança e gerenciamento de eventos. Para o Microsoft Sentinel, siga as instruções aqui:

ESET

  • Saiba mais sobre a oferta de inteligência de ameaças da ESET.
  • Conecte o Microsoft Sentinel ao servidor ESET TAXII. Obtenha o URL raiz da API, ID de coleção, nome de usuário e senha da sua conta ESET. Em seguida, siga as instruções gerais e o artigo da base de conhecimento da ESET.

Centro de Análise e Compartilhamento de Informações de Serviços Financeiros (FS-ISAC)

  • Junte-se ao FS-ISAC para obter as credenciais para acessar este feed.

Comunidade de partilha de informações em matéria de saúde (H-ISAC)

  • Junte-se ao H-ISAC para obter as credenciais para aceder a este feed.

IBM X-Força

IntSights

  • Saiba mais sobre o IntSights integration with Microsoft Sentinel @IntSights.
  • Conecte o Microsoft Sentinel ao servidor TAXII do IntSights. Obtenha a raiz da API, a ID de coleção, o nome de usuário e a senha do portal IntSights depois de configurar uma política dos dados que deseja enviar ao Microsoft Sentinel.

Kaspersky

Pulsedivo

ReversingLabs

Sectrio

SEKOIA. IO

ThreatConnect

Produtos integrados de plataforma de inteligência contra ameaças

Para se conectar a feeds TIP, consulte Conectar plataformas de inteligência contra ameaças ao Microsoft Sentinel. Consulte as soluções a seguir para saber quais outras informações são necessárias.

Agari Phishing Defense e Brand Protection

Anomali ThreatStream

AlienVault Open Threat Exchange (OTX) da AT&T Cybersecurity

  • Saiba como o AlienVault OTX usa os Aplicativos Lógicos do Azure (playbooks) para se conectar ao Microsoft Sentinel. Consulte as instruções especializadas necessárias para tirar o máximo partido da oferta completa.

Plataforma EclecticIQ

  • A plataforma EclecticIQ integra-se com o Microsoft Sentinel para melhorar a deteção, caça e resposta a ameaças. Saiba mais sobre os benefícios e casos de uso dessa integração bidirecional.

Filigran OpenCTI

  • Filigran OpenCTI pode enviar informações sobre ameaças para o Microsoft Sentinel através de um conector dedicado que é executado em tempo real, ou agindo como um servidor TAXII 2.1 que o Sentinel pesquisará regularmente. Também pode receber incidentes estruturados do Sentinel através do conector Microsoft Sentinel Incident.

GroupIB Inteligência e Atribuição de Ameaças

Plataforma de inteligência de ameaças de código aberto MISP

  • Envie indicadores de ameaça do MISP para o Microsoft Sentinel usando a API de Indicadores de Carregamento de Inteligência de Ameaças com o MISP2Sentinel.
  • Consulte MISP2Sentinel no Azure Marketplace.
  • Saiba mais sobre o Projeto MISP.

Palo Alto Redes MineMeld

Plataforma de inteligência de segurança Recorded Future

  • Saiba como o Recorded Future usa aplicativos lógicos (playbooks) para se conectar ao Microsoft Sentinel. Consulte as instruções especializadas necessárias para tirar o máximo partido da oferta completa.

Plataforma ThreatConnect

Plataforma de inteligência de ameaças ThreatQuotient

Fontes de enriquecimento de incidentes

Além de serem usados para importar indicadores de ameaças, os feeds de inteligência de ameaças também podem servir como uma fonte para enriquecer as informações em seus incidentes e fornecer mais contexto para suas investigações. Os feeds a seguir servem a esse propósito e fornecem playbooks de Aplicativos Lógicos para usar em sua resposta automatizada a incidentes. Encontre essas fontes de enriquecimento no hub Conteúdo.

Para obter mais informações sobre como localizar e gerenciar as soluções, consulte Descobrir e implantar conteúdo pronto para uso.

HYAS Insight

Informações sobre Ameaças do Microsoft Defender

Plataforma de Inteligência de Segurança Gravada do Futuro

ReversingLabs TitaniumCloud

RiskIQ PassivoTotal

VirusTotal

Neste artigo, você aprendeu como conectar seu provedor de inteligência de ameaças ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: