Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Sentinel giver dig et par måder at bruge threat intelligence-feeds på for at forbedre dine sikkerhedsanalytikers evne til at registrere og prioritere kendte trusler:
- Brug et af mange tilgængelige produkter til integreret trusselsintelligensplatform (TIP).
- Opret forbindelse til TAXII-servere for at drage fordel af enhver STIX-kompatibel trusselsintelligenskilde.
- Opret direkte forbindelse til Microsoft Defender Threat Intelligence-feedet.
- Gør brug af brugerdefinerede løsninger, der kan kommunikere direkte med API'en for uploadindikatorer til Threat Intelligence.
- Opret forbindelse til kilder til trusselsintelligens fra playbooks for at forbedre hændelser med trusselsintelligensoplysninger, der kan hjælpe med direkte undersøgelses- og svarhandlinger.
Tip
Hvis du har flere arbejdsområder i den samme lejer, f.eks. til udbydere af administrerede sikkerhedstjenester, kan det være mere omkostningseffektivt kun at forbinde trusselsindikatorer med det centraliserede arbejdsområde.
Når du har importeret det samme sæt trusselsindikatorer i hvert enkelt arbejdsområde, kan du køre forespørgsler på tværs af arbejdsområder for at aggregere trusselsindikatorer på tværs af dine arbejdsområder. Korreler dem i din MSSP-registrering, undersøgelse og jagtoplevelse.
TAXII-trussels intelligence-feeds
Hvis du vil oprette forbindelse til TAXII-trussels intelligence-feeds, skal du følge vejledningen for at oprette forbindelse Microsoft Sentinel til STIX-/TAXII-trusselsintelligensfeeds sammen med de data, der leveres af hver leverandør. Du skal muligvis kontakte leverandøren direkte for at få de nødvendige data, der skal bruges sammen med connectoren.
Accenture cybertrusselsintelligens
- Få mere at vide om CTI-integration (Cyber Threat Intelligence) med Microsoft Sentinel.
Cybersixgill Darkfeed
- Få mere at vide om Cybersixgill-integration med Microsoft Sentinel.
- Opret forbindelse Microsoft Sentinel til Cybersixgill TAXII-serveren og få adgang til Darkfeed. Kontakt azuresentinel@cybersixgill.com for at hente API-roden, samlings-id'et, brugernavnet og adgangskoden.
Cyware Threat Intelligence Exchange (CTIX)
En komponent i Cywares TIP, CTIX, er at gøre Intel handlingsvenlig med et TAXII-feed til dine sikkerhedsoplysninger og hændelsesstyring. For Microsoft Sentinel skal du følge vejledningen her:
- Få mere at vide om, hvordan du integrerer med Microsoft Sentinel
ESET
- Få mere at vide om ESET's tilbud om trusselsintelligens.
- Opret forbindelse Microsoft Sentinel til ESET TAXII-serveren. Hent URL-adressen til API-roden, samlings-id'et, brugernavnet og adgangskoden fra din ESET-konto. Følg derefter de generelle instruktioner og ESET's videnbase artikel.
Financial Services Information Sharing and Analysis Center (FS-ISAC)
- Tilmeld dig FS-ISAC for at få legitimationsoplysningerne for at få adgang til dette feed.
Community til deling af sundhedsintelligens (H-ISAC)
- Deltag i H-ISAC for at få legitimationsoplysningerne for at få adgang til dette feed.
IBM X-Force
- Få mere at vide om IBM X-Force-integration.
IntSights
- Få mere at vide om IntSights-integration med Microsoft Sentinel.
- Opret forbindelse Microsoft Sentinel til IntSights TAXII-serveren. Hent API-roden, samlings-id'et, brugernavnet og adgangskoden fra IntSights-portalen, når du har konfigureret en politik for de data, du vil sende til Microsoft Sentinel.
Kaspersky
- Få mere at vide om Kaspersky-integration med Microsoft Sentinel.
Pulserende
- Få mere at vide om Pulsedive-integration med Microsoft Sentinel.
ReversingLabs
- Få mere at vide om TAXII-integration med Microsoft Sentinel i ReversingLabs.
Sectrio
- Få mere at vide om Sectrio-integration.
- Få mere at vide om den trinvise proces til integration af Sectrios trusselsintelligensfeed i Microsoft Sentinel.
Sekoia. IO
- Få mere at vide om SEKOIA. IO-integration med Microsoft Sentinel.
ThreatConnect
- Få mere at vide om STIX og TAXII hos ThreatConnect.
- Se dokumentationen til TAXII-tjenester på ThreatConnect.
Integrerede produkter til trusselsintelligensplatform
Hvis du vil oprette forbindelse til TIP-feeds, skal du se Opret forbindelse trusselsintelligensplatforme til Microsoft Sentinel. Se følgende løsninger for at få mere at vide om, hvilke andre oplysninger der er brug for.
Agari Phishing Defense and Brand Protection
- Hvis du vil oprette forbindelse mellem Agari Phishing Defense og Brand Protection, skal du bruge den indbyggede Agari-dataconnector i Microsoft Sentinel.
Anomali ThreatStream
- Hvis du vil downloade ThreatStream Integrator og Extensions og instruktionerne til at forbinde ThreatStream-intelligens til Microsoft Graph sikkerhed-API, skal du se siden ThreatStream-downloads.
AlienVault Open Threat Exchange (OTX) fra AT&T Cybersecurity
- Få mere at vide om, hvordan AlienVault OTX bruger Azure Logic Apps (playbooks) til at oprette forbindelse til Microsoft Sentinel. Se de specialiserede instruktioner , der er nødvendige for at drage fuld fordel af det komplette tilbud.
EclecticIQ-platform
- EclecticIQ-platformen kan integreres med Microsoft Sentinel for at forbedre trusselsregistrering, jagt og reaktion. Få mere at vide om fordelene og brugscases for denne tovejsintegration.
Filigran OpenCTI
- Filigran OpenCTI kan sende trusselsintelligens til Microsoft Sentinel via enten en dedikeret connector, der kører i realtid, eller ved at fungere som en TAXII 2.1-server, som Sentinel vil polle regelmæssigt. Den kan også modtage strukturerede hændelser fra Sentinel via connectoren Microsoft Sentinel Incident.
GroupIB Threat Intelligence og tilskrivning
- For at forbinde GroupIB Threat Intelligence og Tilskrivning til Microsoft Sentinel gør GroupIB brug af Logic Apps. Se de specialiserede instruktioner , der er nødvendige for at drage fuld fordel af det komplette tilbud.
MISP-platform til trusselsintelligens i åben kildekode
- Push threat-indikatorer fra MISP til Microsoft Sentinel ved hjælp af API'en til upload af threat intelligence-indikatorer med MISP2Sentinel.
- Se MISP2Sentinel på Azure Marketplace.
- Få mere at vide om MISP-projektet.
Palo Alto Networks MineMeld
- Hvis du vil konfigurere Palo Alto MineMeld med forbindelsesoplysningerne til Microsoft Sentinel, skal du se Afsendelse af IOCs til Microsoft Graph-sikkerhed-API ved hjælp af MineMeld. Gå til overskriften "MineMeld Configuration".
Registreret fremtidig platform til sikkerhedsintelligens
- Få mere at vide om, hvordan Recorded Future bruger Logic Apps (playbooks) til at oprette forbindelse til Microsoft Sentinel. Se de specialiserede instruktioner , der er nødvendige for at drage fuld fordel af det komplette tilbud.
ThreatConnect-platform
- Se konfigurationsvejledningen til integration af Microsoft Graph Security Threat Indicators for at få instruktioner i, hvordan du opretter forbindelse til ThreatConnect til Microsoft Sentinel.
ThreatQuotient Threat Intelligence-platform
- Se Microsoft Sentinel Connector til ThreatQ-integration for at få supportoplysninger og instruktioner til at forbinde ThreatQuotient TIP til Microsoft Sentinel.
Kilder til hændelsesberigelse
Ud over at blive brugt til at importere trusselsindikatorer kan trusselsintelligensfeeds også fungere som en kilde til at forbedre oplysningerne i dine hændelser og give mere kontekst for dine undersøgelser. Følgende feeds tjener dette formål og leverer Logic Apps-playbooks, som du kan bruge i dit automatiserede svar på hændelser. Find disse berigelseskilder i Indholdshubben.
Du kan finde flere oplysninger om, hvordan du finder og administrerer løsningerne, under Find og udrul indhold, der er klar til brug.
HYAS Insight
- Find og aktivér playbooks til forbedring af hændelser for HYAS Insight i GitHub-lageret Microsoft Sentinel. Søg efter undermapper, der starter med
Enrich-Sentinel-Incident-HYAS-Insight-. - Se dokumentationen til HYAS Insight Logic Apps-connectoren.
Microsoft Defender Threat Intelligence
- Find og aktivér playbooks til forbedring af hændelser for Microsoft Defender Threat Intelligence i GitHub-lageret Microsoft Sentinel.
- Du kan få flere oplysninger i blogindlægget om Defender Threat Intelligence Tech Community .
Registreret fremtidig Security Intelligence-platform
- Find og aktivér playbooks til forbedring af hændelser for Recorded Future i Microsoft Sentinel GitHub-lageret. Søg efter undermapper, der starter med
RecordedFuture_. - Se dokumentationen til Den registrerede fremtidige Logic Apps-connector.
ReversingLabs TitaniumCloud
- Find og aktivér playbooks til forbedring af hændelser for ReversingLabs i GitHub-lageret Microsoft Sentinel.
- Se dokumentationen til ReversingLabs TitaniumCloud Logic Apps-connectoren.
RiskIQ PassiveTotal
- Find og aktivér playbooks til hændelsesberigelse for RiskIQ Passive Total i Microsoft Sentinel GitHub-lageret.
- Se flere oplysninger om at arbejde med RiskIQ playbooks.
- Se dokumentationen til Connector til RiskIQ PassiveTotal Logic Apps.
Virustotal
- Find og aktivér playbooks til hændelsesforbedring for VirusTotal i gitHub-lageret Microsoft Sentinel. Søg efter undermapper, der starter med
Get-VTURL. - Se dokumentationen til VirusTotal Logic Apps-connectoren.
Relateret indhold
I denne artikel har du lært, hvordan du forbinder din udbyder af trusselsintelligens med Microsoft Sentinel. Du kan få mere at vide om Microsoft Sentinel i følgende artikler:
- Få mere at vide om, hvordan du får indsigt i dine data og potentielle trusler.
- Kom i gang med at registrere trusler med Microsoft Sentinel.