Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Microsoft Sentinel vous offre plusieurs façons d’utiliser des flux de renseignement sur les menaces pour améliorer la capacité de vos analystes de sécurité à détecter et à hiérarchiser les menaces connues :
- Utilisez l’un des nombreux produits de plateforme intégrée de renseignement sur les menaces (TIP) disponibles.
- Connectez-vous aux serveurs TAXII pour tirer parti de toute source de renseignement sur les menaces compatible avec STIX.
- Connectez-vous directement au flux Microsoft Defender Threat Intelligence.
- Utilisez toutes les solutions personnalisées qui peuvent communiquer directement avec l’API d’indicateurs de chargement de renseignement sur les menaces.
- Connectez-vous à des sources de renseignement sur les menaces à partir de playbooks pour enrichir les incidents avec des informations de renseignement sur les menaces qui peuvent aider à diriger les actions d’investigation et de réponse.
Conseil
Si vous avez plusieurs espaces de travail dans le même locataire, par exemple pour les fournisseurs de services de sécurité managés (MSSP), il peut être plus rentable de connecter des indicateurs de menace uniquement à l’espace de travail centralisé.
Lorsque vous avez le même ensemble d’indicateurs de menace importés dans chaque espace de travail distinct, vous pouvez exécuter des requêtes inter-espaces de travail pour agréger les indicateurs de menace dans vos espaces de travail. Mettez-les en corrélation dans votre expérience de détection, d’investigation et de repérage des incidents MSSP.
Flux de renseignement sur les menaces TAXII
Pour vous connecter aux flux de renseignement sur les menaces TAXII, suivez les instructions pour connecter Microsoft Sentinel aux flux de renseignement sur les menaces STIX/TAXII, ainsi que les données fournies par chaque fournisseur. Vous devrez peut-être contacter directement le fournisseur pour obtenir les données nécessaires à utiliser avec le connecteur.
Accenture cybermenace intelligence
Cybersixgill Darkfeed
- Découvrez l’intégration de Cybersixgill à Microsoft Sentinel.
- Connectez Microsoft Sentinel au serveur TAXII cybersixgill et accédez à Darkfeed. Contact azuresentinel@cybersixgill.com pour obtenir la racine de l’API, l’ID de collection, le nom d’utilisateur et le mot de passe.
Cyware Threat Intelligence Exchange (CTIX)
L’un des composants du TIP de Cyware, CTIX, est de rendre intel exploitable avec un flux TAXII pour vos informations de sécurité et la gestion des événements. Pour Microsoft Sentinel, suivez les instructions ici :
- Découvrez comment intégrer Microsoft Sentinel
ESET
- Découvrez l’offre de renseignement sur les menaces d’ESET.
- Connectez Microsoft Sentinel au serveur ESET TAXII. Obtenez l’URL racine de l’API, l’ID de collection, le nom d’utilisateur et le mot de passe à partir de votre compte ESET. Suivez ensuite les instructions générales et l’article base de connaissances d’ESET.
Financial Services Information Sharing and Analysis Center (FS-ISAC)
- Rejoignez FS-ISAC pour obtenir les informations d’identification permettant d’accéder à ce flux.
Communauté de partage de renseignements sur la santé (H-ISAC)
- Rejoignez le H-ISAC pour obtenir les informations d’identification pour accéder à ce flux.
IBM X-Force
- En savoir plus sur l’intégration d’IBM X-Force.
IntSights
- En savoir plus sur l’intégration d’IntSights à Microsoft Sentinel.
- Connectez Microsoft Sentinel au serveur IntSights TAXII. Obtenez la racine de l’API, l’ID de collection, le nom d’utilisateur et le mot de passe à partir du portail IntSights après avoir configuré une stratégie des données que vous souhaitez envoyer à Microsoft Sentinel.
Kaspersky
Pulsedive
- Découvrez l’intégration pulsedive à Microsoft Sentinel.
InverseringLabs
Secte
- En savoir plus sur l’intégration de Sectrio.
- Découvrez le processus pas à pas pour intégrer le flux de renseignement sur les menaces de Sectrio dans Microsoft Sentinel.
SEKOIA. IO
- En savoir plus sur SEKOIA. Intégration d’E/S à Microsoft Sentinel.
ThreatConnect
- Pour en savoir plus sur STIX et TAXII, consultez ThreatConnect.
- Consultez la documentation sur les services TAXII sur ThreatConnect.
Produits de plateforme intégrée de renseignement sur les menaces
Pour vous connecter aux flux TIP, consultez Connecter des plateformes de renseignement sur les menaces à Microsoft Sentinel. Consultez les solutions suivantes pour savoir quelles autres informations sont nécessaires.
Protection contre le hameçonnage Agari et protection de la marque
- Pour connecter Agari Phishing Defense et Brand Protection, utilisez le connecteur de données Agari intégré dans Microsoft Sentinel.
Anomali ThreatStream
- Pour télécharger ThreatStream Integrator et les extensions, ainsi que les instructions pour connecter ThreatStream Intelligence à l’API de sécurité Microsoft Graph, consultez la page de téléchargements ThreatStream.
AlienVault Open Threat Exchange (OTX) d’AT&T Cybersecurity
- Découvrez comment AlienVault OTX utilise Azure Logic Apps (playbooks) pour se connecter à Microsoft Sentinel. Consultez les instructions spécialisées nécessaires pour tirer pleinement parti de l’offre complète.
Plateforme EclecticIQ
- EclecticIQ Platform s’intègre à Microsoft Sentinel pour améliorer la détection, la chasse et la réponse aux menaces. En savoir plus sur les avantages et les cas d’usage de cette intégration bidirectionnel.
Filigran OpenCTI
- Filigran OpenCTI peut envoyer des informations sur les menaces à Microsoft Sentinel via un connecteur dédié qui s’exécute en temps réel, ou en agissant en tant que serveur TAXII 2.1 que Sentinel interrogerez régulièrement. Il peut également recevoir des incidents structurés de Sentinel via le connecteur Microsoft Sentinel Incident.
GroupIB Threat Intelligence and Attribution
- Pour connecter GroupIB Threat Intelligence and Attribution à Microsoft Sentinel, GroupIB utilise Logic Apps. Consultez les instructions spécialisées nécessaires pour tirer pleinement parti de l’offre complète.
Plateforme de renseignement sur les menaces open source MISP
- Envoyer (push) des indicateurs de menace de MISP à Microsoft Sentinel à l’aide de l’API d’indicateurs de chargement de renseignement sur les menaces avec MISP2Sentinel.
- Consultez MISP2Sentinel dans Azure Place de marché.
- En savoir plus sur le projet MISP.
Palo Alto Networks MineMeld
- Pour configurer Palo Alto MineMeld avec les informations de connexion à Microsoft Sentinel, consultez Envoi d’E/S à Microsoft Graph API de sécurité à l’aide de MineMeld. Accédez au titre « MineMeld Configuration ».
Plateforme de veille de sécurité future enregistrée
- Découvrez comment Recorded Future utilise Logic Apps (playbooks) pour se connecter à Microsoft Sentinel. Consultez les instructions spécialisées nécessaires pour tirer pleinement parti de l’offre complète.
Plateforme ThreatConnect
- Consultez le Guide de configuration d’intégration des indicateurs de menace de sécurité Microsoft Graph pour obtenir des instructions sur la connexion de ThreatConnect à Microsoft Sentinel.
Plateforme threatQuotient threat intelligence
- Consultez Microsoft Sentinel Connector pour l’intégration de ThreatQ pour obtenir des informations de support et des instructions pour connecter ThreatQuotient TIP à Microsoft Sentinel.
Sources d’enrichissement des incidents
En plus d’être utilisés pour importer des indicateurs de menace, les flux de renseignement sur les menaces peuvent également servir de source pour enrichir les informations de vos incidents et fournir plus de contexte à vos enquêtes. Les flux suivants servent cet objectif et fournissent des playbooks Logic Apps à utiliser dans votre réponse automatisée aux incidents. Recherchez ces sources d’enrichissement dans le hub de contenu.
Pour plus d’informations sur la recherche et la gestion des solutions, consultez Découvrir et déployer du contenu prête à l’emploi.
HYAS Insight
- Recherchez et activez les playbooks d’enrichissement des incidents pour HYAS Insight dans le dépôt GitHub Microsoft Sentinel. Recherchez les sous-dossiers commençant par
Enrich-Sentinel-Incident-HYAS-Insight-. - Consultez la documentation du connecteur HYAS Insight Logic Apps.
Microsoft Defender Threat Intelligence
- Recherchez et activez les playbooks d’enrichissement des incidents pour Microsoft Defender Threat Intelligence dans le dépôt GitHub Microsoft Sentinel.
- Pour plus d’informations, consultez le billet de blog de la communauté technique Defender Threat Intelligence .
Plateforme de renseignement de sécurité future enregistrée
- Recherchez et activez les playbooks d’enrichissement des incidents pour l’avenir enregistré dans le dépôt GitHub Microsoft Sentinel. Recherchez les sous-dossiers commençant par
RecordedFuture_. - Consultez la documentation sur le connecteur Logic Apps future enregistrée.
ReversingLabs TitaniumCloud
- Recherchez et activez les playbooks d’enrichissement des incidents pour ReversingLabs dans le dépôt GitHub Microsoft Sentinel.
- Consultez la documentation sur le connecteur ReversingLabs TitaniumCloud Logic Apps.
RiskIQ PassiveTotal
- Recherchez et activez les playbooks d’enrichissement des incidents pour RiskIQ Passive Total dans le dépôt GitHub Microsoft Sentinel.
- Consultez plus d’informations sur l’utilisation des playbooks RiskIQ.
- Consultez la documentation sur le connecteur RiskIQ PassiveTotal Logic Apps.
Virustotal
- Recherchez et activez les playbooks d’enrichissement des incidents pour VirusTotal dans le dépôt GitHub Microsoft Sentinel. Recherchez les sous-dossiers commençant par
Get-VTURL. - Consultez la documentation sur le connecteur VirusTotal Logic Apps.
Contenu connexe
Dans cet article, vous avez appris à connecter votre fournisseur de renseignement sur les menaces à Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment obtenir une visibilité sur vos données et les menaces potentielles.
- Commencez à détecter les menaces avec Microsoft Sentinel.