你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 中的威胁情报集成
Microsoft Sentinel 提供了一些使用威胁情报源的方法,以增强安全分析师检测及确定已知威胁优先级的能力:
- 使用众多可用的集成威胁情报平台 (TIP) 产品之一。
- 连接到 TAXII 服务器以利用任何与 STIX 兼容的威胁情报源。
- 直接连接到 Microsoft Defender Threat Intelligence 源。
- 使用任何可直接与威胁情报上传指示器 API 通信的自定义解决方案。
- 从 playbook 连接到威胁情报源,以使用有助于引导完成调查和响应操作的威胁情报信息来扩充事件。
提示
如果同一租户中有多个工作区,例如托管安全服务提供商 (MSSP) 的工作区,则仅将威胁指标连接到集中式工作区可能更具成本效益。
将同一组威胁指标导入到每个单独的工作区时,可以运行跨工作区查询以聚合整个工作区的威胁指标。 在 MSSP 事件检测、调查和搜寻体验中关联这些指标。
TAXII 威胁情报源
若要连接到 TAXII 威胁情报源,请结合使用每个供应商提供的数据,按说明将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源。 你可能需要直接联系供应商来获取与连接器配合使用的必要数据。
Accenture 网络威胁智能
Cybersixgill Darkfeed
- 了解 Cybersixgill 与 Microsoft Sentinel 的集成 。
- 将 Microsoft Sentinel 连接到 Cybersixgill TAXII 服务器,并获取对 Darkfeed 的访问权限。 联系 azuresentinel@cybersixgill.com 以获取 API 根、集合 ID、用户名和密码。
Cyware 威胁情报交换 (CTIX)
CTIX 是 Cyware TIP 的一个组件,旨在利用 TAXII 源实现 intel 可操作性,以便进行安全信息和事件管理。 对于 Microsoft Sentinel,请按照此处的说明操作:
ESET
- 了解 ESET 的威胁情报产品/服务。
- 将 Microsoft Sentinel 连接到 ESET TAXII 服务器。 从 ESET 帐户获取 API 根 URL、集合 ID、用户名和密码。 然后按照常规说明和 ESET 的知识库文章进行操作。
Financial Services Information Sharing and Analysis Center (FS-ISAC)
- 加入 FS-ISAC 以获取用于访问此源的凭据。
Health Intelligence Sharing Community (H-ISAC)
- 加入 H-ISAC 以获取用于访问此源的凭据。
IBM X-Force
- 详细了解 IBM X-Force 集成。
IntSights
- 详细了解 IntSights integration with Microsoft Sentinel @IntSights。
- 将 Microsoft Sentinel 连接到 IntSights TAXII 服务器。 在针对要发送到 Microsoft Sentinel 的数据配置策略后,从 IntSights 门户获取 API 根、集合 ID、用户名和密码。
Kaspersky
Pulsedive
ReversingLabs
Sectrio
SEKOIA.IO
ThreatConnect
集成式威胁情报平台产品
若要连接到 TIP 源,请参阅将威胁情报平台连接到 Microsoft Sentinel。 请参阅以下解决方案,了解需要其他哪些信息。
Agari Phishing Defense 和 Agari Brand Protection
- 若要连接 Agari Phishing Defense and Brand Protection,请使用 Microsoft Sentinel 中的内置 Agari 数据连接器。
Anomali ThreatStream
- 若要下载 ThreatStream 集成器和扩展以及有关将 ThreatStream 情报连接到 Microsoft Graph 安全性 API 的说明,请参阅 ThreatStream 下载页。
AT&T Cybersecurity 提供的 AlienVault Open Threat Exchange (OTX)
- 了解 AlienVault OTX 如何利用 Azure 逻辑应用 (playbook) 连接到 Microsoft Sentinel。 请参阅有关充分利用完整产品/服务所需的专门说明。
EclecticIQ 平台
- EclecticIQ 平台与 Microsoft Sentinel 集成以增强威胁检测、搜寻和响应功能。 详细了解此双向集成的优势和用例。
Filigran OpenCTI
- Filigran OpenCTI 可以通过实时运行的专用连接器或充当 Sentinel 将定期轮询的 TAXII 2.1 服务器,向 Microsoft Sentinel 发送威胁情报。 它还可以通过 Microsoft Sentinel 事件连接器从 Sentinel 接收结构化事件。
GroupIB Threat Intelligence and Attribution
- GroupIB 利用逻辑应用将 GroupIB Threat Intelligence and Attribution 连接到 Microsoft Sentinel。 请参阅充分利用完整产品/服务所需的专门说明。
MISP 开源威胁情报平台
- 搭配使用威胁情报上传指标 API 和 MISP2Sentinel,将威胁指标从 MISP 推送到 Microsoft Sentinel。
- 请参阅 Azure 市场中的 MISP2Sentinel。
- 详细了解 MISP 项目。
Palo Alto Networks MineMeld
- 若要为 Palo Alto MineMeld 配置 Microsoft Sentinel 连接信息,请参阅使用 MineMeld 将 IOC 发送到 Microsoft Graph 安全性 API。 转到“MineMeld 配置”标题。
Recorded Future 安全智能平台
- 了解 Recorded Future 如何利用逻辑应用 (playbook) 连接到 Microsoft Sentinel。 请参阅有关充分利用完整产品/服务所需的专门说明。
ThreatConnect 平台
- 有关将 ThreatConnect 连接到 Microsoft Sentinel 的说明,请参阅 Microsoft Graph 安全威胁指标集成配置指南。
ThreatQuotient 威胁情报平台
- 有关支持信息以及将 ThreatQuotient TIP 连接到 Microsoft Sentinel 的说明,请参阅用于 ThreatQ 集成的 Microsoft Sentinel 连接器。
事件扩充源
除了用于导入威胁指标以外,威胁情报源还可以充当一个源来扩充事件中的信息,并为调查工作提供更多上下文。 以下源可帮助实现此目的,并提供可在自动事件响应中使用的逻辑应用 playbook。 在内容中心查找这些扩充源。
有关如何查找并管理解决方案的详细信息,请参阅发现和部署现成内容。
HYAS Insight
- 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 HYAS Insight 的事件扩充 playbook。 搜索以“
Enrich-Sentinel-Incident-HYAS-Insight-
”开头的子文件夹。 - 参阅 HYAS Insight 逻辑应用连接器文档。
Microsoft Defender 威胁智能
- 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 Microsoft Defender Threat Intelligence 的事件扩充 playbook。
- 有关详细信息,请参阅 Defender 威胁情报技术社区博客文章。
Recorded Future Security Intelligence Platform
- 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 Recorded Future 的事件扩充 playbook。 搜索以“
RecordedFuture_
”开头的子文件夹。 - 参阅 Recorded Future 逻辑应用连接器文档。
ReversingLabs TitaniumCloud
- 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 ReversingLabs 的事件扩充 playbook。
- 请参阅 ReversingLabs TitaniumCloud 逻辑应用连接器文档。
RiskIQ PassiveTotal
- 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 RiskIQ Passive Total 的事件扩充 playbook。
- 参阅有关使用 RiskIQ playbook 的详细信息。
- 请参阅 RiskIQ PassiveTotal 逻辑应用连接器文档。
VirusTotal
- 在 Microsoft Sentinel GitHub 存储库中查找并启用用于 VirusTotal 的事件扩充 playbook。 搜索以“
Get-VTURL
”开头的子文件夹。 - 请参阅 VirusTotal 逻辑应用连接器文档。
相关内容
本文介绍了如何将威胁情报连接到 Microsoft Sentinel。 若要详细了解 Microsoft Sentinel,请参阅以下文章:
- 了解如何洞悉数据和潜在威胁。
- 开始使用 Microsoft Sentinel 检测威胁。