Использование STIX/TAXII для импорта и экспорта аналитики угроз в Microsoft Sentinel

Формат данных STIX и протокол TAXII являются наиболее распространенными отраслевыми стандартами для передачи аналитики угроз. Microsoft Sentinel поддерживает интеграцию с платформами аналитики угроз с использованием стандартов и предоставляет встроенные соединители для импорта и экспорта аналитики угроз.

Используйте соединитель данных Аналитика угроз — TAXII для импорта индикаторов угроз с серверов TAXII 2.0 или 2.1 в рабочую область Sentinel. Чтобы совместно использовать аналитику угроз извне, настройте соединитель аналитики угроз — TAXII Export, который обеспечивает безопасный экспорт на основе стандартов на поддерживаемые платформы TAXII 2.1.

В этой статье описаны оба процесса: подключение к каналам STIX/TAXII для импорта и настройки экспорта на серверы TAXII.

Узнайте больше об аналитике угроз в Microsoft Sentinel и, в частности, о каналах аналитики угроз TAXII, которые можно интегрировать с Microsoft Sentinel.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в Microsoft Sentinel таблицах доступности облачных функций для клиентов из государственных организаций США.

Дополнительные сведения см. в статье Подключение платформы аналитики угроз (TIP) к Microsoft Sentinel.

Важно!

После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Предварительные условия

  • Чтобы установить, обновить и удалить автономное содержимое или решения в центре содержимого, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.
  • Необходимо иметь корневой URI API TAXII 2.0 или TAXII 2.1 и идентификатор коллекции.

Получение корневого каталога и идентификатора коллекции API сервера TAXII

Серверы TAXII 2.x объявляют корни API, которые представляют собой URL-адреса, на которых размещаются коллекции аналитики угроз. Как правило, корневой каталог API и идентификатор коллекции можно найти на страницах документации поставщика аналитики угроз, на котором размещен сервер TAXII.

Примечание.

В некоторых случаях поставщик объявляет только URL-адрес, называемый конечной точкой обнаружения. С помощью служебной программы cURL можно просмотреть конечную точку обнаружения и запросить корневой каталог API.

Установка решения аналитики угроз в Microsoft Sentinel

Чтобы импортировать индикаторы угроз в Microsoft Sentinel с сервера TAXII или экспортировать индикаторы угроз из Microsoft Sentinel, установите решение аналитики угроз:

  1. Для Microsoft Sentinel в портал Azure в разделе Управление содержимым выберите Центр содержимого.

    Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Центр содержимого управления> Клиентами.

  2. Найдите и выберите решение Аналитика угроз .

  3. Нажмите кнопку Установка и обновление .

Дополнительные сведения об управлении компонентами решения см. в статье Обнаружение и развертывание готового содержимого.

Включение соединителя данных аналитики угроз — TAXII

Чтобы настроить соединитель данных TAXII, выполните следующие действия:

  1. Выберите меню Соединители данных .

  2. Найдите и выберите соединитель данных Аналитика угроз — TAXII , а затем выберите Открыть страницу соединителя.

    Снимок экрана: страница соединителей данных со списком соединителя данных TAXII.

  3. Введите имя для этой коллекции серверов TAXII в текстовом поле Понятное имя . Введите в текстовые поля корневой URL-адрес API, идентификатор коллекции, имя пользователя (при необходимости) и пароль (при необходимости). Выберите группу индикаторов и нужную частоту опроса. Нажмите Добавить.

    Снимок экрана: настройка серверов TAXII.

Вы получите подтверждение успешного подключения к серверу TAXII. Повторите последний шаг столько раз, сколько нужно подключиться к нескольким коллекциям с одного или нескольких серверов TAXII.

Через несколько минут индикаторы угроз должны начать поступать в эту рабочую область Microsoft Sentinel. Найдите новые индикаторы на панели Аналитика угроз . Доступ к нему можно получить из меню Microsoft Sentinel.

Список разрешенных IP-адресов для клиента TAXII Microsoft Sentinel

Для некоторых серверов TAXII, таких как FS-ISAC, требуется сохранить IP-адреса клиента Microsoft Sentinel TAXII в списке разрешенных. Большинство серверов TAXII не имеют этого требования.

При необходимости следующие IP-адреса являются адресами, которые необходимо включить в список разрешенных:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Включение соединителя данных для аналитики угроз — TAXII Export data

Чтобы настроить соединитель данных TAXII, выполните следующие действия:

  1. Убедитесь, что в Microsoft Sentinel установлена последняя версия решения аналитики угроз. Дополнительные сведения см. в статье Установка решения аналитики угроз в Microsoft Sentinel.

  2. Выберите меню Соединители данных .

  3. Выберите соединитель Аналитика угроз — TAXII Экспорт данных, а затем выберите открыть страницу соединителя в боковой области.

    Снимок экрана: страница соединителей данных со списком соединителя данных TAXII Export.

  4. В области Конфигурация на странице Аналитика угроз — экспорт TAXII :

    • Введите имя для этой коллекции серверов TAXII в текстовом поле Понятное имя (для сервера).
    • Введите в текстовые поля корневой URL-адрес API идентификатор коллекции. Дополнительные сведения см. в статье Получение корневого каталога и идентификатора коллекции API сервера TAXII.
    • Выберите обычную проверку подлинности или ключ API в раскрывающемся списке Тип проверки подлинности и укажите соответствующие сведения о проверке подлинности.
    • Выберите Включить правила , чтобы применить правила, описанные на странице соединителя, ко всем экспортируемым средствам аналитики угроз.

    Например, вы можете:

    Примечание.

    Редактирование существующих соединителей в настоящее время не поддерживается. Чтобы изменить конфигурацию сервера TAXII или его правила, переустановите соединитель.

  5. Выберите Добавить , чтобы добавить сервер.

Список разрешенных IP-адресов для соединителя аналитики угроз — TAXII Export

Добавьте следующие IP-адреса в список разрешенных, чтобы операции экспорта не блокировались:

  • 68.218.134.151
  • 4.237.173.121
  • 68.218.191.192
  • 68.218.191.208
  • 74.163.73.85
  • 74.163.73.84
  • 108.140.47.197
  • 108.140.47.196
  • 130.107.0.17
  • 130.107.0.16
  • 52.242.47.153
  • 52.242.47.152
  • 4.186.93.129
  • 4.186.93.128
  • 57.158.18.39
  • 57.158.18.38
  • 128.203.32.17
  • 20.232.93.192
  • 128.24.7.173
  • 128.24.7.172
  • 4.251.60.81
  • 4.251.60.80
  • 20.111.81.65
  • 20.111.81.64
  • 20.218.50.5
  • 20.218.50.4
  • 72.144.227.117
  • 72.144.227.116
  • 51.4.37.231
  • 20.217.163.215
  • 72.146.91.160
  • 4.232.40.176
  • 74.176.2.247
  • 74.176.2.246
  • 74.226.38.228
  • 4.190.136.176
  • 4.181.55.53
  • 4.181.55.52
  • 20.200.167.49
  • 20.200.167.48
  • 4.207.244.69
  • 132.164.237.192
  • 4.235.51.87
  • 4.235.51.86
  • 51.120.182.208
  • 4.220.173.230
  • 4.171.25.225
  • 4.171.25.224
  • 4.253.54.45
  • 4.253.54.44
  • 172.209.40.109
  • 172.209.40.108
  • 172.188.182.119
  • 172.188.182.118
  • 20.207.217.212
  • 74.224.83.8
  • 135.225.179.229
  • 135.225.179.228
  • 20.91.127.183
  • 20.91.127.182
  • 4.226.56.22
  • 74.242.228.97
  • 74.242.60.137
  • 74.242.4.65
  • 74.243.66.228
  • 74.243.66.227
  • 74.243.225.230
  • 74.243.225.229
  • 74.177.108.204
  • 172.187.102.73
  • 51.142.135.18
  • 51.142.135.17
  • 50.85.238.240
  • 132.220.84.130
  • 172.184.49.127
  • 172.184.49.126
  • 4.149.254.64
  • 172.179.34.64

Из этой статьи вы узнали, как подключить Microsoft Sentinel к каналам аналитики угроз с помощью протокола TAXII. Дополнительные сведения о работе с аналитикой угроз в Microsoft Sentinel см. в следующих статьях: