Поделиться через

Использование STIX/TAXII для импорта и экспорта аналитики угроз в Microsoft Sentinel

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Формат данных STIX и протокол TAXII являются наиболее широко принятыми отраслевыми стандартами для передачи аналитики угроз. Microsoft Sentinel поддерживает интеграцию с платформами аналитики угроз с помощью стандартов и предоставляет встроенные соединители для импорта и экспорта аналитики угроз.

Используйте соединитель данных TAXII для импорта индикаторов угроз из серверов TAXII 2.0 или 2.1 в рабочую область Sentinel. Чтобы совместно использовать аналитику угроз во внешнем режиме, настройте соединитель аналитики угроз — TAXII Export, который обеспечивает безопасный экспорт на основе стандартов на поддерживаемых платформах TAXII 2.1.

В этой статье рассматриваются оба процесса: подключение к веб-каналам STIX/TAXII для импорта и настройки экспорта на серверы TAXII.

Узнайте больше об аналитике угроз в Microsoft Sentinel и, в частности, о каналах аналитики угроз TAXII, которые можно интегрировать с Microsoft Sentinel.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Дополнительные сведения см. в статье "Подключение платформы аналитики угроз" (TIP) к Microsoft Sentinel.

Внимание

После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Предварительные условия

  • Чтобы установить, обновить и удалить автономное содержимое или решения в Центре контента, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.
  • Необходимо иметь корневой URI API TAXII 2.0 или TAXII 2.1 и идентификатор коллекции.

Получите корень API сервера TAXII и идентификатор коллекции

Серверы TAXII 2.x рекламируют корневые API, которые являются URL-адресами, в которых размещаются коллекции разведывательной информации об угрозах. Обычно можно найти корневой каталог API и идентификатор коллекции на страницах документации поставщика аналитики угроз, на котором размещен сервер TAXII.

Примечание.

В некоторых случаях поставщик объявляет только URL-адрес, называемый конечной точкой обнаружения. С помощью программы cURL можно просмотреть конечную точку обнаружения и запросить корневой каталог API.

Установка решения аналитики угроз в Microsoft Sentinel

Чтобы импортировать индикаторы угроз в Microsoft Sentinel с сервера TAXII или экспортировать индикаторы угроз из Microsoft Sentinel, установите решение аналитики угроз:

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.

    Для Microsoft Sentinel в портале Defender выберите Microsoft Sentinel>Управление содержимым>Центр содержимого.

  2. Найдите и выберите решение аналитики угроз.

  3. Нажмите кнопку "Установить и обновить".

Дополнительные сведения об управлении компонентами решения см. в разделе "Обнаружение и развертывание содержимого из коробки".

** Активируйте соединитель данных Threat Intelligence — TAXII

Чтобы настроить соединитель данных TAXII, выполните следующие действия.

  1. Выберите меню соединителей данных .

  2. Найдите и выберите соединитель данных Threat Intelligence - TAXII, затем выберите Открыть страницу соединителя.

    Снимок экрана: страница соединителей данных с указанным соединителем данных TAXII.

  3. Введите имя для этой коллекции сервера TAXII в текстовом поле «Дружественное имя». Заполните текстовые поля для корневого URL-адреса API, идентификатора коллекции, имени пользователя (при необходимости) и пароля (при необходимости). Выберите группу индикаторов и нужную частоту опроса. Выберите Добавить.

    Снимок экрана: настройка серверов TAXII.

Необходимо получить подтверждение успешного установления подключения к серверу TAXII. Повторите последний шаг столько раз, сколько требуется подключиться к нескольким коллекциям с одного или нескольких серверов TAXII.

В течение нескольких минут индикаторы угроз должны начать поступать в эту рабочую область Microsoft Sentinel. Найдите новые индикаторы на панели аналитики угроз. Доступ к нему можно получить из меню Microsoft Sentinel.

Список разрешенных IP-адресов для клиента Microsoft Sentinel TAXII

На некоторых серверах TAXII, таких как FS-ISAC, имеются требования сохранять IP-адреса клиента TAXII Microsoft Sentinel в списке разрешенных адресов. Для большинства серверов TAXII это требование отсутствует.

При необходимости следующие IP-адреса — это адреса, которые необходимо включить в список разрешений:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Включить соединитель экспорта данных TAXII для анализа угроз

Чтобы настроить соединитель данных TAXII, выполните следующие действия.

  1. Убедитесь, что у вас есть последняя версия решения аналитики угроз в Microsoft Sentinel. Дополнительные сведения см. в разделе "Установка решения аналитики угроз" в Microsoft Sentinel.

  2. Выберите меню соединителей данных .

  3. Выберите коннектор данных Threat intelligence - TAXII Export, а затем на боковой панели выберите Открыть страницу соединителя.

    Снимок экрана: страница соединителей данных с указанным соединителем данных TAXII Export.

  4. В области конфигурации на странице TAXII-экспорта аналитической информации об угрозах:

    • Введите имя для этой коллекции серверов TAXII в текстовом поле "Понятное имя" (для сервера).
    • Заполните текстовые поля для корневого URL-адреса API, идентификатора коллекции. Дополнительные сведения см. в разделе "Получение корневого API и идентификатора коллекции" API сервера TAXII.
    • Выберите обычную проверку подлинности или ключ API в раскрывающемся списке типа проверки подлинности и укажите соответствующие сведения о проверке подлинности.
    • Выберите "Включить правила ", чтобы применить правила, описанные на странице соединителя, ко всем экспортируемым аналитикам угроз.

    Рассмотрим пример.

    Примечание.

    Изменение существующих соединителей в настоящее время не поддерживается. Чтобы изменить конфигурацию сервера TAXII или его правил, переустановите соединитель.

  5. Нажмите кнопку "Добавить ", чтобы добавить сервер.

Список разрешенных IP-адресов для соединителя экспорта TAXII "Аналитика угроз"

Добавьте эти IP-адреса в список разрешений, чтобы убедиться, что операции экспорта не блокируются:

  • 68.218.134.151
  • 4.237.173.121
  • 68.218.191.192
  • 68.218.191.208
  • 74.163.73.85
  • 74.163.73.84
  • 108.140.47.197
  • 108.140.47.196
  • 130.107.0.17
  • 130.107.0.16
  • 52.242.47.153
  • 52.242.47.152
  • 4.186.93.129
  • 4.186.93.128
  • 57.158.18.39
  • 57.158.18.38
  • 128.203.32.17
  • 20.232.93.192
  • 128.24.7.173
  • 128.24.7.172
  • 4.251.60.81
  • 4.251.60.80
  • 20.111.81.65
  • 20.111.81.64
  • 20.218.50.5
  • 20.218.50.4
  • 72.144.227.117
  • 72.144.227.116
  • 51.4.37.231
  • 20.217.163.215
  • 72.146.91.160
  • 4.232.40.176
  • 74.176.2.247
  • 74.176.2.246
  • 74.226.38.228
  • 4.190.136.176
  • 4.181.55.53
  • 4.181.55.52
  • 20.200.167.49
  • 20.200.167.48
  • 4.207.244.69
  • 132.164.237.192
  • 4.235.51.87
  • 4.235.51.86
  • 51.120.182.208
  • 4.220.173.230
  • 4.171.25.225
  • 4.171.25.224
  • 4.253.54.45
  • 4.253.54.44
  • 172.209.40.109
  • 172.209.40.108
  • 172.188.182.119
  • 172.188.182.118
  • 20.207.217.212
  • 74.224.83.8
  • 135.225.179.229
  • 135.225.179.228
  • 20.91.127.183
  • 20.91.127.182
  • 4.226.56.22
  • 74.242.228.97
  • 74.242.60.137
  • 74.242.4.65
  • 74.243.66.228
  • 74.243.66.227
  • 74.243.225.230
  • 74.243.225.229
  • 74.177.108.204
  • 172.187.102.73
  • 51.142.135.18
  • 51.142.135.17
  • 50.85.238.240
  • 132.220.84.130
  • 172.184.49.127
  • 172.184.49.126
  • 4.149.254.64
  • 172.179.34.64

Связанный контент

Из этой статьи вы узнали, как подключить Microsoft Sentinel к источникам данных об угрозах с помощью протокола TAXII. Дополнительные сведения о работе с аналитикой угроз в Microsoft Sentinel см. в следующих статьях:

  • Last updated on