Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel offre alcuni modi per usare feed di intelligence sulle minacce per migliorare la capacità degli analisti della sicurezza di rilevare e classificare in ordine di priorità le minacce note:
- Usare uno dei numerosi prodotti della piattaforma di intelligence per le minacce integrata (TIP).
- Connettersi ai server TAXII per sfruttare qualsiasi origine di intelligence per le minacce compatibile con STIX.
- Connettersi direttamente al feed di Microsoft Defender Threat Intelligence .
- Usare qualsiasi soluzione personalizzata in grado di comunicare direttamente con l'API degli Indicatori di Caricamento di Threat Intelligence.
- Connettersi alle origini di intelligence sulle minacce dai playbook, per arricchire gli eventi imprevisti con informazioni Threat Intelligence che consentono di indirizzare le azioni di indagine e risposta.
Suggerimento
Se nello stesso tenant sono presenti più aree di lavoro, ad esempio per i provider di servizi di sicurezza gestiti ,potrebbe essere più conveniente connettere gli indicatori delle minacce solo all'area di lavoro centralizzata.
Quando si dispone dello stesso set di indicatori di minaccia importati in ogni area di lavoro separata, è possibile eseguire query tra aree di lavoro per aggregare gli indicatori delle minacce nelle aree di lavoro. Correlarli all'interno dell'esperienza di rilevamento, indagine e ricerca degli eventi imprevisti MSSP.
Feed sull'intelligence sulle minacce TAXII
Per connettersi ai feed di intelligence sulle minacce TAXII, seguire le istruzioni per connettere Microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII, insieme ai dati forniti da ogni fornitore. Potrebbe essere necessario contattare direttamente il fornitore per ottenere i dati necessari da usare con il connettore.
Accenture Cyber Threat Intelligence
Cybersixgill Darkfeed
- Informazioni sull'integrazione di Cybersixgill con Microsoft Sentinel.
- Connettere Microsoft Sentinel al server Cybersixgill TAXII e ottenere l'accesso a Darkfeed. Contatta azuresentinel@cybersixgill.com per ottenere la radice dell'API, l'ID raccolta, il nome utente e la password.
Cyware Threat Intelligence Exchange (CTIX)
Uno dei componenti di Cyware TIP, CTIX, consiste nel rendere intel praticabile con un feed TAXII per le informazioni di sicurezza e la gestione degli eventi. Per Microsoft Sentinel, seguire le istruzioni riportate di seguito:
- Informazioni su come eseguire l'integrazione con Microsoft Sentinel
ESET
- Informazioni sull'offerta di intelligence sulle minacce di ESET.
- Connettere Microsoft Sentinel al server ESET TAXII. Ottenere l'URL radice dell'API, l'ID raccolta, il nome utente e la password dall'account ESET. Seguire quindi le istruzioni generali e l'articolo della Knowledge Base di ESET.
Centro per la Condivisione e l'Analisi delle Informazioni sui Servizi Finanziari (FS-ISAC)
- Partecipare a FS-ISAC per ottenere le credenziali per accedere a questo feed.
Community di condivisione di intelligence sull'integrità (H-ISAC)
- Partecipare a H-ISAC per ottenere le credenziali per accedere a questo feed.
IBM X-Force
- Altre informazioni sull'integrazione di IBM X-Force.
IntSights
- Altre informazioni sull'integrazione di IntSights con Microsoft Sentinel.
- Connettere Microsoft Sentinel al server TAXII di IntSights. Ottenere la radice dell'API, l'ID raccolta, il nome utente e la password dal portale di IntSights dopo aver configurato un criterio dei dati da inviare a Microsoft Sentinel.
Kaspersky
- Informazioni sull'integrazione di Kaspersky con Microsoft Sentinel.
Pulsedive
- Informazioni sull'integrazione di Pulsedive con Microsoft Sentinel.
ReversingLabs
Sectrio
- Altre informazioni sull'integrazione di Sectrio.
- Informazioni sul processo dettagliato per l'integrazione del feed di intelligence sulle minacce di Sectrio in Microsoft Sentinel.
SEKOIA. IO
- Scopri l'integrazione di SEKOIA.IO con Microsoft Sentinel.
ThreatConnect
- Altre informazioni su STIX e TAXII sono disponibili in ThreatConnect.
- Vedere la documentazione dei servizi TAXII in ThreatConnect.
Prodotti della piattaforma di intelligence per le minacce integrati
Per connettersi ai feed TIP, vedere Connettere le piattaforme di intelligence per le minacce a Microsoft Sentinel. Per informazioni sulle altre informazioni necessarie, vedere le soluzioni seguenti.
Difesa e protezione del marchio Agari Phishing
- Per connettere Agari Phishing Defense e Brand Protection, usare il connettore dati Agari predefinito in Microsoft Sentinel.
Anomali ThreatStream
- Per scaricare ThreatStream Integrator ed estensioni e le istruzioni per connettere l'intelligence di ThreatStream all'API Microsoft Graph Security, consultare la pagina dei download di ThreatStream.
AlienVault Open Threat Exchange (OTX) di AT&T Cybersecurity
- Scopri come AlienVault OTX utilizza Azure Logic Apps (playbooks) per connettersi a Microsoft Sentinel. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.
Eclettica Piattaforma IQ
- La piattaforma EclecticIQ si integra con Microsoft Sentinel per migliorare il rilevamento, la ricerca e la risposta delle minacce. Altre informazioni sui vantaggi e sui casi d'uso di questa integrazione bidirezionale.
Filigran OpenCTI
- Filigran OpenCTI può inviare informazioni sulle minacce a Microsoft Sentinel tramite un connettore dedicato che funziona in tempo reale, oppure funzionando come un server TAXII 2.1 che Sentinel interrogherà regolarmente. Può anche ricevere eventi imprevisti strutturati da Sentinel tramite il connettore eventi imprevisti di Microsoft Sentinel.
GroupIB Threat Intelligence e attribuzione
- Per connettere GroupIB Threat Intelligence e Attribuzione a Microsoft Sentinel, GroupIB usa Logic Apps. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.
MISP Open Source Threat Intelligence Platform
- Eseguire il push degli indicatori di minaccia da MISP a Microsoft Sentinel utilizzando l'API di Upload degli Indicatori di Intelligence con MISP2Sentinel.
- Consulta MISP2Sentinel in Azure Marketplace.
- Altre informazioni sul progetto MISP.
Palo Alto Networks MineMeld
- Per configurare Palo Alto MineMeld con le informazioni di connessione a Microsoft Sentinel, vedere Invio di IOC all'API microsoft Graph Security tramite MineMeld. Passare all'intestazione "Configurazione MineMeld".
Piattaforma Intelligence di sicurezza Recorded Future
- Scopri come Recorded Future utilizza Logic Apps (playbooks) per connettersi a Microsoft Sentinel. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.
ThreatConnect Piattaforma
- Per istruzioni su come connettere ThreatConnect a Microsoft Sentinel, vedere la Guida alla configurazione dell'integrazione degli indicatori di minaccia di Microsoft Graph Security.
ThreatQuotient Threat Intelligence Platform
- Vedere Connettore di Microsoft Sentinel per l'integrazione di ThreatQ per informazioni sul supporto e istruzioni per connettere ThreatQuotient TIP a Microsoft Sentinel.
Origini di arricchimento degli eventi imprevisti
Oltre a essere usato per importare indicatori di minaccia, i feed di intelligence sulle minacce possono fungere anche da fonte per arricchire le informazioni negli eventi imprevisti e fornire un contesto più contestuale alle indagini. I seguenti feed servono a questo scopo e forniscono playbook Logic Apps da usare nella risposta automatizzata agli incidenti. Trova queste origini di arricchimento nel Content Hub.
Per altre informazioni su come trovare e gestire le soluzioni, vedere Individuare e distribuire contenuti predefiniti.
HYAS Approfondimenti
- Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per HYAS Insight nel repository GitHub di Microsoft Sentinel. Cercare sottocartelle che iniziano con
Enrich-Sentinel-Incident-HYAS-Insight-. - Consulta la documentazione del connettore delle Logic Apps di HYAS Insight.
Microsoft Defender Threat Intelligence (Intelligence delle minacce)
- Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per Microsoft Defender Threat Intelligence nel repository GitHub di Microsoft Sentinel.
- Per altre informazioni, vedere il post di blog della community tecnica di Defender Threat Intelligence .
Piattaforma Intelligence di sicurezza Recorded Future
- Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per Recorded Future nel repository GitHub di Microsoft Sentinel. Cercare sottocartelle che iniziano con
RecordedFuture_. - Consulta la documentazione del connettore di Recorded Future Logic Apps.
ReversingLabs TitaniumCloud
- Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per ReversingLabs nel repository GitHub di Microsoft Sentinel.
- Consulta la documentazione del connettore ReversingLabs TitaniumCloud Logic Apps.
RiskIQ PassiveTotal
- Trovare e abilitare i playbook di arricchimento degli eventi imprevisti per RiskIQ Passive Total nel repository GitHub di Microsoft Sentinel.
- Vedere altre informazioni sull'uso dei playbook RiskIQ.
- Consulta la documentazione del connettore delle Logic Apps RiskIQ PassiveTotal.
VirusTotal
- Trovare e abilitare i playbook di arricchimento degli incidenti per VirusTotal nel repository GitHub di Microsoft Sentinel. Cercare sottocartelle che iniziano con
Get-VTURL. - Vedi la documentazione del connettore delle App Logiche di VirusTotal.
Contenuto correlato
In questo articolo si è appreso come connettere il provider di intelligence sulle minacce a Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Introduzione al rilevamento delle minacce con Microsoft Sentinel.