Интеграция аналитики угроз в Microsoft Sentinel
Microsoft Sentinel предоставляет несколько способов использования веб-каналов аналитиков угроз для улучшения возможностей аналитиков безопасности для обнаружения и определения приоритетов известных угроз:
- Используйте один из многих доступных продуктов интегрированной платформы аналитики угроз (TIP).
- Подключитесь к серверам TAXII, чтобы воспользоваться любым источником аналитики угроз, совместимым с STIX.
- Подключитесь непосредственно к веб-каналу Аналитика угроз Microsoft Defender.
- Используйте любые пользовательские решения, которые могут взаимодействовать непосредственно с API отправки индикаторов угроз.
- Подключитесь к источникам аналитики угроз из сборников схем для обогащения инцидентов информацией об аналитике угроз, которая может помочь в прямом расследовании и реагировании на действия.
Совет
Если у вас есть несколько рабочих областей в одном клиенте, например для поставщиков управляемых служб безопасности (MSSPs), это может оказаться более экономичным для подключения индикаторов угроз только к централизованной рабочей области.
При импорте одного и того же набора индикаторов угроз в каждую отдельную рабочую область можно выполнять запросы между рабочими областями для агрегирования индикаторов угроз по рабочим областям. Соотносите их в процессе обнаружения инцидентов MSSP, исследования и охоты.
Веб-каналы аналитики угроз TAXII
Чтобы подключиться к каналам аналитики угроз TAXII, следуйте инструкциям по подключению Microsoft Sentinel к каналам аналитики угроз STIX/TAXII вместе с данными, предоставленными каждым поставщиком. Возможно, вам потребуется обратиться к поставщику напрямую, чтобы получить необходимые данные для использования с соединителем.
Акцентура киберугрыши аналитики
Cybersixgill Darkfeed
- Узнайте об интеграции Cybersixgill с Microsoft Sentinel.
- Подключите Microsoft Sentinel к серверу Cybersixgill TAXII и получите доступ к Darkfeed. Чтобы [email protected] получить корневой каталог API, идентификатор коллекции, имя пользователя и пароль.
Обмен аналитикой угроз Cyware (CTIX)
Одним из компонентов советов Cyware, CTIX, является создание intel actionable с веб-каналом TAXII для вашей информации безопасности и управления событиями. Для Microsoft Sentinel следуйте инструкциям ниже.
- Узнайте, как интегрироваться с Microsoft Sentinel
ESET
- Узнайте о предложении аналитики угроз ESET.
- Подключите Microsoft Sentinel к серверу ESET TAXII. Получите корневой URL-адрес API, идентификатор коллекции, имя пользователя и пароль из учетной записи ESET. Затем следуйте общим инструкциям и база знаний статье ESET.
Центр распространения и анализа информации в сфере финансовых услуг (FS-ISAC)
- Присоединитесь к FS-ISAC, чтобы получить учетные данные для доступа к этому веб-каналу.
Сообщество для обмена данными аналитики работоспособности (H-ISAC)
- Присоединитесь к H-ISAC , чтобы получить учетные данные для доступа к этому каналу.
IBM X-Force
- Узнайте больше об интеграции IBM X-Force.
IntSights
- Дополнительные сведения о IntSights integration with Microsoft Sentinel @IntSights.
- Подключите Microsoft Sentinel к серверу IntSights TAXII. Получите корневой код API, идентификатор коллекции, имя пользователя и пароль на портале IntSights после настройки политики данных, которые необходимо отправить в Microsoft Sentinel.
Kaspersky
- Узнайте об интеграции Антивируса с Microsoft Sentinel.
Pulsedive
- Узнайте об интеграции Pulsedive с Microsoft Sentinel.
ReversingLabs
Sectrio
- Узнайте больше об интеграции Sectrio.
- Узнайте о пошаговом процессе интеграции веб-канала аналитики угроз Sectrio в Microsoft Sentinel.
SEKOIA. IO
ThreatConnect
- Узнайте больше о STIX и TAXII в ThreatConnect.
- См. документацию по службам TAXII в ThreatConnect.
Интегрированные продукты платформы аналитики угроз
Сведения о подключении к веб-каналам TIP см. в статье "Подключение платформ аналитики угроз" к Microsoft Sentinel. Ознакомьтесь со следующими решениями, чтобы узнать, какие другие сведения необходимы.
Agari Phishing Defense and Brand Protection
- Чтобы подключиться к Agari Phishing Defense and Brand Protection, используйте встроенный соединитель данных Agari в Microsoft Sentinel.
Anomali ThreatStream
- Чтобы загрузить ThreatStream Integrator с расширениями, а также инструкции по подключению аналитики ThreatStream к Microsoft Graph Security API, посетите страницу загрузок ThreatStream.
AlienVault Open Threat Exchange (OTX) от AT&T Cybersecurity
- Узнайте, как OtX AlienVault использует Azure Logic Apps (сборники схем) для подключения к Microsoft Sentinel. Ознакомьтесь со специальными инструкциями, позволяющими в полной мере использовать преимущества этого предложения.
Платформа EclecticIQ
- EclecticIQ Platform интегрируется с Microsoft Sentinel для улучшения обнаружения угроз, охоты и реагирования. См. дополнительные сведения о преимуществах и вариантах использования такой двусторонней интеграции.
Filigran OpenCTI
- Filigran OpenCTI может отправлять аналитику угроз в Microsoft Sentinel через выделенный соединитель , который работает в режиме реального времени, или в качестве сервера TAXII 2.1, который Sentinel будет регулярно опрашивать. Он также может получать структурированные инциденты от Sentinel через соединитель инцидентов Microsoft Sentinel.
GroupIB Threat Intelligence and Attribution
- Чтобы подключить groupIB Threat Intelligence и Attribution к Microsoft Sentinel, GroupIB использует Logic Apps. См. специализированные инструкции, необходимые для полного использования полного предложения.
Платформа аналитики угроз с открытым кодом с открытым кодом
- Отправка индикаторов угроз из MISP в Microsoft Sentinel с помощью API индикаторов отправки угроз с ПОМОЩЬЮ MISP2Sentinel.
- См. раздел MISP2Sentinel в Azure Marketplace.
- Дополнительные сведения о проекте MISP.
Palo Alto Networks MineMeld
- Сведения о настройке Palo Alto MineMeld с информацией о подключении к Microsoft Sentinel см. в статье "Отправка операций ввода-вывода в microsoft Graph API безопасности с помощью MineMeld". Перейдите к заголовку "Конфигурация MineMeld".
Записанная платформа аналитики безопасности в будущем
- Узнайте, как записанное будущее использует Logic Apps (сборники схем) для подключения к Microsoft Sentinel. Ознакомьтесь со специальными инструкциями, позволяющими в полной мере использовать преимущества этого предложения.
Платформа ThreatConnect
- Инструкции по подключению ThreatConnect к Microsoft Sentinel см. в документе Microsoft Graph Security Threat Indicators Integration Configuration Guide (Руководство по настройке интеграции индикаторов угроз в Microsoft Graph Security).
Платформа аналитики угроз ThreatQuotient
- Сведения о поддержке и инструкции по подключению ThreatQuotient TIP к Microsoft Sentinel см. в описании соединителя Microsoft Sentinel для интеграции ThreatQ.
Источники дополнительных данных для инцидентов
Веб-каналы аналитики угроз можно использовать не только для импорта индикаторов угроз, но и в качестве источника дополнительной информации для инцидентов, что позволяет получить контекст для расследований. Следующие веб-каналы служат этой цели и предоставляют сборники схем Logic Apps для использования в автоматическом ответе на инциденты. Найдите эти источники обогащения в центре контента.
Дополнительные сведения о том, как найти решения и управлять ими, см. в статье "Обнаружение и развертывание содержимого вне поля".
HYAS Insight
- Сборники схем, позволяющие получить дополнительную информацию по инцидентам, для HYAS Insight можно найти в репозитории Microsoft Sentinel на GitHub. Выполните поиск вложенных папок, начиная с
Enrich-Sentinel-Incident-HYAS-Insight-. - См. документацию по соединителю HYAS Insights Logic Apps.
Аналитика угроз Microsoft Defender
- Найдите и включите сборники схем обогащения инцидентов для Аналитика угроз Microsoft Defender в репозитории Microsoft Sentinel GitHub.
- Дополнительные сведения см. в блоге блога Tech Intelligence Tech Community Defender.
Платформа обнаружения угроз Recorded Future
- Сборники схем, позволяющие получить дополнительную информацию по инцидентам, для Recorded Future можно найти в репозитории Microsoft Sentinel на GitHub. Выполните поиск вложенных папок, начиная с
RecordedFuture_. - См. документацию по соединителю Recorded Future Logic Apps.
ReversingLabs TitaniumCloud
- Сборники схем, позволяющие получить дополнительную информацию по инцидентам, для ReversingLabs можно найти в репозитории Microsoft Sentinel на GitHub.
- См. документацию по соединителю ReversingLabs TitanCloud Logic Apps.
RiskIQ PassiveTotal
- Найдите и включите сборники схем обогащения инцидентов для пассивного итога RiskIQ в репозитории Microsoft Sentinel GitHub.
- См. дополнительные сведения о работе со сборниками схем RiskIQ.
- См. документацию по соединителю RiskIQ PassiveTotal Logic Apps.
VirusTotal
- Найдите и включите сборники схем обогащения инцидентов для VirusTotal в репозитории Microsoft Sentinel GitHub. Выполните поиск вложенных папок, начиная с
Get-VTURL. - См. документацию по соединителю VirusTotal Logic Apps.
Связанный контент
Из этой статьи вы узнали, как подключить поставщика аналитики угроз к Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
- Узнайте, как отслеживать свои данные и потенциальные угрозы.
- Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.