Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Sentinel предоставляет несколько способов использования веб-каналов аналитики угроз для повышения способности аналитиков безопасности обнаруживать и определять приоритеты известных угроз:
- Используйте один из многих доступных продуктов интегрированной платформы аналитики угроз (TIP).
- Подключитесь к серверам TAXII , чтобы воспользоваться преимуществами любого источника аналитики угроз, совместимого с STIX.
- Подключитесь непосредственно к веб-каналу Аналитика угроз Microsoft Defender.
- Используйте любые пользовательские решения, которые могут взаимодействовать напрямую с API индикаторов отправки аналитики угроз.
- Подключитесь к источникам аналитики угроз из сборников схем, чтобы обогатить инциденты сведениями об аналитике угроз, которые могут помочь в прямом расследовании и реагировании.
Совет
При наличии нескольких рабочих областей в одном клиенте, например для управляемых поставщиков служб безопасности (MSSP), может оказаться более экономичным подключение индикаторов угроз только к централизованной рабочей области.
При наличии одного и того же набора индикаторов угроз, импортированных в каждую отдельную рабочую область, можно выполнять запросы между рабочими областями для агрегирования индикаторов угроз в рабочих областях. Соотносите их с обнаружением, исследованием и охотой на инциденты MSSP.
Веб-каналы аналитики угроз TAXII
Чтобы подключиться к каналам аналитики угроз TAXII, следуйте инструкциям по подключению Microsoft Sentinel к каналам аналитики угроз STIX/TAXII вместе с данными, предоставленными каждым поставщиком. Возможно, вам потребуется напрямую обратиться к поставщику, чтобы получить необходимые данные для использования с соединителем.
Аналитика киберугротических угроз Accenture
Cybersixgill Darkfeed
- Узнайте об интеграции Cybersixgill с Microsoft Sentinel.
- Подключите Microsoft Sentinel к серверу Cybersixgill TAXII и получите доступ к Darkfeed. Контакт azuresentinel@cybersixgill.com для получения корневого каталога API, идентификатора коллекции, имени пользователя и пароля.
Обмен аналитикой угроз Cyware (CTIX)
Одним из компонентов подсказки Cyware, CTIX, является обеспечение поддержки intel с помощью веб-канала TAXII для управления информационной безопасностью и событиями. Для Microsoft Sentinel следуйте инструкциям здесь:
- Узнайте, как интегрироваться с Microsoft Sentinel
ESET
- Узнайте о предложении ESET для аналитики угроз.
- Подключите Microsoft Sentinel к серверу ESET TAXII. Получите корневой URL-адрес API, идентификатор коллекции, имя пользователя и пароль из учетной записи ESET. Затем следуйте общим инструкциям и база знаний статье ESET.
Центр совместного использования и анализа информации о финансовых службах (FS-ISAC)
- Присоединитесь к FS-ISAC , чтобы получить учетные данные для доступа к этому веб-каналу.
Сообщество по обмену аналитикой здравоохранения (H-ISAC)
- Присоединитесь к H-ISAC , чтобы получить учетные данные для доступа к этому веб-каналу.
IBM X-Force
- Узнайте больше об интеграции IBM X-Force.
IntSights
- Узнайте больше об интеграции IntSights с Microsoft Sentinel.
- Подключите Microsoft Sentinel к серверу IntSights TAXII. Получите корневой каталог API, идентификатор коллекции, имя пользователя и пароль на портале IntSights после настройки политики данных, которые нужно отправить Microsoft Sentinel.
Kaspersky
Пульсация
- Узнайте об интеграции Pulsedive с Microsoft Sentinel.
ReversingLabs
- Сведения об интеграции ReversingLabs TAXII с Microsoft Sentinel.
Сектрио
- Узнайте больше об интеграции Sectrio.
- Узнайте о пошаговом процессе интеграции канала аналитики угроз Sectrio в Microsoft Sentinel.
SEKOIA. IO
ThreatConnect
- Дополнительные сведения о STIX и TAXII см. в статье ThreatConnect.
- См. документацию по службам TAXII на странице ThreatConnect.
Продукты интегрированной платформы аналитики угроз
Сведения о подключении к веб-каналам TIP см. в статье Подключение платформ аналитики угроз к Microsoft Sentinel. Сведения о других необходимых сведениях см. в следующих решениях.
Защита от фишинга в Agari и защита от бренда
- Для подключения защиты от фишинга и защиты от бренда Agari используйте встроенный соединитель данных Agari в Microsoft Sentinel.
Anomali ThreatStream
- Сведения о том, как скачать интегратор и расширения ThreatStream, а также инструкции по подключению аналитики ThreatStream к API безопасности Microsoft Graph, см. на странице загрузки ThreatStream.
AlienVault Open Threat Exchange (OTX) от AT&T Cybersecurity
- Узнайте, как AlienVault OTX использует Azure Logic Apps (сборники схем) для подключения к Microsoft Sentinel. Ознакомьтесь со специализированными инструкциями , необходимыми для полного использования преимуществ полного предложения.
EclecticIQ Platform
- EclecticIQ Platform интегрируется с Microsoft Sentinel для улучшения обнаружения, охоты и реагирования на угрозы. Узнайте больше о преимуществах и вариантах использования этой двусторонней интеграции.
Filigran OpenCTI
- Filigran OpenCTI может отправлять аналитику угроз в Microsoft Sentinel через выделенный соединитель, работающий в режиме реального времени, или выступая в качестве сервера TAXII 2.1, который Sentinel будет регулярно опрашивать. Он также может получать структурированные инциденты от Sentinel через соединитель инцидентов Microsoft Sentinel.
Аналитика и атрибуция угроз GroupIB
- Чтобы подключить GroupIB Threat Intelligence и Attribution к Microsoft Sentinel, GroupIB использует Logic Apps. Ознакомьтесь со специализированными инструкциями , необходимыми для полного использования преимуществ полного предложения.
Платформа аналитики угроз с открытым кодом MISP
- Отправка индикаторов угроз из MISP в Microsoft Sentinel с помощью API индикаторов отправки аналитики угроз с помощью MISP2Sentinel.
- См. раздел MISP2Sentinel в Azure Marketplace.
- Дополнительные сведения о проекте MISP.
Пало Альто Сети MineMeld
- Сведения о том, как настроить Palo Alto MineMeld со сведениями о подключении к Microsoft Sentinel, см. в статье Отправка операций ввода-вывода в microsoft Graph API безопасности с помощью MineMeld. Перейдите к заголовку "Конфигурация MineMeld".
Записано будущее платформы аналитики безопасности
- Узнайте, как recorded Future использует Logic Apps (сборники схем) для подключения к Microsoft Sentinel. Ознакомьтесь со специализированными инструкциями , необходимыми для полного использования преимуществ полного предложения.
Платформа ThreatConnect
- Инструкции по подключению ThreatConnect к Microsoft Sentinel см. в руководстве по настройке интеграции индикаторов угроз безопасности Microsoft Graph.
Платформа аналитики угроз ThreatQuotient
- Сведения о поддержке и инструкции по подключению ThreatQuotient TIP к Microsoft Sentinel см. в статье Соединитель Microsoft Sentinel для интеграции ThreatQ.
Источники обогащения инцидентов
Помимо использования для импорта индикаторов угроз, каналы аналитики угроз также могут служить источником для обогащения информации в инцидентах и предоставления большего контекста для ваших расследований. Следующие веб-каналы служат этой цели и предоставляют сборники схем Logic Apps для использования в автоматическом реагировании на инциденты. Найдите эти источники обогащения в центре содержимого.
Дополнительные сведения о поиске решений и управлении ими см. в статье Обнаружение и развертывание готового содержимого.
HYAS Insight
- Найдите и включите сборники схем обогащения инцидентов для HYAS Insight в репозитории Microsoft Sentinel GitHub. Найдите вложенные папки, начинающиеся с
Enrich-Sentinel-Incident-HYAS-Insight-. - См. документацию по соединителю HYAS Insight Logic Apps.
Аналитика угроз Microsoft Defender
- Найдите и включите сборники схем обогащения инцидентов для Аналитика угроз Microsoft Defender в репозитории Microsoft Sentinel GitHub.
- Дополнительные сведения см. в записи блога Сообщества разработчиков аналитики угроз в Defender .
Записано будущее платформы аналитики безопасности
- Найдите и включите сборники схем обогащения инцидентов для записанного будущего в репозитории Microsoft Sentinel GitHub. Найдите вложенные папки, начинающиеся с
RecordedFuture_. - См. документацию по соединителю Logic Apps в будущем.
ReversingLabs TitanCloud
- Найдите и включите сборники схем обогащения инцидентов для ReversingLabs в репозитории Microsoft Sentinel GitHub.
- См. документацию по соединителю ReversingLabs TitanCloud Logic Apps.
RiskIQ PassiveTotal
- Найдите и включите сборники схем обогащения инцидентов для пассивного итога RiskIQ в репозитории Microsoft Sentinel GitHub.
- См . дополнительные сведения о работе с сборниками схем RiskIQ.
- См. документацию по соединителю RiskIQ PassiveTotal Logic Apps.
Virustotal
- Найдите и включите сборники схем обогащения инцидентов для VirusTotal в репозитории GitHub Microsoft Sentinel. Найдите вложенные папки, начинающиеся с
Get-VTURL. - См. документацию по соединителю VirusTotal Logic Apps.
Связанные материалы
Из этой статьи вы узнали, как подключить поставщик аналитики угроз к Microsoft Sentinel. Дополнительные сведения о Microsoft Sentinel см. в следующих статьях:
- Узнайте, как получить представление о данных и потенциальных угрозах.
- Приступая к обнаружению угроз с помощью Microsoft Sentinel.