你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel 中的威胁情报集成

Microsoft Sentinel 提供了一些使用威胁情报源的方法,以增强安全分析师检测及确定已知威胁优先级的能力:

提示

如果同一租户中有多个工作区,例如托管安全服务提供商 (MSSP) 的工作区,则仅将威胁指标连接到集中式工作区可能更具成本效益。

将同一组威胁指标导入到每个单独的工作区时,可以运行跨工作区查询以聚合整个工作区的威胁指标。 在 MSSP 事件检测、调查和搜寻体验中关联这些指标。

TAXII 威胁情报源

若要连接到 TAXII 威胁情报源,请结合使用每个供应商提供的数据,按说明将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源。 你可能需要直接联系供应商来获取与连接器配合使用的必要数据。

Accenture 网络威胁智能

Cybersixgill Darkfeed

Cyware 威胁情报交换 (CTIX)

CTIX 是 Cyware TIP 的一个组件,旨在利用 TAXII 源实现 intel 可操作性,以便进行安全信息和事件管理。 对于 Microsoft Sentinel,请按照此处的说明操作:

ESET

Financial Services Information Sharing and Analysis Center (FS-ISAC)

  • 加入 FS-ISAC 以获取用于访问此源的凭据。

Health Intelligence Sharing Community (H-ISAC)

  • 加入 H-ISAC 以获取用于访问此源的凭据。

IBM X-Force

IntSights

Kaspersky

Pulsedive

ReversingLabs

Sectrio

SEKOIA.IO

ThreatConnect

集成式威胁情报平台产品

若要连接到 TIP 源,请参阅将威胁情报平台连接到 Microsoft Sentinel。 请参阅以下解决方案,了解需要其他哪些信息。

Agari Phishing Defense 和 Agari Brand Protection

Anomali ThreatStream

AT&T Cybersecurity 提供的 AlienVault Open Threat Exchange (OTX)

  • 了解 AlienVault OTX 如何利用 Azure 逻辑应用 (playbook) 连接到 Microsoft Sentinel。 请参阅有关充分利用完整产品/服务所需的专门说明

EclecticIQ 平台

  • EclecticIQ 平台与 Microsoft Sentinel 集成以增强威胁检测、搜寻和响应功能。 详细了解此双向集成的优势和用例

Filigran OpenCTI

GroupIB Threat Intelligence and Attribution

MISP 开源威胁情报平台

  • 搭配使用威胁情报上传指标 API 和 MISP2Sentinel,将威胁指标从 MISP 推送到 Microsoft Sentinel。
  • 请参阅 Azure 市场中的 MISP2Sentinel
  • 详细了解 MISP 项目

Palo Alto Networks MineMeld

Recorded Future 安全智能平台

  • 了解 Recorded Future 如何利用逻辑应用 (playbook) 连接到 Microsoft Sentinel。 请参阅有关充分利用完整产品/服务所需的专门说明

ThreatConnect 平台

ThreatQuotient 威胁情报平台

事件扩充源

除了用于导入威胁指标以外,威胁情报源还可以充当一个源来扩充事件中的信息,并为调查工作提供更多上下文。 以下源可帮助实现此目的,并提供可在自动事件响应中使用的逻辑应用 playbook。 在内容中心查找这些扩充源。

有关如何查找并管理解决方案的详细信息,请参阅发现和部署现成内容

HYAS Insight

  • 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 HYAS Insight 的事件扩充 playbook。 搜索以“Enrich-Sentinel-Incident-HYAS-Insight-”开头的子文件夹。
  • 参阅 HYAS Insight 逻辑应用连接器文档

Microsoft Defender 威胁智能

Recorded Future Security Intelligence Platform

ReversingLabs TitaniumCloud

RiskIQ PassiveTotal

VirusTotal

本文介绍了如何将威胁情报连接到 Microsoft Sentinel。 若要详细了解 Microsoft Sentinel,请参阅以下文章: