Ansluta Microsoft Sentinel till STIX/TAXII-hotinformationsflöden
Den vanligaste branschstandarden för överföring av hotinformation är en kombination av STIX-dataformatet och TAXII-protokollet. Om din organisation får hotindikatorer från lösningar som stöder den aktuella STIX/TAXII-versionen (2.0 eller 2.1) kan du använda dataanslutningsappen Hotinformation – TAXII för att föra in dina hotindikatorer i Microsoft Sentinel. Med den här anslutningsappen kan en inbyggd TAXII-klient i Microsoft Sentinel importera hotinformation från TAXII 2.x-servrar.
Om du vill importera STIX-formaterade hotindikatorer till Microsoft Sentinel från en TAXII-server måste du hämta rot- och samlings-ID:t för TAXII-server-API:et. Sedan aktiverar du anslutningsprogrammet hotinformation – TAXII-data i Microsoft Sentinel.
Läs mer om hotinformation i Microsoft Sentinel och särskilt om TAXII-hotinformationsflöden som du kan integrera med Microsoft Sentinel.
Kommentar
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.
Mer information finns i Ansluta din plattform för hotinformation (TIP) till Microsoft Sentinel.
Viktigt!
Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Förutsättningar
- Om du vill installera, uppdatera och ta bort fristående innehåll eller lösningar i innehållshubben behöver du rollen Microsoft Sentinel-deltagare på resursgruppsnivå.
- Du måste ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan för att lagra dina hotindikatorer.
- Du måste ha en API-rot-URI för TAXII 2.0 eller TAXII 2.1 och samlings-ID.
Hämta ROT- och samlings-ID för TAXII-server-API:et
TAXII 2.x-servrar annonserar API-rötter, som är URL:er som är värdar för samlingar med hotinformation. Du kan vanligtvis hitta API-roten och samlings-ID:t på dokumentationssidorna för den hotinformationsprovider som är värd för TAXII-servern.
Kommentar
I vissa fall annonserar providern bara en URL som kallas för en identifieringsslutpunkt. Du kan använda cURL-verktyget för att bläddra i identifieringsslutpunkten och begära API-roten.
Installera hotinformationslösningen i Microsoft Sentinel
Följ dessa steg för att importera hotindikatorer till Microsoft Sentinel från en TAXII-server:
För Microsoft Sentinel i Azure Portal går du till Innehållshantering och väljer Innehållshubb.
För Microsoft Sentinel i Defender-portalen väljer du Innehållshubben för Innehållshantering i>Microsoft Sentinel>.
Leta upp och välj hotinformationslösningen.
Välj knappen Installera/uppdatera.
Mer information om hur du hanterar lösningskomponenterna finns i Identifiera och distribuera out-of-the-box-innehåll.
Aktivera anslutningsprogrammet hotinformation – TAXII-data
Om du vill konfigurera TAXII-dataanslutningen väljer du menyn Dataanslutningar .
Leta upp och välj dataanslutningsappen Hotinformation – TAXII och välj sedan Sidan Öppna anslutningsapp.
Ange ett namn för den här TAXII-serversamlingen i textrutan Eget namn . Fyll i textrutorna för API-rot-URL, Samlings-ID, Användarnamn (om det behövs) och Lösenord (om det behövs). Välj gruppen med indikatorer och den avsökningsfrekvens som du vill använda. Markera Lägga till.
Du bör få en bekräftelse på att en anslutning till TAXII-servern har upprättats. Upprepa det sista steget så många gånger som du vill ansluta till flera samlingar från en eller flera TAXII-servrar.
Inom några minuter bör hotindikatorer börja flöda in på den här Microsoft Sentinel-arbetsytan. Hitta de nya indikatorerna i fönstret Hotinformation . Du kan komma åt den från Microsoft Sentinel-menyn.
IP-tillåtna listor för Microsoft Sentinel TAXII-klienten
Vissa TAXII-servrar, till exempel FS-ISAC, har ett krav på att behålla IP-adresserna för Microsoft Sentinel TAXII-klienten på listan över tillåtna. De flesta TAXII-servrar har inte det här kravet.
När det är relevant är följande IP-adresser de adresser som ska inkluderas i listan över tillåtna adresser:
- 20.193.17.32
- 20.197.219.106
- 20.48.128.36
- 20.199.186.58
- 40.80.86.109
- 52.158.170.36
- 20.52.212.85
- 52.251.70.29
- 20.74.12.78
- 20.194.150.139
- 20.194.17.254
- 51.13.75.153
- 102.133.139.160
- 20.197.113.87
- 40.123.207.43
- 51.11.168.197
- 20.71.8.176
- 40.64.106.65
Relaterat innehåll
I den här artikeln har du lärt dig hur du ansluter Microsoft Sentinel till hotinformationsflöden med hjälp av TAXII-protokollet. Mer information om Microsoft Sentinel finns i följande artiklar: