Megosztás a következőn keresztül:

A Microsoft Sentinel csatlakoztatása STIX/TAXII fenyegetésfelderítési hírcsatornákhoz

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

A fenyegetésintelligencia átvitelének legelfogadottabb iparági szabványa a STIX adatformátum és a TAXII protokoll kombinációja. Ha a szervezet fenyegetésjelzőket kap az aktuális STIX/TAXII-verziót támogató megoldásoktól (2.0 vagy 2.1), a fenyegetésjelzőket a Fenyegetésfelderítés – TAXII adatösszekötő használatával viheti be a Microsoft Sentinelbe. Ez az összekötő lehetővé teszi, hogy a Microsoft Sentinel beépített TAXII-ügyfele importálja a fenyegetésfelderítést a TAXII 2.x-kiszolgálókról.

A TAXII importálási útvonalát bemutató képernyőkép.

Ha STIX formátumú fenyegetésjelzőket szeretne importálni a Microsoft Sentinelbe egy TAXII-kiszolgálóról, le kell szereznie a TAXII-kiszolgáló API-gyökerét és gyűjteményazonosítóját. Ezután engedélyezi a Fenyegetésfelderítés – TAXII adatösszekötőt a Microsoft Sentinelben.

További információ a Microsoft Sentinel fenyegetésintelligencia-információiról, valamint a Microsoft Sentinellel integrálható TAXII fenyegetésintelligencia-hírcsatornákról.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

További információ: A fenyegetésfelderítési platform (TIP) csatlakoztatása a Microsoft Sentinelhez.

Fontos

A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

  • Ha önálló tartalmat vagy megoldásokat szeretne telepíteni, frissíteni és törölni a Tartalomközpontban, szüksége van a Microsoft Sentinel közreműködői szerepkörre az erőforráscsoport szintjén.
  • A fenyegetésjelzők tárolásához olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.
  • Taxii 2.0 vagy TAXII 2.1 API gyökér URI-val és gyűjteményazonosítóval kell rendelkeznie.

A TAXII-kiszolgáló API-gyökerének és gyűjteményazonosítójának lekérése

A TAXII 2.x-kiszolgálók API-gyökereket hirdetnek, amelyek olyan URL-címek, amelyek fenyegetésfelderítési gyűjteményeket üzemeltetnek. Az API-gyökér és a gyűjteményazonosító általában a TAXII-kiszolgálót üzemeltető fenyegetésintelligencia-szolgáltató dokumentációs oldalain található.

Feljegyzés

Bizonyos esetekben a szolgáltató csak egy felderítési végpontnak nevezett URL-címet hirdet. A cURL segédprogrammal tallózhat a felderítési végponton, és kérheti az API gyökerét.

A Fenyegetésfelderítési megoldás telepítése a Microsoft Sentinelben

Ha egy TAXII-kiszolgálóról szeretne fenyegetésjelzőket importálni a Microsoft Sentinelbe, kövesse az alábbi lépéseket:

  1. Az Azure PortalOn a Microsoft Sentinel esetében a Tartalomkezelés területen válassza a Content Hub lehetőséget.

    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Tartalomkezelési>tartalomközpontot.

  2. Keresse meg és válassza ki a fenyegetésfelderítési megoldást.

  3. Válassza a Telepítés/frissítés gombot.

A megoldásösszetevők kezelésével kapcsolatos további információkért tekintse meg a beépített tartalmak felderítését és üzembe helyezését ismertető cikket.

A fenyegetésintelligencia engedélyezése – TAXII-adatösszekötő

  1. A TAXII-adatösszekötő konfigurálásához válassza az Adatösszekötők menüt .

  2. Keresse meg és válassza ki a Fenyegetésintelligencia – TAXII adatösszekötőt, majd az Összekötő megnyitása lapot.

    Képernyőkép az Adatösszekötők lapról, amelyen a TAXII adatösszekötő látható.

  3. Adja meg ennek a TAXII-kiszolgálógyűjteménynek a nevét a Rövid név szövegmezőben. Töltse ki a szövegmezőket az API gyökér URL-címéhez, a gyűjteményazonosítóhoz, a felhasználónévhez (ha szükséges) és a jelszóhoz (ha szükséges). Válassza ki a mutatók csoportját és a kívánt lekérdezési gyakoriságot. Válassza a Hozzáadás lehetőséget.

    A TAXII-kiszolgálók konfigurálását bemutató képernyőkép.

Megerősítést kell kapnia arról, hogy a TAXII-kiszolgálóval való kapcsolat sikeresen létrejött. Ismételje meg az utolsó lépést annyiszor, amennyit egy vagy több TAXII-kiszolgáló több gyűjteményéhez szeretne csatlakozni.

Néhány percen belül a fenyegetésjelzőknek el kell indulnia ebbe a Microsoft Sentinel-munkaterületbe. Keresse meg az új jelzőket a Fenyegetésintelligencia panelen. Ezt a Microsoft Sentinel menüből érheti el.

IP-engedélyezési lista a Microsoft Sentinel TAXII-ügyfélhez

Egyes TAXII-kiszolgálóknak, például az FS-ISAC-nak meg kell őrizniük a Microsoft Sentinel TAXII-ügyfél IP-címét az engedélyezési listán. A LEGTÖBB TAXII-kiszolgáló nem rendelkezik ezzel a követelményrel.

Adott esetben a következő IP-címek szerepelnek az engedélyezési listán:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Kapcsolódó tartalom

Ebben a cikkben megtanulta, hogyan csatlakoztathatja a Microsoft Sentinelt a fenyegetésfelderítési hírcsatornákhoz a TAXII protokoll használatával. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben: