Dela via


Ansluta Microsoft Sentinel till STIX/TAXII-hotinformationsflöden

Den vanligaste branschstandarden för överföring av hotinformation är en kombination av STIX-dataformatet och TAXII-protokollet. Om din organisation får hotindikatorer från lösningar som stöder den aktuella STIX/TAXII-versionen (2.0 eller 2.1) kan du använda dataanslutningsappen Hotinformation – TAXII för att föra in dina hotindikatorer i Microsoft Sentinel. Med den här anslutningsappen kan en inbyggd TAXII-klient i Microsoft Sentinel importera hotinformation från TAXII 2.x-servrar.

Skärmbild som visar en TAXII-importsökväg.

Om du vill importera STIX-formaterade hotindikatorer till Microsoft Sentinel från en TAXII-server måste du hämta rot- och samlings-ID:t för TAXII-server-API:et. Sedan aktiverar du anslutningsprogrammet hotinformation – TAXII-data i Microsoft Sentinel.

Läs mer om hotinformation i Microsoft Sentinel och särskilt om TAXII-hotinformationsflöden som du kan integrera med Microsoft Sentinel.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Mer information finns i Ansluta din plattform för hotinformation (TIP) till Microsoft Sentinel.

Viktigt!

Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

  • Om du vill installera, uppdatera och ta bort fristående innehåll eller lösningar i innehållshubben behöver du rollen Microsoft Sentinel-deltagare på resursgruppsnivå.
  • Du måste ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan för att lagra dina hotindikatorer.
  • Du måste ha en API-rot-URI för TAXII 2.0 eller TAXII 2.1 och samlings-ID.

Hämta ROT- och samlings-ID för TAXII-server-API:et

TAXII 2.x-servrar annonserar API-rötter, som är URL:er som är värdar för samlingar med hotinformation. Du kan vanligtvis hitta API-roten och samlings-ID:t på dokumentationssidorna för den hotinformationsprovider som är värd för TAXII-servern.

Kommentar

I vissa fall annonserar providern bara en URL som kallas för en identifieringsslutpunkt. Du kan använda cURL-verktyget för att bläddra i identifieringsslutpunkten och begära API-roten.

Installera hotinformationslösningen i Microsoft Sentinel

Följ dessa steg för att importera hotindikatorer till Microsoft Sentinel från en TAXII-server:

  1. För Microsoft Sentinel i Azure Portal går du till Innehållshantering och väljer Innehållshubb.

    För Microsoft Sentinel i Defender-portalen väljer du Innehållshubben för Innehållshantering i>Microsoft Sentinel>.

  2. Leta upp och välj hotinformationslösningen.

  3. Välj knappen Installera/uppdatera.

Mer information om hur du hanterar lösningskomponenterna finns i Identifiera och distribuera out-of-the-box-innehåll.

Aktivera anslutningsprogrammet hotinformation – TAXII-data

  1. Om du vill konfigurera TAXII-dataanslutningen väljer du menyn Dataanslutningar .

  2. Leta upp och välj dataanslutningsappen Hotinformation – TAXII och välj sedan Sidan Öppna anslutningsapp.

    Skärmbild som visar sidan Dataanslutningsprogram med TAXII-dataanslutningsappen i listan.

  3. Ange ett namn för den här TAXII-serversamlingen i textrutan Eget namn . Fyll i textrutorna för API-rot-URL, Samlings-ID, Användarnamn (om det behövs) och Lösenord (om det behövs). Välj gruppen med indikatorer och den avsökningsfrekvens som du vill använda. Markera Lägga till.

    Skärmbild som visar hur du konfigurerar TAXII-servrar.

Du bör få en bekräftelse på att en anslutning till TAXII-servern har upprättats. Upprepa det sista steget så många gånger som du vill ansluta till flera samlingar från en eller flera TAXII-servrar.

Inom några minuter bör hotindikatorer börja flöda in på den här Microsoft Sentinel-arbetsytan. Hitta de nya indikatorerna i fönstret Hotinformation . Du kan komma åt den från Microsoft Sentinel-menyn.

IP-tillåtna listor för Microsoft Sentinel TAXII-klienten

Vissa TAXII-servrar, till exempel FS-ISAC, har ett krav på att behålla IP-adresserna för Microsoft Sentinel TAXII-klienten på listan över tillåtna. De flesta TAXII-servrar har inte det här kravet.

När det är relevant är följande IP-adresser de adresser som ska inkluderas i listan över tillåtna adresser:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

I den här artikeln har du lärt dig hur du ansluter Microsoft Sentinel till hotinformationsflöden med hjälp av TAXII-protokollet. Mer information om Microsoft Sentinel finns i följande artiklar: