Поделиться через

Подключение Microsoft Sentinel к веб-каналам аналитики угроз STIX/TAXII.

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Наиболее широко распространенный в отрасли стандарт передачи аналитики угроз — это сочетание формата данных STIX и протокола TAXII. Если ваша организация получает индикаторы угроз из решений, поддерживающих текущую версию STIX/TAXII (2.0 или 2.1), для отправки индикаторов угроз в Microsoft Sentinel можно использовать соединитель данных Threat Intelligence — TAXII. При его использовании включается встроенный в Microsoft Sentinel клиент TAXII для импорта аналитики угроз с серверов TAXII 2.x.

Снимок экрана: путь импорта TAXII.

Чтобы импортировать индикаторы угроз с форматированием STIX в Microsoft Sentinel с сервера TAXII, необходимо получить корневой и идентификатор API сервера TAXII. Затем включите соединитель данных TAXII в Microsoft Sentinel.

Узнайте больше об аналитике угроз в Microsoft Sentinel и, в частности, о каналах аналитики угроз TAXII, которые можно интегрировать с Microsoft Sentinel.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Дополнительные сведения см. в статье "Подключение платформы аналитики угроз" (TIP) к Microsoft Sentinel.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

  • Чтобы установить, обновить и удалить автономное содержимое или решения в Центре контента, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.
  • Также вам нужны разрешения на чтение и запись в рабочей области Microsoft Sentinel для хранения индикаторов угроз.
  • Необходимо иметь корневой URI API TAXII 2.0 или TAXII 2.1 и идентификатор коллекции.

Получение корневого и сбора идентификатора API сервера TAXII

СЕРВЕРы TAXII 2.x объявляют корни API, которые являются URL-адресами, в которых размещаются коллекции аналитики угроз. Обычно можно найти корневой каталог API и идентификатор коллекции на страницах документации поставщика аналитики угроз, на котором размещен сервер TAXII.

Примечание.

В некоторых случаях поставщик объявляет только URL-адрес, называемый конечной точкой обнаружения. С помощью программы cURL можно просмотреть конечную точку обнаружения и запросить корневой каталог API.

Установка решения аналитики угроз в Microsoft Sentinel

Чтобы импортировать индикаторы угроз в Microsoft Sentinel с сервера TAXII, выполните следующие действия.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.

    Для Microsoft Sentinel на портале Defender выберите Центр содержимого управления>содержимым Microsoft Sentinel>.

  2. Найдите и выберите решение аналитики угроз.

  3. Нажмите кнопку "Установить и обновить".

Дополнительные сведения об управлении компонентами решения см. в статье "Обнаружение и развертывание содержимого вне поля".

Включение соединителя данных Threat Intelligence — TAXII

  1. Чтобы настроить соединитель данных TAXII, выберите меню соединителей данных.

  2. Найдите и выберите соединитель данных TAXII и выберите страницу "Открыть соединитель".

    Снимок экрана: страница соединителей данных с указанным соединителем данных TAXII.

  3. Введите имя для этой коллекции серверов TAXII в текстовом поле "Понятное имя ". Заполните текстовые поля для корневого URL-адреса API, идентификатора коллекции, имени пользователя (при необходимости) и пароля (при необходимости). Выберите группу индикаторов и нужную частоту опроса. Выберите Добавить.

    Снимок экрана: настройка серверов TAXII.

Необходимо получить подтверждение успешного установления подключения к серверу TAXII. Повторите последний шаг столько раз, сколько требуется подключиться к нескольким коллекциям с одного или нескольких серверов TAXII.

В течение нескольких минут индикаторы угроз должны начать поступать в эту рабочую область Microsoft Sentinel. Найдите новые индикаторы на панели аналитики угроз. Доступ к нему можно получить из меню Microsoft Sentinel.

Список разрешенных IP-адресов для клиента Microsoft Sentinel TAXII

На некоторых серверах TAXII, таких как FS-ISAC, имеются требования сохранять IP-адреса клиента TAXII Microsoft Sentinel в списке разрешенных адресов. Для большинства серверов TAXII это требование отсутствует.

При необходимости следующие IP-адреса — это адреса, которые необходимо включить в список разрешений:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Связанный контент

Из этой статьи вы узнали, как подключить Microsoft Sentinel к веб-каналам аналитики угроз с помощью протокола TAXII. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: