Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Sentinel biedt u een aantal manieren om feeds voor bedreigingsinformatie te gebruiken om het vermogen van uw beveiligingsanalisten om bekende bedreigingen te detecteren en te prioriteren te verbeteren:
- Gebruik een van de vele beschikbare TIP-producten (Integrated Threat Intelligence Platform).
- Maak verbinding met TAXII-servers om te profiteren van elke stix-compatibele bedreigingsinformatiebron.
- Maak rechtstreeks verbinding met de Microsoft Defender-bedreigingsinformatie feed.
- Maak gebruik van aangepaste oplossingen die rechtstreeks kunnen communiceren met de Api voor het uploaden van bedreigingsinformatie.
- Maak verbinding met bronnen van bedreigingsinformatie van playbooks om incidenten te verrijken met informatie over bedreigingsinformatie die kan helpen bij het direct onderzoeken en reageren van acties.
Tip
Als u meerdere werkruimten in dezelfde tenant hebt, zoals voor Managed Security Service Providers (MSSP's), is het mogelijk rendabeler om bedreigingsindicatoren alleen te verbinden met de gecentraliseerde werkruimte.
Wanneer u dezelfde set bedreigingsindicatoren hebt geïmporteerd in elke afzonderlijke werkruimte, kunt u query's voor meerdere werkruimten uitvoeren om bedreigingsindicatoren in uw werkruimten te aggregeren. Correleer ze binnen uw MSSP-incidentdetectie, -onderzoek en -opsporingservaring.
TAXII-feeds voor bedreigingsinformatie
Als u verbinding wilt maken met TAXII-feeds voor bedreigingsinformatie, volgt u de instructies om Microsoft Sentinel te verbinden met STIX/TAXII-bedreigingsinformatiefeeds, samen met de gegevens die door elke leverancier zijn verstrekt. Mogelijk moet u rechtstreeks contact opnemen met de leverancier om de benodigde gegevens te verkrijgen voor gebruik met de connector.
Accenture cyber threat intelligence
- Meer informatie over accenture CTI-integratie (Cyber Threat Intelligence) met Microsoft Sentinel.
Cybersixgill Darkfeed
- Meer informatie over Cybersixgill-integratie met Microsoft Sentinel.
- Verbind Microsoft Sentinel met de Cybersixgill TAXII-server en krijg toegang tot Darkfeed. Contact azuresentinel@cybersixgill.com om de API-hoofdmap, verzamelings-id, gebruikersnaam en wachtwoord te verkrijgen.
Cyware Threat Intelligence Exchange (CTIX)
Een onderdeel van cyware's TIP, CTIX, is om intel actionable te maken met een TAXII-feed voor uw beveiligingsinformatie en gebeurtenisbeheer. Voor Microsoft Sentinel volgt u de instructies hier:
- Meer informatie over het integreren met Microsoft Sentinel
ESET
- Meer informatie over het aanbod van ESET voor bedreigingsinformatie.
- Verbind Microsoft Sentinel met de ESET TAXII-server. Haal de API-hoofd-URL, verzamelings-id, gebruikersnaam en wachtwoord op van uw ESET-account. Volg vervolgens de algemene instructies en het Knowledge Base artikel van ESET.
Financial Services Information Sharing and Analysis Center (FS-ISAC)
- Word lid van FS-ISAC om de referenties voor toegang tot deze feed op te halen.
Community voor het delen van gezondheidsinformatie (H-ISAC)
- Neem deel aan de H-ISAC om de referenties voor toegang tot deze feed op te halen.
IBM X-Force
- Meer informatie over IBM X-Force-integratie.
IntSights
- Meer informatie over de IntSights-integratie met Microsoft Sentinel.
- Verbind Microsoft Sentinel met de IntSights TAXII-server. Haal de API-hoofdmap, verzamelings-id, gebruikersnaam en wachtwoord op uit de IntSights-portal nadat u een beleid hebt geconfigureerd voor de gegevens die u naar Microsoft Sentinel wilt verzenden.
Kaspersky
- Meer informatie over Kaspersky-integratie met Microsoft Sentinel.
Pulsedive
- Meer informatie over Pulsedive-integratie met Microsoft Sentinel.
ReversingLabs
- Meer informatie over ReversingLabs TAXII-integratie met Microsoft Sentinel.
Sectrio
- Meer informatie over Sectrio-integratie.
- Meer informatie over het stapsgewijze proces voor het integreren van de bedreigingsinformatiefeed van Sectrio in Microsoft Sentinel.
SEKOIA. IO
- Meer informatie over SEKOIA. IO-integratie met Microsoft Sentinel.
ThreatConnect
- Meer informatie over STIX en TAXII vindt u op ThreatConnect.
- Zie de documentatie over TAXII-services op ThreatConnect.
Geïntegreerde platformproducten voor bedreigingsinformatie
Zie Platformen voor bedreigingsinformatie verbinden met Microsoft Sentinel om verbinding te maken met TIP-feeds. Zie de volgende oplossingen voor meer informatie over welke andere informatie nodig is.
Agari Phishing Defense en Brand Protection
- Als u Agari Phishing Defense en Brand Protection wilt verbinden, gebruikt u de ingebouwde Agari-gegevensconnector in Microsoft Sentinel.
Anomali ThreatStream
- Zie de pagina ThreatStream-downloads om ThreatStream Integrator en Extensions te downloaden, en de instructies voor het verbinden van ThreatStream-intelligentie met de Microsoft Graph-beveiligings-API.
AlienVault Open Threat Exchange (OTX) van AT&T Cybersecurity
- Meer informatie over hoe AlienVault OTX gebruikmaakt van Azure Logic Apps (playbooks) om verbinding te maken met Microsoft Sentinel. Zie de gespecialiseerde instructies die nodig zijn om volledig te profiteren van het volledige aanbod.
EclecticIQ-platform
- EclecticIQ Platform kan worden geïntegreerd met Microsoft Sentinel om de detectie, opsporing en reactie op bedreigingen te verbeteren. Meer informatie over de voordelen en gebruiksvoorbeelden van deze integratie in twee richtingen.
Filigran OpenCTI
- Filigran OpenCTI kan bedreigingsinformatie naar Microsoft Sentinel verzenden via een toegewezen connector die in realtime wordt uitgevoerd, of door op te treden als een TAXII 2.1-server die Sentinel regelmatig zal peilen. Het kan ook gestructureerde incidenten van Sentinel ontvangen via de Microsoft Sentinel Incident-connector.
Bedreigingsinformatie en -attributie van GroupIB
- GroupIB maakt gebruik van Logic Apps om GroupIB Threat Intelligence en Attribution te verbinden met Microsoft Sentinel. Raadpleeg de gespecialiseerde instructies die nodig zijn om optimaal te profiteren van het volledige aanbod.
MISP open-source platform voor bedreigingsinformatie
- Push bedreigingsindicatoren van MISP naar Microsoft Sentinel met behulp van de API voor het uploaden van bedreigingsinformatieindicatoren met MISP2Sentinel.
- Zie MISP2Sentinel in Azure Marketplace.
- Meer informatie over het MISP-project.
Palo Alto Networks MineMeld
- Zie IOC's verzenden naar de Microsoft Graph-beveiligings-API met behulp van MineMeld om Palo Alto MineMeld te configureren met de verbindingsgegevens voor Microsoft Sentinel. Ga naar de kop 'MineMeld Configuration'.
Opgenomen toekomstige beveiligingsinformatieplatform
- Meer informatie over hoe Recorded Future gebruikmaakt van Logic Apps (playbooks) om verbinding te maken met Microsoft Sentinel. Zie de gespecialiseerde instructies die nodig zijn om volledig te profiteren van het volledige aanbod.
ThreatConnect-platform
- Zie de Microsoft Graph Security Threat Indicators Integration Configuration Guide voor instructies voor het verbinden van ThreatConnect met Microsoft Sentinel.
ThreatQuotient threat intelligence-platform
- Zie Microsoft Sentinel Connector for ThreatQ-integratie voor ondersteuningsinformatie en instructies voor het verbinden van ThreatQuotient TIP met Microsoft Sentinel.
Bronnen voor incidentverrijking
Naast het importeren van bedreigingsindicatoren, kunnen feeds voor bedreigingsinformatie ook dienen als bron om de informatie in uw incidenten te verrijken en meer context te bieden aan uw onderzoeken. De volgende feeds dienen dit doel en bieden Logic Apps-playbooks die u kunt gebruiken in uw geautomatiseerde incidentrespons. Zoek deze verrijkingsbronnen in de hub Inhoud.
HYAS Insight
- Zoek en schakel playbooks voor incidentverrijking in voor HYAS Insight in de Microsoft Sentinel GitHub-opslagplaats. Zoek naar submappen die beginnen met
Enrich-Sentinel-Incident-HYAS-Insight-. - Zie de documentatie voor de CONNECTOR van HYAS Insight Logic Apps.
Microsoft Defender-bedreigingsinformatie
- Zoek en schakel playbooks voor incidentverrijking in voor Microsoft Defender-bedreigingsinformatie in de Microsoft Sentinel GitHub-opslagplaats.
- Zie het blogbericht Defender Threat Intelligence Tech Community voor meer informatie.
Opgenomen future security intelligence platform
- Zoek en schakel playbooks voor incidentverrijking in voor Opgenomen toekomst in de Microsoft Sentinel GitHub-opslagplaats. Zoek naar submappen die beginnen met
RecordedFuture_. - Zie de documentatie voor de Opgenomen toekomstige Logic Apps-connector.
ReversingLabs TitaniumCloud
- Zoek en schakel playbooks voor incidentverrijking in voor ReversingLabs in de Microsoft Sentinel GitHub-opslagplaats.
- Zie de documentatie van de Connector reversingLabs TitaniumCloud Logic Apps.
RiskIQ PassiveTotal
- Zoek en schakel de playbooks voor incidentverrijking voor RiskIQ Passive Total in de Microsoft Sentinel GitHub-opslagplaats in.
- Meer informatie over het werken met RiskIQ-playbooks.
- Zie de riskIQ PassiveTotal Logic Apps-connectordocumentatie.
Virustotal
- Zoek en schakel playbooks voor incidentverrijking in voor VirusTotal in de Microsoft Sentinel GitHub-opslagplaats. Zoek naar submappen die beginnen met
Get-VTURL. - Raadpleeg de documentatie van de VirusTotal Logic Apps-connector.
Verwante onderwerpen
In dit artikel hebt u geleerd hoe u uw bedreigingsinformatieprovider kunt verbinden met Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Meer informatie over het verkrijgen van inzicht in uw gegevens en mogelijke bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.