Microsoft Sentinel'i STIX/TAXII tehdit bilgileri akışlarına bağlama

Tehdit bilgileri iletimi için en yaygın olarak benimsenen endüstri standardı, STIX veri biçimi ile TAXII protokolünün bir bileşimidir. Kuruluşunuz geçerli STIX/TAXII sürümünü (2.0 veya 2.1) destekleyen çözümlerden tehdit göstergeleri alıyorsa tehdit göstergelerinizi Microsoft Sentinel'e getirmek için Threat Intelligence - TAXII veri bağlayıcısını kullanabilirsiniz. Bu bağlayıcı, Microsoft Sentinel'de yerleşik bir TAXII istemcisinin TAXII 2.x sunucularından tehdit bilgilerini içeri aktarmasını sağlar.

STIX biçimli tehdit göstergelerini bir TAXII sunucusundan Microsoft Sentinel'e aktarmak için TAXII sunucusu API'si kök ve koleksiyon kimliğini almanız gerekir. Ardından Microsoft Sentinel'de Threat Intelligence - TAXII veri bağlayıcısını etkinleştirebilirsiniz.

Microsoft Sentinel'deki tehdit bilgileri ve özellikle Microsoft Sentinel ile tümleştirebileceğiniz TAXII tehdit bilgileri akışları hakkında daha fazla bilgi edinin.

Daha fazla bilgi için bkz . Tehdit bilgileri platformunuzu (TIP) Microsoft Sentinel'e bağlama.

Önkoşullar

• İçerik hub'ında tek başına içeriği veya çözümleri yüklemek, güncelleştirmek ve silmek için kaynak grubu düzeyinde Microsoft Sentinel Katkıda Bulunanı rolüne sahip olmanız gerekir.
• Tehdit göstergelerinizi depolamak için Microsoft Sentinel çalışma alanında okuma ve yazma izinleriniz olmalıdır.
• TAXII 2.0 veya TAXII 2.1 API kök URI'niz ve koleksiyon kimliğiniz olmalıdır.

TAXII sunucu API'si kök ve koleksiyon kimliğini alma

TAXII 2.x sunucuları, tehdit bilgileri koleksiyonlarını barındıran URL'ler olan API köklerini tanıtır. API kökünü ve koleksiyon kimliğini genellikle TAXII sunucusunu barındıran tehdit bilgileri sağlayıcısının belge sayfalarında bulabilirsiniz.

Microsoft Sentinel'de Tehdit Bilgileri çözümünü yükleme

Tehdit göstergelerini bir TAXII sunucusundan Microsoft Sentinel'e aktarmak için şu adımları izleyin:

1. Azure portalında Microsoft Sentinel için İçerik yönetimi'nin altında İçerik hub'ı seçin.

   Defender portalında Microsoft Sentinel için Microsoft Sentinel>İçerik yönetimi>İçerik hub'ı seçin.

2. Tehdit Bilgileri çözümünü bulun ve seçin.

3. Yükle/Güncelleştir düğmesini seçin.

Çözüm bileşenlerini yönetme hakkında daha fazla bilgi için bkz . Hazır içeriği bulma ve dağıtma.

Tehdit Bilgileri - TAXII veri bağlayıcısını etkinleştirme

1. TAXII veri bağlayıcısını yapılandırmak için Veri bağlayıcıları menüsünü seçin.

2. Tehdit Bilgileri - TAXII veri bağlayıcısını bulup seçin ve ardından Bağlayıcıyı aç sayfasını seçin.

   

3. Kolay ad metin kutusuna bu TAXII sunucu koleksiyonu için bir ad girin. API kök URL'si, Koleksiyon Kimliği, Kullanıcı Adı (gerekirse) ve Parola (gerekirse) için metin kutularını doldurun. İstediğiniz gösterge grubunu ve yoklama sıklığını seçin. Ekle'yi seçin.

   

TAXII sunucusuna bağlantının başarıyla kurulduğuna dair onay almanız gerekir. Son adımı, bir veya daha fazla TAXII sunucusundaki birden çok koleksiyona bağlanmak istediğiniz kadar tekrarlayın.

Birkaç dakika içinde tehdit göstergelerinin bu Microsoft Sentinel çalışma alanına akmaya başlaması gerekir. Tehdit bilgileri bölmesinde yeni göstergeleri bulun. Microsoft Sentinel menüsünden erişebilirsiniz.

Microsoft Sentinel TAXII istemcisi için IP izin verilenler listesi

FS-ISAC gibi bazı TAXII sunucuları, Microsoft Sentinel TAXII istemcisinin IP adreslerini izin verilenler listesinde tutma gereksinimine sahiptir. Çoğu TAXII sunucusu bu gereksinime sahip değildir.

İlgili olduğunda, aşağıdaki IP adresleri izin verilenler listenize eklenecek adreslerdir:

İlgili içerik

Bu makalede, TAXII protokolunu kullanarak Microsoft Sentinel'i tehdit bilgileri akışlarına bağlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
• Microsoft Sentinel ile tehditleri algılamaya başlayın.