通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

威胁情报传输最广泛采用的行业标准是 STIX 数据格式和 TAXII 协议的组合。 如果组织从支持当前 STIX/TAXII 版本(2.0 或 2.1)的解决方案中获取威胁指标,则可以使用“威胁情报 - TAXII”数据连接器将威胁指标引入 Microsoft Sentinel。 此连接器使 Microsoft Sentinel 中的内置 TAXII 客户端可以从 TAXII 2.x 服务器导入威胁情报。

显示 TAXII 导入路径的屏幕截图。

要将 STIX 格式的威胁指示器从 TAXII 服务器导入 Microsoft Sentinel,必须获取 TAXII 服务器 API 根和集合 ID。 然后在 Microsoft Sentinel 中启用“威胁情报 - TAXII”数据连接器。

详细了解 Microsoft Sentinel 中的威胁情报,尤其是可与 Microsoft Sentinel 集成的 TAXII 威胁情报源

注意

有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

有关详细信息,请参阅将威胁情报平台 (TIP) 连接到 Microsoft Sentinel

重要

Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

先决条件

  • 若要在“内容中心”安装、更新和删除独立内容或解决方案,你需要在资源组级别拥有 Microsoft Sentinel 参与者角色。
  • 必须拥有 Microsoft Sentinel 工作区的读取和写入权限,才能存储威胁指标。
  • 必须拥有 TAXII 2.0 或 TAXII 2.1 API 根 URI 和集合 ID。

获取 TAXII 服务器 API 根和集合 ID

TAXII 2.x 服务器可播发 API 根,这是托管威胁情报集合的 URL。 通常可以在托管 TAXII 服务器的威胁情报提供程序文档页中查找 API 根和集合 ID。

注意

某些情况下,提供程序将仅播发名为发现终结点的 URL。 可以使用 cURL 实用工具浏览发现终结点并请求 API 根。

在 Microsoft Sentinel 中安装威胁情报解决方案

若要将威胁指标从 TAXII 服务器导入到 Microsoft Sentinel,请执行以下步骤:

  1. 对于 Azure 门户中的 Microsoft Sentinel,在“内容管理”下,选择“内容中心”

    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“内容管理”>“内容中心”。

  2. 查找并选择“威胁情报”解决方案。

  3. 选择“安装/更新”按钮。

有关如何管理解决方案组件的详细信息,请参阅发现和部署现成内容

启用威胁情报 - TAXII 数据连接器

  1. 若要配置 TAXII 数据连接器,请选择“数据连接器”菜单。

  2. 查找并选择“威胁情报平台 - TAXII”数据连接器,然后选择“打开连接器页”。

    显示“数据连接器”页的屏幕截图,其中列出了 TAXII 数据连接器。

  3. 在“友好名称”文本框中输入此 TAXII 服务器集合的名称。 填写“API 根 URL”、“集合 ID”、“用户名”(如有必要)和“密码”(如有必要)的文本框。 选择所需的指示器组和轮询频率。 选择 添加

    显示配置 TAXII 服务器的屏幕截图。

你应收到已成功建立到 TAXII 服务器的连接的确认消息。 可根据需要多次上一步,以便从一台或多台 TAXII 服务器连接到多个集合。

几分钟后,威胁指标应开始流入此 Microsoft Sentinel 工作区。 在“威胁智能”窗格中查找新指示器。 可以从 Microsoft Sentinel 菜单访问它。

Microsoft Sentinel TAXII 客户端的 IP 允许列表

某些 TAXII 服务器(如 FS-ISAC)要求在允许列表上保留 Microsoft Sentinel TAXII 客户端的 IP 地址。 大多数 TAXII 服务器没有此要求。

如果相关,则以下 IP 地址将是要包含在允许列表中的地址:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

相关内容

在本文中,你了解了如何使用 TAXII 协议将 Microsoft Sentinel 连接到威胁情报源。 若要详细了解 Microsoft Sentinel,请参阅以下文章: