Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Microsoft Sentinel gir deg et par måter å bruke trusselintelligensfeeder på for å forbedre sikkerhetsanalytikernes evne til å oppdage og prioritere kjente trusler:
- Bruk ett av mange tilgjengelige produkter for integrert trusselintelligensplattform (TIP).
- Koble til TAXII-servere for å dra nytte av en STIX-kompatibel trusselintelligenskilde.
- Koble direkte til Microsoft Defender trusselinformasjon-feeden.
- Bruk alle egendefinerte løsninger som kan kommunisere direkte med API-en for opplastingsindikatorer for trusselintelligens.
- Koble til trusseletterretningskilder fra strategibøker for å berike hendelser med trusseletterretningsinformasjon som kan bidra til direkte etterforskning og responshandlinger.
Tips
Hvis du har flere arbeidsområder i samme leier, for eksempel for leverandører av administrerte sikkerhetstjenester (MSSP-er), kan det være mer kostnadseffektivt å koble trusselindikatorer bare til det sentraliserte arbeidsområdet.
Når du har det samme settet med trusselindikatorer importert til hvert separate arbeidsområde, kan du kjøre spørringer på tvers av arbeidsområder for å aggregere trusselindikatorer på tvers av arbeidsområdene. Korreler dem i MSSP-hendelsesgjenkjenning, undersøkelse og jaktopplevelse.
TAXII trusselintelligensfeeder
Hvis du vil koble til TAXII trusselintelligensfeeder, følger du instruksjonene for å koble Microsoft Sentinel til STIX/TAXII trusselintelligensfeeder, sammen med dataene som leveres av hver leverandør. Det kan hende du må kontakte leverandøren direkte for å få tak i de nødvendige dataene som skal brukes med koblingen.
Accenture cyber trussel intelligens
Cybersixgill Darkfeed
- Finn ut mer om Integrering av Cybersixgill med Microsoft Sentinel.
- Koble Microsoft Sentinel til Cybersixgill TAXII-serveren og få tilgang til Darkfeed. Kontakt azuresentinel@cybersixgill.com for å hente API-roten, samlings-ID-en, brukernavnet og passordet.
Cyware trusselintelligensutveksling (CTIX)
Én komponent i Cywares TIPS, CTIX, er å gjøre intel-handlingsbar med en TAXII-feed for sikkerhetsinformasjon og hendelsesbehandling. Følg instruksjonene her for Microsoft Sentinel:
- Finn ut hvordan du integrerer med Microsoft Sentinel
ESET
- Finn ut mer om ESET's tilbud om trusselintelligens.
- Koble Microsoft Sentinel til ESET TAXII-serveren. Hent API-rotnettadressen, samlings-ID-en, brukernavnet og passordet fra ESET-kontoen. Følg deretter de generelle instruksjonene og ESET-kunnskapsbase artikkelen.
Financial Services Information Sharing and Analysis Center (FS-ISAC)
- Bli med i FS-ISAC for å få legitimasjonen for å få tilgang til denne feeden.
Fellesskap for deling av helseintelligens (H-ISAC)
- Bli med i H-ISAC for å få legitimasjonen for å få tilgang til denne feeden.
IBM X-Force
- Mer informasjon om IBM X-Force-integrering.
IntSights
- Mer informasjon om IntSights-integreringen med Microsoft Sentinel.
- Koble Microsoft Sentinel til IntSights TAXII-serveren. Hent API-roten, samlings-ID-en, brukernavnet og passordet fra IntSights-portalen etter at du har konfigurert en policy for dataene du vil sende til Microsoft Sentinel.
Kaspersky
- Finn ut mer om Kaspersky-integrering med Microsoft Sentinel.
Pulserende
- Finn ut mer om pulsediv integrering med Microsoft Sentinel.
ReversingLabs
Sektrio
- Mer informasjon om Sectrio-integrering.
- Lær om den trinnvise prosessen for å integrere Sectrios trusselintelligensfeed i Microsoft Sentinel.
SEKOIA. IO
- Finn ut mer om SEKOIA. IO-integrering med Microsoft Sentinel.
ThreatConnect
- Mer informasjon om STIX og TAXII hos ThreatConnect.
- Se dokumentasjonen for TAXII-tjenester på ThreatConnect.
Integrerte produkter for trusselintelligensplattform
Hvis du vil koble til TIP-feeder, kan du se Koble til trusselintelligensplattformer for å Microsoft Sentinel. Se følgende løsninger for å finne ut hvilken annen informasjon som kreves.
Agari Phishing Defense and Brand Protection
- Hvis du vil koble til Agari Phishing Defense og Brand Protection, kan du bruke den innebygde Agari-datakoblingen i Microsoft Sentinel.
Avvikstrusselstrøm
- Hvis du vil laste ned ThreatStream Integrator og Utvidelser, og instruksjonene for å koble ThreatStream-intelligens til Microsoft Graph Sikkerhets-API, kan du se nedlastingssiden for ThreatStream.
AlienVault Open Threat Exchange (OTX) fra AT&T Cybersecurity
- Finn ut hvordan AlienVault OTX bruker Azure Logic Apps (playbooks) til å koble til Microsoft Sentinel. Se de spesialiserte instruksjonene som er nødvendige for å dra full nytte av det fullstendige tilbudet.
EclecticIQ-plattform
- EclecticIQ Platform integreres med Microsoft Sentinel for å forbedre trusseldeteksjon, jakt og respons. Mer informasjon om fordelene og brukstilfellene for denne toveisintegrasjonen.
Filigran OpenCTI
- Filigran OpenCTI kan sende trusselintelligens til Microsoft Sentinel via enten en dedikert kobling som kjører i sanntid, eller ved å fungere som en TAXII 2.1-server som Sentinel vil avspørere regelmessig. Den kan også motta strukturerte hendelser fra Sentinel via Microsoft Sentinel Incident-koblingen.
GroupIB Threat Intelligence og Attribution
- GroupIB bruker Logic Apps for å koble GroupIB Threat Intelligence og Attribution til Microsoft Sentinel. Se de spesialiserte instruksjonene som er nødvendige for å dra full nytte av det fullstendige tilbudet.
MISP åpen kildekode trusselintelligensplattform
- Push-trusselindikatorer fra MISP til Microsoft Sentinel ved hjelp av API for opplastingsindikatorer for trusselintelligens med MISP2Sentinel.
- Se MISP2Sentinel i Azure Marketplace.
- Mer informasjon om MISP-prosjektet.
Palo Alto Networks MineMeld
- Hvis du vil konfigurere Palo Alto MineMeld med tilkoblingsinformasjonen til Microsoft Sentinel, kan du se Sende IOCer til Microsoft Graph Sikkerhets-API ved hjelp av MineMeld. Gå til overskriften MineMeld-konfigurasjon.
Registrert fremtidig sikkerhetsintelligensplattform
- Finn ut hvordan Innspilt fremtid bruker Logic Apps (playbooks) til å koble til Microsoft Sentinel. Se de spesialiserte instruksjonene som er nødvendige for å dra full nytte av det fullstendige tilbudet.
ThreatConnect-plattform
- Se konfigurasjonsveiledningen for Microsoft Graph Security Threat Indicators Integration for instruksjoner om hvordan du kobler ThreatConnect til Microsoft Sentinel.
ThreatQuotient trusselintelligensplattform
- Se Microsoft Sentinel Connector for ThreatQ-integrering for støtteinformasjon og instruksjoner for å koble ThreatQuotient-TIPS til Microsoft Sentinel.
Kilder for hendelsesberikelse
I tillegg til å bli brukt til å importere trusselindikatorer, kan trusselintelligensfeeder også fungere som en kilde til å berike informasjonen i hendelsene dine og gi mer kontekst til undersøkelsene dine. Følgende feeder tjener dette formålet og tilbyr Logic Apps-strategibøker som skal brukes i den automatiserte hendelsesresponsen. Finn disse berikelseskildene i innholdshuben.
Hvis du vil ha mer informasjon om hvordan du finner og administrerer løsningene, kan du se Oppdage og distribuere innhold som er klare til bruk.
HYAS Insight
- Finn og aktiver hendelsesberikelsesspillebøker for HYAS Insight i Microsoft Sentinel GitHub-repositoriet. Søk etter undermapper som begynner med
Enrich-Sentinel-Incident-HYAS-Insight-. - Se dokumentasjonen for HYAS Insight Logic Apps-koblingen.
Microsoft Defender trusselinformasjon
- Finn og aktiver spillbøker for hendelsesberikelse for Microsoft Defender trusselinformasjon i gitHub-repositoriet for Microsoft Sentinel.
- Se blogginnlegget om Defender Threat Intelligence Tech Community for mer informasjon.
Registrert fremtidig sikkerhetsintelligensplattform
- Finn og aktiver hendelsesberikelsesspillebøker for innspilt fremtid i Microsoft Sentinel GitHub-repositorium. Søk etter undermapper som begynner med
RecordedFuture_. - Se dokumentasjonen for Recorded Future Logic Apps-koblingen.
ReversingLabs TitaniumCloud
- Finn og aktiver hendelsesberikelsesspillebøker for ReversingLabs i Microsoft Sentinel GitHub-repositorium.
- Se dokumentasjonen for ReversingLabs TitaniumCloud Logic Apps-koblingen.
RiskIQ PassiveTotal
- Finn og aktiver hendelsesberikelsesspillebøkene for RiskIQ Passive Total i Microsoft Sentinel GitHub-repositoriet.
- Se mer informasjon om hvordan du arbeider med RiskIQ-strategibøker.
- Se dokumentasjonen for RiskIQ PassiveTotal Logic Apps-koblingen.
Virustotal
- Finn og aktiver hendelsesberikelses playbooks for VirusTotal i Microsoft Sentinel GitHub-repositoriet. Søk etter undermapper som begynner med
Get-VTURL. - Se dokumentasjonen for VirusTotal Logic Apps-koblingen.
Beslektet innhold
I denne artikkelen lærte du hvordan du kobler leverandøren av trusselintelligens til Microsoft Sentinel. Hvis du vil ha mer informasjon om Microsoft Sentinel, kan du se følgende artikler:
- Finn ut hvordan du får innsyn i dataene og potensielle trusler.
- Kom i gang med å oppdage trusler med Microsoft Sentinel.