Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel offre alcuni modi per usare i feed di intelligence sulle minacce per migliorare la capacità degli analisti della sicurezza di rilevare e assegnare priorità alle minacce note:
- Usare uno dei numerosi prodotti TIP (Integrated Threat Intelligence Platform) disponibili.
- Connettersi ai server TAXII per sfruttare qualsiasi origine di intelligence sulle minacce compatibile con STIX.
- Connettersi direttamente al feed Microsoft Defender Threat Intelligence.
- Utilizzare eventuali soluzioni personalizzate in grado di comunicare direttamente con l'API per il caricamento degli indicatori di intelligence sulle minacce.
- Connetti le fonti di threat intelligence dai playbook per arricchire gli incidenti con informazioni di threat intelligence che possono aiutare a orientare le attività di indagine e risposta.
Consiglio
Se nello stesso tenant sono presenti più aree di lavoro, ad esempio per i provider di servizi di sicurezza gestiti, potrebbe essere più conveniente connettere gli indicatori di minaccia solo all'area di lavoro centralizzata.
Quando si dispone dello stesso set di indicatori di minaccia importati in ogni area di lavoro separata, è possibile eseguire query tra aree di lavoro per aggregare gli indicatori di minaccia nelle aree di lavoro. Correlateli nell'ambito della vostra esperienza MSSP di rilevamento, indagine e ricerca proattiva delle minacce.
Feed TAXII di intelligence sulle minacce
Per connettersi ai feed di intelligence sulle minacce TAXII, seguire le istruzioni per connettersi Microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII, insieme ai dati forniti da ogni fornitore. Potrebbe essere necessario contattare direttamente il fornitore per ottenere i dati necessari da usare con il connettore.
Intelligence sulle minacce informatiche di Accenture
Cybersixgill Darkfeed
- Informazioni sull'integrazione di Cybersixgill con Microsoft Sentinel.
- Connettere Microsoft Sentinel al server TAXII di Cybersixgill e ottenere accesso a Darkfeed. Contattare azuresentinel@cybersixgill.com per ottenere la radice dell'API, l'ID raccolta, il nome utente e la password.
Cyware Threat Intelligence Exchange (CTIX)
Una componente del TIP di Cyware, CTIX, consiste nel rendere l’intelligence utilizzabile operativamente tramite un feed TAXII per il tuo sistema di gestione delle informazioni e degli eventi di sicurezza. Per Microsoft Sentinel, seguire le istruzioni riportate di seguito:
- Informazioni su come eseguire l'integrazione con Microsoft Sentinel
ESET
- Informazioni sull'offerta di intelligence sulle minacce di ESET.
- Connettere Microsoft Sentinel al server TAXII ESET. Ottenere l'URL radice dell'API, l'ID raccolta, il nome utente e la password dall'account ESET. Seguire quindi le istruzioni generali e l'articolo knowledge base di ESET.
Centro per la Condivisione e l'Analisi delle Informazioni sui Servizi Finanziari (FS-ISAC)
- Aggiungere FS-ISAC per ottenere le credenziali per accedere a questo feed.
Comunità per la condivisione di intelligence sanitaria (H-ISAC)
- Iscriviti a H-ISAC per ottenere le credenziali di accesso a questo feed.
IBM X-Force
- Altre informazioni sull'integrazione di IBM X-Force.
IntSights
- Altre informazioni sull'integrazione di IntSights con Microsoft Sentinel.
- Connettere Microsoft Sentinel al server TAXII IntSights. Ottenere la radice dell'API, l'ID raccolta, il nome utente e la password dal portale IntSights dopo aver configurato un criterio dei dati da inviare a Microsoft Sentinel.
Kaspersky
- Informazioni sull'integrazione di Kaspersky con Microsoft Sentinel.
Pulsedive
ReversingLabs
Sectrio
- Altre informazioni sull'integrazione di Sectrio.
- Informazioni sul processo dettagliato per l'integrazione del feed di intelligence sulle minacce di Sectrio in Microsoft Sentinel.
SEKOIA.IO
ThreatConnect
- Altre informazioni su STIX e TAXII sono disponibili in ThreatConnect.
- Vedere la documentazione dei servizi TAXII in ThreatConnect.
Prodotti della piattaforma di intelligence sulle minacce integrata
Per connettersi ai feed TIP, vedere Connettere le piattaforme di intelligence sulle minacce a Microsoft Sentinel. Consultare le soluzioni seguenti per sapere quali altre informazioni sono necessarie.
Difesa e protezione del marchio Agari Phishing
- Per connettere Agari Phishing Defense e Brand Protection, usare il connettore dati Agari incorporato in Microsoft Sentinel.
Anomali ThreatStream
- Per scaricare l'integratore ed estensioni ThreatStream e le istruzioni per la connessione dell'intelligence ThreatStream alla API Sicurezza di Microsoft Graph, vedere la pagina dei download di ThreatStream.
AlienVault Open Threat Exchange (OTX) di AT&T Cybersecurity
- Scopri come AlienVault OTX si avvale di App per la logica di Azure (playbook) per collegarsi a Microsoft Sentinel. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.
Piattaforma EclecticIQ
- EclecticIQ Platform si integra con Microsoft Sentinel per migliorare il rilevamento delle minacce, la ricerca e la risposta. Altre informazioni sui vantaggi e sui casi d'uso di questa integrazione bidirezionale.
Filigran OpenCTI
- Filigran OpenCTI può inviare informazioni di threat intelligence a Microsoft Sentinel tramite un connettore dedicato che opera in tempo reale oppure fungendo da server TAXII 2.1 che Sentinel interrogherà regolarmente. Può anche ricevere eventi imprevisti strutturati da Sentinel tramite il connettore eventi imprevisti Microsoft Sentinel.
GroupIB Threat Intelligence e attribuzione
- Per connettere GroupIB Threat Intelligence e Attribution a Microsoft Sentinel, GroupIB usa App per la logica. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.
Piattaforma di intelligence sulle minacce open source MISP
- Eseguire il push degli indicatori di minaccia da MISP a Microsoft Sentinel usando l'API Threat Intelligence Upload Indicators con MISP2Sentinel.
- Visualizza MISP2Sentinel in Azure Marketplace.
- Altre informazioni sul progetto MISP.
Palo Alto Networks MineMeld
- Per configurare Palo Alto MineMeld con le informazioni di connessione a Microsoft Sentinel, vedi Invio di IOC all'API di sicurezza di Microsoft Graph tramite MineMeld. Passare all'intestazione "Configurazione MineMeld".
Piattaforma di intelligence per la sicurezza di Recorded Future
- Scopri come Recorded Future usa Logic Apps (playbook) per connettersi a Microsoft Sentinel. Vedere le istruzioni specializzate necessarie per sfruttare appieno l'offerta completa.
Piattaforma ThreatConnect
- Per istruzioni sulla connessione di ThreatConnect a Microsoft Sentinel, vedere la Guida alla configurazione di Microsoft Graph Security Threat Indicators Integration.
piattaforma di threat intelligence ThreatQuotient
- Vedere Microsoft Sentinel Connector for ThreatQ integration (Connettore Microsoft Sentinel per l'integrazione di ThreatQ) per informazioni sul supporto e istruzioni per connettere ThreatQuotient TIP a Microsoft Sentinel.
Origini di arricchimento degli eventi imprevisti
Oltre a essere usati per importare gli indicatori di minaccia, i feed di intelligence sulle minacce possono anche fungere da fonte per arricchire le informazioni negli eventi imprevisti e fornire più contesto alle indagini. I feed seguenti servono a questo scopo e forniscono playbook di Logic Apps da usare per la tua risposta automatizzata agli eventi imprevisti. Trova queste fonti di arricchimento nel Hub contenuti.
Per altre informazioni su come trovare e gestire le soluzioni, vedi Scoprire e distribuire contenuto pronto all'uso.
HYAS Approfondimenti
- Trova e abilita i playbook di arricchimento degli incidenti per HYAS Insight nel repository GitHub di Microsoft Sentinel. Cerca le sottocartelle il cui nome inizia con
Enrich-Sentinel-Incident-HYAS-Insight-. - Consultare la documentazione del connettore HYAS Insight Logic Apps.
Microsoft Defender Threat Intelligence (Intelligence delle minacce)
- Trova e abilita i playbook di arricchimento degli incidenti per Microsoft Defender Threat Intelligence nel repository GitHub di Microsoft Sentinel.
- Per altre informazioni, vedere il post di blog di Defender Threat Intelligence Tech Community .
Piattaforma di intelligence per la sicurezza di Recorded Future
- Trova e abilita i playbook di arricchimento degli incidenti per Recorded Future nel repository GitHub di Microsoft Sentinel. Cerca le sottocartelle il cui nome inizia con
RecordedFuture_. - Vedi la documentazione del connettore di Recorded Future Logic Apps.
ReversingLabs TitanioCloud
- Trova e abilita i playbook di arricchimento degli incidenti per ReversingLabs nel repository GitHub di Microsoft Sentinel.
- Consulta la documentazione del connettore ReversingLabs TitaniumCloud Logic Apps.
RiskIQ PassiveTotal
- Trova e abilita i playbook di arricchimento degli incidenti per RiskIQ Passive Total nel repository GitHub di Microsoft Sentinel.
- Vedi ulteriori informazioni su come utilizzare i playbook RiskIQ.
- Consultare la documentazione del connettore RiskIQ PassiveTotal Logic Apps.
Virustotal
- Trovare e abilitare i playbook di arricchimento degli incidenti per VirusTotal nel repository GitHub di Microsoft Sentinel. Cerca le sottocartelle il cui nome inizia con
Get-VTURL. - Consultare la documentazione del connettore VirusTotal Logic Apps.
Contenuto correlato
In questo articolo si è appreso come connettere il provider di intelligence sulle minacce a Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Introduzione al rilevamento delle minacce con Microsoft Sentinel.