Herstellen einer Verbindung zwischen Microsoft Azure Sentinel und STIX-/TAXII-Threat-Intelligence-Feeds

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Der am weitesten verbreitete Branchenstandard für die Übertragung von Threat Intelligence-Daten ist eine Kombination aus dem STIX-Datenformat und dem TAXII-Protokoll. Wenn Ihre Organisation die Bedrohungsindikatoren aus Lösungen empfängt, die die aktuelle STIX-/TAXII-Version (2.0 oder 2.1) unterstützen, können Sie Ihre Bedrohungsindikatoren mit dem TAXII-Datenconnector für Threat Intelligence in Microsoft Azure Sentinel importieren. Dieser Connector ermöglicht es einem integrierten TAXII-Client in Microsoft Azure Sentinel, Threat Intelligence von TAXII 2.x-Servern zu importieren.

Screenshot: TAXII-Importpfad

Um STIX-formatierte Bedrohungsindikatoren von einem TAXII-Server in Microsoft Sentinel zu importieren, müssen Sie den API-Stamm und die Sammlungs-ID des TAXII-Servers abrufen. Anschließend aktivieren Sie den TAXII-Datenconnector für Threat Intelligence in Microsoft Sentinel.

Erfahren Sie mehr über Threat Intelligence in Microsoft Sentinel und insbesondere über die TAXII-Threat Intelligence-Feeds , die in Microsoft Sentinel integriert werden können.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Weitere Informationen finden Sie unter Verbinden Ihrer Threat Intelligence-Plattform (TP) mit Microsoft Sentinel.

Wichtig

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

  • Um eigenständige Inhalte oder Lösungen aus dem Inhaltshub installieren, aktualisieren oder löschen zu können, müssen Sie auf Ressourcengruppenebene über die Rolle „Microsoft Sentinel-Mitwirkender“ verfügen.
  • Sie benötigen Lese- und Schreibberechtigungen für den Microsoft Azure Sentinel-Arbeitsbereich, um Ihre Bedrohungsindikatoren zu speichern.
  • Sie müssen über einen API-Stamm-URI und eine Sammlungs-ID für TAXII 2.0 oder TAXII 2.1 verfügen.

Abrufen des API-Stamms und der Sammlungs-ID des TAXII-Servers

TAXII 2.x-Server kündigen API-Stammadressen an, bei denen es sich um URLs handelt, unter denen Threat Intelligence-Sammlungen gehostet werden. Den API-Stamm und die Sammlungs-ID finden Sie normalerweise auf den Dokumentationsseiten des Threat Intelligence-Anbieters, der den TAXII-Server hostet.

Hinweis

Mitunter gibt der Anbieter nur eine URL bekannt, die als Ermittlungsendpunkt bezeichnet wird. Mit dem Hilfsprogramm cURL können Sie den Ermittlungsendpunkt abfragen und den API-Stamm anfordern.

Installieren der Threat Intelligence-Lösung in Microsoft Sentinel

Führen Sie die folgenden Schritte aus, um Bedrohungsindikatoren von einem TAXII-Server in Microsoft Azure Sentinel zu importieren:

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Inhaltsverwaltung die Option Inhaltshub aus.

    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Content Management> Content Hub aus.

  2. Suchen Sie die Threat Intelligence-Lösung, und wählen Sie sie aus.

  3. Wählen Sie die Schaltfläche Installieren/Aktualisieren aus.

Weitere Informationen zum Verwalten der Lösungskomponenten finden Sie unter Ermitteln und Bereitstellen von sofort einsatzbereiten Inhalten.

Aktivieren des TAXII-Datenconnectors für Threat Intelligence

  1. Wählen Sie zum Konfigurieren des TAXII-Datenconnectors das Menü Datenconnectors aus.

  2. Suchen Sie den Datenconnector Threat Intelligence – TAXII, und wählen Sie diesen und dann Connectorseite öffnen aus.

    Screenshot: Seite „Datenconnectors“ mit aufgelistetem TAXII-Datenconnector

  3. Geben Sie einen Namen für diese TAXII-Serverauflistung im Textfeld Anzeigename ein. Füllen Sie die Textfelder für API-Stamm-URL, Sammlungs-ID, Benutzernamen (falls erforderlich) und Kennwort (falls erforderlich) aus. Wählen Sie die Gruppe der Indikatoren und die gewünschte Abrufhäufigkeit aus. Wählen Sie Hinzufügen.

    Screenshot: Konfigurieren der TAXII-Server

Sie sollten eine Bestätigung erhalten, dass erfolgreich eine Verbindung mit dem TAXII-Server hergestellt wurde. Wiederholen Sie den letzten Schritt so oft, wie Sie eine Verbindung mit mehreren Sammlungen von einem oder mehreren TAXII-Servern herstellen möchten.

Nach einigen Minuten sollten die Bedrohungsindikatoren in den Microsoft Sentinel-Arbeitsbereich fließen. Die neuen Indikatoren finden Sie auf der Seite Threat Intelligence. Sie können darauf über das Microsoft Sentinel-Menü zugreifen.

IP-Positivliste für den Microsoft Sentinel-TAXII-Client

Einige TAXII-Server, z. B. FS-ISAC, müssen die IP-Adressen des Microsoft Sentinel-TAXII-Clients in der Positivliste speichern. Für die meisten TAXII-Server ist diese Anforderung nicht erforderlich.

Falls dies relevant ist, müssen folgende IP-Adressen in Ihre Positivliste aufgenommen werden:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Zugehöriger Inhalt

In diesem Artikel haben Sie erfahren, wie Sie Microsoft Sentinel mithilfe des TAXII-Protokolls mit Threat-Intelligence-Feeds verbinden. Weitere Informationen über Microsoft Sentinel finden Sie in den folgenden Artikeln: