Integración de inteligencia sobre amenazas en Microsoft Sentinel

Microsoft Sentinel le ofrece algunas maneras de usar fuentes de inteligencia sobre amenazas para mejorar la capacidad de los analistas de seguridad de detectar y priorizar las amenazas conocidas:

• Use uno de los muchos productos de la plataforma integrada de inteligencia sobre amenazas (TIP) disponibles.
• Conéctese a servidores TAXII para aprovechar cualquier origen de inteligencia sobre amenazas compatible con STIX.
• Conéctese directamente a la fuente de Inteligencia contra amenazas de Microsoft Defender.
• Use cualquier solución personalizada que pueda comunicarse directamente con threat Intelligence Upload Indicators API.
• Conéctese a orígenes de inteligencia sobre amenazas desde cuadernos de estrategias para enriquecer incidentes con información de inteligencia sobre amenazas que puede ayudar a dirigir las acciones de investigación y respuesta.

Fuentes de inteligencia sobre amenazas de TAXII

Para conectarse a fuentes de inteligencia sobre amenazas TAXII, siga las instrucciones para conectar Microsoft Sentinel a fuentes de inteligencia sobre amenazas STIX/TAXII, junto con los datos proporcionados por cada proveedor. Es posible que tenga que ponerse en contacto directamente con el proveedor para obtener los datos necesarios para usarlos con el conector.

Énfasis de la inteligencia sobre amenazas cibernéticas

• Obtenga información sobre la integración de Accenture Cyber Threat Intelligence (CTI) con Microsoft Sentinel.

Alimentación oscura cybersixgill

• Obtenga información sobre la integración de Cybersixgill con Microsoft Sentinel.
• Conecte Microsoft Sentinel al servidor Cybersixgill TAXII y obtenga acceso a Darkfeed. Contacto azuresentinel@cybersixgill.com para obtener la raíz de api, el identificador de colección, el nombre de usuario y la contraseña.

Intercambio de inteligencia sobre amenazas de Cyware (CTIX)

Un componente de TIP de Cyware, CTIX, es hacer que la información sea accionable con una fuente TAXII para la información de seguridad y la administración de eventos. Para obtener Microsoft Sentinel, siga estas instrucciones:

• Obtenga información sobre cómo integrarse con Microsoft Sentinel

ESET

• Obtenga información sobre la oferta de inteligencia sobre amenazas de ESET.
• Conecte Microsoft Sentinel al servidor ESET TAXII. Obtenga la dirección URL raíz de la API, el identificador de recopilación, el nombre de usuario y la contraseña de su cuenta de ESET. A continuación, siga las instrucciones generales y el artículo de knowledge base de ESET.

Centro de análisis y uso compartido de información de Financial Services (FS-ISAC)

• Únase a FS-ISAC para obtener las credenciales para acceder a esta fuente.

Comunidad de uso compartido de inteligencia de salud (H-ISAC)

• Únase al H-ISAC para obtener las credenciales para acceder a esta fuente.

IBM X-Force

• Más información sobre la integración de IBM X-Force.

IntSights

• Obtenga más información sobre la integración de IntSights con Microsoft Sentinel.
• Conecte Microsoft Sentinel al servidor TAXII de IntSights. Obtenga la raíz, el identificador de colección, el nombre de usuario y la contraseña de la API en el portal de IntSights después de configurar una directiva de los datos que desea enviar a Microsoft Sentinel.

Kaspersky

• Obtenga información sobre la integración de Kaspersky con Microsoft Sentinel.

Pulsedive

• Obtenga información sobre la integración de Pulsedive con Microsoft Sentinel.

ReversingLabs

• Obtenga información sobre la integración de TaxiI de ReversingLabs con Microsoft Sentinel.

Sectrio

• Más información sobre la integración de Sectrio.
• Obtenga información sobre el proceso paso a paso para integrar la fuente de inteligencia sobre amenazas de Sectrio en Microsoft Sentinel.

SEKOIA. E/S

• Obtenga información sobre SEKOIA. Integración de E/S con Microsoft Sentinel.

ThreatConnect

• Obtenga más información sobre STIX y TAXII en ThreatConnect.
• Consulte la documentación de servicios TAXII en ThreatConnect.

Productos integrados de la plataforma de inteligencia sobre amenazas

Para conectarse a fuentes tip, consulte Conexión de plataformas de inteligencia sobre amenazas a Microsoft Sentinel. Consulte las siguientes soluciones para obtener información sobre qué otra información se necesita.

Protección contra suplantación de identidad y protección de marca de Agari

• Para conectar Agari Phishing Defense y Brand Protection, use el conector de datos de Agari integrado en Microsoft Sentinel.

Anomali ThreatStream

• Para descargar ThreatStream Integrator y extensiones, así como las instrucciones para conectar threatStream intelligence a microsoft graph API para seguridad, consulte la página de descargas de ThreatStream.

AlienVault Open Threat Exchange (OTX) de AT&T Cybersecurity

• Obtenga información sobre cómo AlienVault OTX usa Azure Logic Apps (cuadernos de estrategias) para conectarse a Microsoft Sentinel. Consulte las instrucciones especializadas necesarias para aprovechar al máximo la oferta completa.

Plataforma de EclecticIQ

• EclecticIQ Platform se integra con Microsoft Sentinel para mejorar la detección, la búsqueda y la respuesta de amenazas. Obtenga más información sobre las ventajas y los casos de uso de esta integración bidireccional.

Filigran OpenCTI

• Filigran OpenCTI puede enviar inteligencia sobre amenazas a Microsoft Sentinel a través de un conector dedicado que se ejecuta en tiempo real o actuando como un servidor TAXII 2.1 que Sentinel sondeará periódicamente. También puede recibir incidentes estructurados de Sentinel a través del conector de incidentes de Microsoft Sentinel.

Inteligencia y atribución de amenazas de GroupIB

• Para conectar GroupIB Threat Intelligence y Attribution a Microsoft Sentinel, GroupIB usa Logic Apps. Consulte las instrucciones especializadas necesarias para aprovechar al máximo la oferta completa.

Plataforma de inteligencia sobre amenazas de código abierto MISP

• Inserte indicadores de amenazas de MISP a Microsoft Sentinel mediante threat Intelligence Upload Indicators API con MISP2Sentinel.
• Consulte MISP2Sentinel en Azure Marketplace.
• Obtenga más información sobre el proyecto MISP.

Palo Alto Networks MineMeld

• Para configurar Palo Alto MineMeld con la información de conexión a Microsoft Sentinel, consulte Envío de IOC a Microsoft Graph API para seguridad mediante MineMeld. Vaya al encabezado "MineMeld Configuration" (Configuración de MineMeld).

Plataforma de inteligencia de seguridad en el futuro grabada

• Obtenga información sobre cómo Recorded Future usa Logic Apps (cuadernos de estrategias) para conectarse a Microsoft Sentinel. Consulte las instrucciones especializadas necesarias para aprovechar al máximo la oferta completa.

ThreatConnect Platform

• Consulte la Guía de configuración de integración de indicadores de amenazas de seguridad de Microsoft Graph para obtener instrucciones para conectar ThreatConnect a Microsoft Sentinel.

Plataforma de inteligencia sobre amenazas ThreatQuotient

• Consulte Microsoft Sentinel Connector for ThreatQ integration (Conector de Microsoft Sentinel para la integración con ThreatQ) para obtener información de soporte técnico e instrucciones para conectar ThreatQuotient TIP a Microsoft Sentinel.

Orígenes de enriquecimiento con incidentes

Además de usarse para importar indicadores de amenazas, las fuentes de inteligencia sobre amenazas también pueden servir como origen para enriquecer la información de los incidentes y proporcionar más contexto a las investigaciones. Las siguientes fuentes sirven para este propósito y proporcionan cuadernos de estrategias de Logic Apps para usarlos en la respuesta a incidentes automatizada. Busque estos orígenes de enriquecimiento en el centro de contenido.

Para obtener más información sobre cómo buscar y administrar las soluciones, consulte Detección e implementación de contenido integrado.

INFORMACIÓN DE HYAS

• Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes para HYAS Insight en el repositorio de GitHub Microsoft Sentinel. Busque subcarpetas a partir de Enrich-Sentinel-Incident-HYAS-Insight-.
• Consulte la documentación del conector de HYAS Insight Logic Apps.

Inteligencia contra amenazas de Microsoft Defender

• Busque y habilite cuadernos de estrategias de enriquecimiento con incidentes para Inteligencia contra amenazas de Microsoft Defender en el repositorio de GitHub Microsoft Sentinel.
• Consulte la entrada de blog de Defender Threat Intelligence Tech Community para obtener más información.

Plataforma de inteligencia de seguridad futura registrada

• Busque y habilite cuadernos de estrategias de enriquecimiento con incidentes para Recorded Future en el repositorio de GitHub Microsoft Sentinel. Busque subcarpetas a partir de RecordedFuture_.
• Consulte la documentación del conector de Recorded Future Logic Apps.

ReversingLabs TitaniumCloud

• Busque y habilite cuadernos de estrategias de enriquecimiento de incidentes para ReversingLabs en el repositorio de GitHub Microsoft Sentinel.
• Consulte la documentación del conector reversingLabs TitaniumCloud Logic Apps.

RiskIQ PassiveTotal

• Busque y habilite los cuadernos de estrategias de enriquecimiento de incidentes para RiskIQ Passive Total en el repositorio de GitHub Microsoft Sentinel.
• Consulte más información sobre cómo trabajar con cuadernos de estrategias de RiskIQ.
• Consulte la documentación del conector de RiskIQ PassiveTotal Logic Apps.

VirusTotal

• Busque y habilite cuadernos de estrategias de enriquecimiento con incidentes para VirusTotal en el repositorio de GitHub Microsoft Sentinel. Busque subcarpetas a partir de Get-VTURL.
• Consulte la documentación del conector de VirusTotal Logic Apps.

Contenido relacionado

En este artículo, ha aprendido a conectar el proveedor de inteligencia sobre amenazas a Microsoft Sentinel. Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes:

• Obtenga información sobre cómo obtener visibilidad sobre los datos y las posibles amenazas.
• Empiece a detectar amenazas con Microsoft Sentinel.