Conectar o Microsoft Sentinel a feeds de inteligência de ameaças STIX/TAXII
O padrão da indústria mais amplamente adotado para a transmissão de informações sobre ameaças é uma combinação do formato de dados STIX e do protocolo TAXII. Se sua organização receber indicadores de ameaça de soluções que suportam a versão atual do STIX/TAXII (2.0 ou 2.1), você poderá usar o conector de dados Threat Intelligence - TAXII para trazer seus indicadores de ameaça para o Microsoft Sentinel. Este conector permite que um cliente TAXII integrado no Microsoft Sentinel importe informações sobre ameaças de servidores TAXII 2.x.
Para importar indicadores de ameaça formatados em STIX para o Microsoft Sentinel de um servidor TAXII, você deve obter a raiz da API do servidor TAXII e a ID de coleção. Em seguida, ative o conector de dados Threat Intelligence - TAXII no Microsoft Sentinel.
Saiba mais sobre inteligência de ameaças no Microsoft Sentinel e, especificamente, sobre os feeds de inteligência de ameaças TAXII que você pode integrar ao Microsoft Sentinel.
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Para obter mais informações, consulte Conectar sua plataforma de inteligência de ameaças (TIP) ao Microsoft Sentinel.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Pré-requisitos
- Para instalar, atualizar e excluir conteúdo ou soluções autônomas no hub de conteúdo, você precisa da função de Colaborador do Microsoft Sentinel no nível do grupo de recursos.
- Você deve ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel para armazenar seus indicadores de ameaça.
- Você deve ter um URI raiz da API TAXII 2.0 ou TAXII 2.1 e ID de coleção.
Obter a raiz da API do servidor TAXII e o ID da coleção
Os servidores TAXII 2.x anunciam raízes de API, que são URLs que hospedam coleções de informações sobre ameaças. Normalmente, você pode encontrar a raiz da API e o ID da coleção nas páginas de documentação do provedor de inteligência de ameaças que hospeda o servidor TAXII.
Nota
Em alguns casos, o provedor anuncia apenas uma URL chamada ponto de extremidade de descoberta. Você pode usar o utilitário cURL para procurar o ponto de extremidade de descoberta e solicitar a raiz da API.
Instale a solução Threat Intelligence no Microsoft Sentinel
Para importar indicadores de ameaça para o Microsoft Sentinel a partir de um servidor TAXII, siga estes passos:
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione Hub de conteúdo.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Content management>Content hub.
Encontre e selecione a solução Threat Intelligence .
Selecione o botão Instalar/Atualizar .
Para obter mais informações sobre como gerenciar os componentes da solução, consulte Descobrir e implantar conteúdo pronto para uso.
Ativar o conector de dados Threat Intelligence - TAXII
Para configurar o conector de dados TAXII, selecione o menu Conectores de dados.
Localize e selecione a página Threat Intelligence - TAXII data connector e, em seguida, selecione Open connector page.
Insira um nome para esta coleção de servidores TAXII na caixa de texto Nome amigável . Preencha as caixas de texto para URL raiz da API, ID da coleção, Nome de usuário (se necessário) e Senha (se necessário). Escolha o grupo de indicadores e a frequência de sondagem que pretende. Selecione Adicionar.
Você deve receber a confirmação de que uma conexão com o servidor TAXII foi estabelecida com êxito. Repita a última etapa quantas vezes quiser para se conectar a várias coleções de um ou mais servidores TAXII.
Dentro de alguns minutos, os indicadores de ameaça devem começar a fluir para este espaço de trabalho do Microsoft Sentinel. Encontre os novos indicadores no painel Informações sobre ameaças. Você pode acessá-lo no menu Microsoft Sentinel.
Lista de permissões de IP para o cliente Microsoft Sentinel TAXII
Alguns servidores TAXII, como FS-ISAC, têm um requisito para manter os endereços IP do cliente Microsoft Sentinel TAXII na lista de permissões. A maioria dos servidores TAXII não tem esse requisito.
Quando relevante, os seguintes endereços IP são os endereços a incluir na sua lista de permissões:
- 20.193.17.32
- 20.197.219.106
- 20.48.128.36
- 20.199.186.58
- 40.80.86.109
- 52.158.170.36
- 20.52.212.85
- 52.251.70.29
- 20.74.12.78
- 20.194.150.139
- 20.194.17.254
- 51.13.75.153
- 102.133.139.160
- 20.197.113.87
- 40.123.207.43
- 51.11.168.197
- 20.71.8.176
- 40.64.106.65
Conteúdos relacionados
Neste artigo, você aprendeu como conectar o Microsoft Sentinel a feeds de inteligência de ameaças usando o protocolo TAXII. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: