Microsoft Sentinel 提供數種方式, 讓您使用威脅情報摘要 來增強安全性分析師偵測及設定已知威脅優先順序的能力:
- 使用許多可用的整合 式威脅情報平臺 (TIP) 產品之一。
- 連線到 TAXII 伺服器 ,以利用任何 STIX 相容的威脅情報來源。
- 直接連線到 Microsoft Defender 威脅情報 摘要。
- 使用任何可直接與 威脅情報上傳指標 API 通訊的自定義解決方案。
- 從劇本連線至威脅情報來源,以有助直接調查和回應動作的威脅情報資訊來擴充事件。
提示
如果您在相同的租使用者中有多個工作區,例如針對 託管安全服務提供者(MSSP),那麼,僅將威脅指標連接到集中式工作區可能更具成本效益。
當您將一組相同的威脅指標匯入每個個別工作區時,您可以執行跨工作區查詢,以彙總整個工作區的威脅指標。 將 MSSP 事件偵測、調查和搜捕體驗相互關聯。
TAXII 威脅情報摘要
若要連線到 TAXII 威脅情報饋送,請遵循將 Microsoft Sentinel 連線至 STIX/TAXII 威脅情報饋送的指示,並整合每個廠商所提供的數據。 您可能需要直接連絡廠商,以取得與連接器搭配使用的必要資料。
強調網路威脅情報
賽博西克斯吉爾暗飼料
- 了解 Cybersixgill 與 Microsoft Sentinel 的整合。
- 將 Microsoft Sentinel 連線到 Cybersixgill TAXII 伺服器,並取得 Darkfeed 的存取權。 聯繫 azuresentinel@cybersixgill.com 取得 API 根目錄、集合識別碼、使用者名稱和密碼。
Cyware 威脅情報 eXchange (CTIX)
Cyware TIP 的其中一個元件 CTIX,是要透過 TAXII 摘要讓 INTEL 可採取動作,以取得安全性資訊和事件管理。 對於 Microsoft Sentinel,遵循這裡的指示:
ESET
- 瞭解 ESET的威脅情報供應專案。
- 將 Microsoft Sentinel 連接到 ESET TAXII 伺服器。 從 ESET 帳戶取得 API 根 URL、集合識別碼、使用者名稱和密碼。 然後遵循 一般指示 和 ESET的知識庫文章。
金融服務資訊共用與分析中心 (FS-ISAC)
- 加入 FS-ISAC 以取得存取此摘要的憑證。
健康情況情報共用社群 (H-ISAC)
- 加入 H-ISAC 以取得存取此資訊流的認證資訊。
IBM X-Force
- 深入瞭解 IBM X-Force整合。
IntSights
- 深入瞭解 IntSights 與 Microsoft Sentinel 的整合。
- 將 Microsoft Sentinel 連線到 IntSights TAXII 伺服器。 在您設定要傳送至 Microsoft Sentinel 的資料原則之後,從 IntSights 入口網站取得 API 根目錄、集合識別碼、使用者名稱和密碼。
卡巴斯基
Pulsedive
反轉實驗室
Sectrio
SEKOIA。IO
ThreatConnect
整合式威脅情報平台產品
若要連線到 TIP 資訊供應,請參閱 將威脅情報平台連結到 Microsoft Sentinel。 請參閱下列解決方案,以了解需要哪些其他資訊。
Agari 網路釣魚防護和品牌保護
- 若要連線 Agari 網路釣魚防禦和品牌保護,請使用 Microsoft Sentinel 內建的 Agari 數據連接器。
Anomali 威脅流 (ThreatStream)
- 若要下載 ThreatStream 整合器和延伸模組,以及將 ThreatStream 情報連線至 Microsoft Graph 安全性 API 的指示,請參閱 ThreatStream 下載 頁面。
從 AT&T 網路安全性 AlienVault Open Threat Exchange (OTX)
- 瞭解 AlienVault OTX 如何使用 Azure Logic Apps(劇本)來連接到 Microsoft Sentinel。 請參考充分利用完整方案所需的特殊指示。
EclecticIQ 平台
- EclecticIQ 平台與 Microsoft Sentinel 整合,以增強威脅偵測、搜捕和回應。 深入瞭解此雙向整合 的優點和使用案例 。
菲利格蘭OpenCTI
- Filigran OpenCTI 可以透過 即時執行的專用連接器 ,或作為 Sentinel 定期輪詢的 TAXII 2.1 伺服器,將威脅情報傳送至Microsoft Sentinel。 它也可以透過 Microsoft Sentinel 事件連接器,從 Sentinel 接收結構化事件。
GroupIB 威脅情報和屬性
- 要將 GroupIB 威脅情報與歸因 連接到 Microsoft Sentinel,GroupIB 使用 Logic Apps。 請參閱充分利用完整供應專案所需的 特殊指示 。
MISP 開放原始碼威脅情報平台
- 使用威脅情報上傳指標 API 搭配 MISP2Sentinel,將威脅指標從 MISP 推送至 Microsoft Sentinel。
- 請參閱 Azure Marketplace 中的 MISP2Sentinel 。
- 深入瞭解 MISP專案。
帕洛阿爾托網絡 MineMeld
- 若要使用連線資訊設定 Palo Alto MineMeld 與 Microsoft Sentinel,請參閱 使用 MineMeld 將指標傳送至 Microsoft 圖形安全性 API。 移至 [MineMeld 組態] 標題。
記錄未來的安全性智慧平台
- 了解如何使用 Logic Apps(劇本)將 Recorded Future 連接到 Microsoft Sentinel。 請參考充分利用完整方案所需的特殊指示。
ThreatConnect 平台
- 如需將 ThreatConnect 連線至 Microsoft Sentinel 的指示,請參閱 Microsoft Graph 安全性威脅指標整合設定指南。
ThreatQuotient 威脅情報平台
- 如需了解如何將 ThreatQuotient TIP 連線至 Microsoft Sentinel 的支援資訊和操作指示,請參閱 ThreatQ 整合的 Microsoft Sentinel 連接器。
事件擴充來源
除了用來匯入威脅指標之外,威脅情報摘要也可以做為來源來擴充事件中的資訊,並將更多內容提供給調查。 下列摘要用於此目的,並提供 Logic Apps 劇本,以用於 您的自動化事件回應。 在 內容中樞中尋找這些擴充來源。
如需有關尋找和管理解決方案的更多資訊,請參閱 探索及部署預設內容。
HYAS 深入解析
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用 HYAS Insight 的事件擴充劇本。 搜尋開頭為
Enrich-Sentinel-Incident-HYAS-Insight-的子資料夾。 - 請參閱 HYAS Insight Logic Apps 連接器檔。
Microsoft Defender 威脅情報
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用 Microsoft Defender 威脅情報的事件豐富化劇本。
- 如需詳細資訊,請參閱 Defender威脅情報技術社群部落格文章 。
記錄未來的安全性智慧平台
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用記錄未來的事件擴充劇本。 搜尋開頭為
RecordedFuture_的子資料夾。 - 請參閱 Recorded Future Logic Apps 連接器文件。
ReversingLabs 鈦雲
- 在 Microsoft Sentinel GitHub 存放庫中尋找及啟用 ReversingLabs 的事件豐富化劇本。
- 請參閱 ReversingLabs TitaniumCloud Logic Apps 連接器檔。
RiskIQ 被動總計
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用 RiskIQ Passive Total的事件豐富化劇本。
- 請參閱使用 RiskIQ 劇本 的詳細資訊 。
- 請參閱 RiskIQ PassiveTotal Logic Apps 連接器檔。
VirusTotal
- 在 Microsoft Sentinel GitHub 存放庫中尋找並啟用 VirusTotal 的事件擴充劇本。 搜尋開頭為
Get-VTURL的子資料夾。 - 請參閱 VirusTotal Logic Apps 連接器檔。
相關內容
在本文中,您已了解如何將威脅情報提供者連線到 Microsoft Sentinel。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 瞭解如何 瞭解您的數據和潛在威脅。
- 開始使用 Microsoft Sentinel 偵測威脅。