Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Формат данных STIX и протокол TAXII являются наиболее распространенными отраслевыми стандартами для передачи аналитики угроз. Microsoft Sentinel поддерживает интеграцию с платформами аналитики угроз с использованием стандартов и предоставляет встроенные соединители для импорта и экспорта аналитики угроз.
Используйте соединитель данных Аналитика угроз — TAXII для импорта индикаторов угроз с серверов TAXII 2.0 или 2.1 в рабочую область Sentinel. Чтобы совместно использовать аналитику угроз извне, настройте соединитель аналитики угроз — TAXII Export, который обеспечивает безопасный экспорт на основе стандартов на поддерживаемые платформы TAXII 2.1.
В этой статье описаны оба процесса: подключение к каналам STIX/TAXII для импорта и настройки экспорта на серверы TAXII.
Узнайте больше об аналитике угроз в Microsoft Sentinel и, в частности, о каналах аналитики угроз TAXII, которые можно интегрировать с Microsoft Sentinel.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в Microsoft Sentinel таблицах доступности облачных функций для клиентов из государственных организаций США.
Дополнительные сведения см. в статье Подключение платформы аналитики угроз (TIP) к Microsoft Sentinel.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Предварительные условия
- Чтобы установить, обновить и удалить автономное содержимое или решения в центре содержимого, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.
- Необходимо иметь корневой URI API TAXII 2.0 или TAXII 2.1 и идентификатор коллекции.
Получение корневого каталога и идентификатора коллекции API сервера TAXII
Серверы TAXII 2.x объявляют корни API, которые представляют собой URL-адреса, на которых размещаются коллекции аналитики угроз. Как правило, корневой каталог API и идентификатор коллекции можно найти на страницах документации поставщика аналитики угроз, на котором размещен сервер TAXII.
Примечание.
В некоторых случаях поставщик объявляет только URL-адрес, называемый конечной точкой обнаружения. С помощью служебной программы cURL можно просмотреть конечную точку обнаружения и запросить корневой каталог API.
Установка решения аналитики угроз в Microsoft Sentinel
Чтобы импортировать индикаторы угроз в Microsoft Sentinel с сервера TAXII или экспортировать индикаторы угроз из Microsoft Sentinel, установите решение аналитики угроз:
Для Microsoft Sentinel в портал Azure в разделе Управление содержимым выберите Центр содержимого.
Для Microsoft Sentinel на портале Defender выберите Microsoft Sentinel>Центр содержимого управления> Клиентами.
Найдите и выберите решение Аналитика угроз .
Нажмите кнопку
Установка и обновление .
Дополнительные сведения об управлении компонентами решения см. в статье Обнаружение и развертывание готового содержимого.
Включение соединителя данных аналитики угроз — TAXII
Чтобы настроить соединитель данных TAXII, выполните следующие действия:
Выберите меню Соединители данных .
Найдите и выберите соединитель данных Аналитика угроз — TAXII , а затем выберите Открыть страницу соединителя.
Введите имя для этой коллекции серверов TAXII в текстовом поле Понятное имя . Введите в текстовые поля корневой URL-адрес API, идентификатор коллекции, имя пользователя (при необходимости) и пароль (при необходимости). Выберите группу индикаторов и нужную частоту опроса. Нажмите Добавить.
Вы получите подтверждение успешного подключения к серверу TAXII. Повторите последний шаг столько раз, сколько нужно подключиться к нескольким коллекциям с одного или нескольких серверов TAXII.
Через несколько минут индикаторы угроз должны начать поступать в эту рабочую область Microsoft Sentinel. Найдите новые индикаторы на панели Аналитика угроз . Доступ к нему можно получить из меню Microsoft Sentinel.
Список разрешенных IP-адресов для клиента TAXII Microsoft Sentinel
Для некоторых серверов TAXII, таких как FS-ISAC, требуется сохранить IP-адреса клиента Microsoft Sentinel TAXII в списке разрешенных. Большинство серверов TAXII не имеют этого требования.
При необходимости следующие IP-адреса являются адресами, которые необходимо включить в список разрешенных:
- 20.193.17.32
- 20.197.219.106
- 20.48.128.36
- 20.199.186.58
- 40.80.86.109
- 52.158.170.36
- 20.52.212.85
- 52.251.70.29
- 20.74.12.78
- 20.194.150.139
- 20.194.17.254
- 51.13.75.153
- 102.133.139.160
- 20.197.113.87
- 40.123.207.43
- 51.11.168.197
- 20.71.8.176
- 40.64.106.65
Включение соединителя данных для аналитики угроз — TAXII Export data
Чтобы настроить соединитель данных TAXII, выполните следующие действия:
Убедитесь, что в Microsoft Sentinel установлена последняя версия решения аналитики угроз. Дополнительные сведения см. в статье Установка решения аналитики угроз в Microsoft Sentinel.
Выберите меню Соединители данных .
Выберите соединитель Аналитика угроз — TAXII Экспорт данных, а затем выберите открыть страницу соединителя в боковой области.
В области Конфигурация на странице Аналитика угроз — экспорт TAXII :
- Введите имя для этой коллекции серверов TAXII в текстовом поле Понятное имя (для сервера).
- Введите в текстовые поля корневой URL-адрес API идентификатор коллекции. Дополнительные сведения см. в статье Получение корневого каталога и идентификатора коллекции API сервера TAXII.
- Выберите обычную проверку подлинности или ключ API в раскрывающемся списке Тип проверки подлинности и укажите соответствующие сведения о проверке подлинности.
- Выберите Включить правила , чтобы применить правила, описанные на странице соединителя, ко всем экспортируемым средствам аналитики угроз.
Например, вы можете:
Примечание.
Редактирование существующих соединителей в настоящее время не поддерживается. Чтобы изменить конфигурацию сервера TAXII или его правила, переустановите соединитель.
Выберите Добавить , чтобы добавить сервер.
Список разрешенных IP-адресов для соединителя аналитики угроз — TAXII Export
Добавьте следующие IP-адреса в список разрешенных, чтобы операции экспорта не блокировались:
- 68.218.134.151
- 4.237.173.121
- 68.218.191.192
- 68.218.191.208
- 74.163.73.85
- 74.163.73.84
- 108.140.47.197
- 108.140.47.196
- 130.107.0.17
- 130.107.0.16
- 52.242.47.153
- 52.242.47.152
- 4.186.93.129
- 4.186.93.128
- 57.158.18.39
- 57.158.18.38
- 128.203.32.17
- 20.232.93.192
- 128.24.7.173
- 128.24.7.172
- 4.251.60.81
- 4.251.60.80
- 20.111.81.65
- 20.111.81.64
- 20.218.50.5
- 20.218.50.4
- 72.144.227.117
- 72.144.227.116
- 51.4.37.231
- 20.217.163.215
- 72.146.91.160
- 4.232.40.176
- 74.176.2.247
- 74.176.2.246
- 74.226.38.228
- 4.190.136.176
- 4.181.55.53
- 4.181.55.52
- 20.200.167.49
- 20.200.167.48
- 4.207.244.69
- 132.164.237.192
- 4.235.51.87
- 4.235.51.86
- 51.120.182.208
- 4.220.173.230
- 4.171.25.225
- 4.171.25.224
- 4.253.54.45
- 4.253.54.44
- 172.209.40.109
- 172.209.40.108
- 172.188.182.119
- 172.188.182.118
- 20.207.217.212
- 74.224.83.8
- 135.225.179.229
- 135.225.179.228
- 20.91.127.183
- 20.91.127.182
- 4.226.56.22
- 74.242.228.97
- 74.242.60.137
- 74.242.4.65
- 74.243.66.228
- 74.243.66.227
- 74.243.225.230
- 74.243.225.229
- 74.177.108.204
- 172.187.102.73
- 51.142.135.18
- 51.142.135.17
- 50.85.238.240
- 132.220.84.130
- 172.184.49.127
- 172.184.49.126
- 4.149.254.64
- 172.179.34.64
Связанные материалы
Из этой статьи вы узнали, как подключить Microsoft Sentinel к каналам аналитики угроз с помощью протокола TAXII. Дополнительные сведения о работе с аналитикой угроз в Microsoft Sentinel см. в следующих статьях: