Интеграция аналитики угроз в Microsoft Sentinel

Microsoft Sentinel предоставляет несколько способов использования веб-каналов аналитики угроз для повышения способности аналитиков безопасности обнаруживать и определять приоритеты известных угроз:

Совет

При наличии нескольких рабочих областей в одном клиенте, например для управляемых поставщиков служб безопасности (MSSP), может оказаться более экономичным подключение индикаторов угроз только к централизованной рабочей области.

При наличии одного и того же набора индикаторов угроз, импортированных в каждую отдельную рабочую область, можно выполнять запросы между рабочими областями для агрегирования индикаторов угроз в рабочих областях. Соотносите их с обнаружением, исследованием и охотой на инциденты MSSP.

Веб-каналы аналитики угроз TAXII

Чтобы подключиться к каналам аналитики угроз TAXII, следуйте инструкциям по подключению Microsoft Sentinel к каналам аналитики угроз STIX/TAXII вместе с данными, предоставленными каждым поставщиком. Возможно, вам потребуется напрямую обратиться к поставщику, чтобы получить необходимые данные для использования с соединителем.

Аналитика киберугротических угроз Accenture

Cybersixgill Darkfeed

Обмен аналитикой угроз Cyware (CTIX)

Одним из компонентов подсказки Cyware, CTIX, является обеспечение поддержки intel с помощью веб-канала TAXII для управления информационной безопасностью и событиями. Для Microsoft Sentinel следуйте инструкциям здесь:

ESET

Центр совместного использования и анализа информации о финансовых службах (FS-ISAC)

  • Присоединитесь к FS-ISAC , чтобы получить учетные данные для доступа к этому веб-каналу.

Сообщество по обмену аналитикой здравоохранения (H-ISAC)

  • Присоединитесь к H-ISAC , чтобы получить учетные данные для доступа к этому веб-каналу.

IBM X-Force

IntSights

  • Узнайте больше об интеграции IntSights с Microsoft Sentinel.
  • Подключите Microsoft Sentinel к серверу IntSights TAXII. Получите корневой каталог API, идентификатор коллекции, имя пользователя и пароль на портале IntSights после настройки политики данных, которые нужно отправить Microsoft Sentinel.

Kaspersky

Пульсация

ReversingLabs

Сектрио

SEKOIA. IO

ThreatConnect

Продукты интегрированной платформы аналитики угроз

Сведения о подключении к веб-каналам TIP см. в статье Подключение платформ аналитики угроз к Microsoft Sentinel. Сведения о других необходимых сведениях см. в следующих решениях.

Защита от фишинга в Agari и защита от бренда

Anomali ThreatStream

AlienVault Open Threat Exchange (OTX) от AT&T Cybersecurity

  • Узнайте, как AlienVault OTX использует Azure Logic Apps (сборники схем) для подключения к Microsoft Sentinel. Ознакомьтесь со специализированными инструкциями , необходимыми для полного использования преимуществ полного предложения.

EclecticIQ Platform

Filigran OpenCTI

Аналитика и атрибуция угроз GroupIB

Платформа аналитики угроз с открытым кодом MISP

Пало Альто Сети MineMeld

Записано будущее платформы аналитики безопасности

Платформа ThreatConnect

Платформа аналитики угроз ThreatQuotient

Источники обогащения инцидентов

Помимо использования для импорта индикаторов угроз, каналы аналитики угроз также могут служить источником для обогащения информации в инцидентах и предоставления большего контекста для ваших расследований. Следующие веб-каналы служат этой цели и предоставляют сборники схем Logic Apps для использования в автоматическом реагировании на инциденты. Найдите эти источники обогащения в центре содержимого.

Дополнительные сведения о поиске решений и управлении ими см. в статье Обнаружение и развертывание готового содержимого.

HYAS Insight

Аналитика угроз Microsoft Defender

Записано будущее платформы аналитики безопасности

ReversingLabs TitanCloud

RiskIQ PassiveTotal

Virustotal

Из этой статьи вы узнали, как подключить поставщик аналитики угроз к Microsoft Sentinel. Дополнительные сведения о Microsoft Sentinel см. в следующих статьях: