Intégration du renseignement sur les menaces dans Microsoft Azure Sentinel
Microsoft Sentinel vous offre différentes façons d’utiliser des flux de renseignement sur les menaces pour améliorer la capacité des analystes de la sécurité à détecter et hiérarchiser les menaces connues.
- Utilisez l’un des nombreux produits de la plateforme de veille des menaces (TIP) intégrés disponibles.
- Se connecter aux serveurs TAXII pour bénéficier des sources de données sur la veille des menaces compatibles avec STIX.
- Connectez-vous directement au flux de Veille des menaces Microsoft Defender.
- Utilisez toute solution personnalisée pouvant communiquer directement avec l’API de chargement d’indicateurs de veille des menaces.
- Vous pouvez également vous connecter à des sources de renseignement sur les menaces à partir de playbooks, afin d’enrichir les incidents avec des informations IT qui peuvent aider à effectuer des investigations et à exécuter des actions de réponse.
Conseil
Si vous avez plusieurs espaces de travail dans le même locataire, par exemple pour les fournisseurs de services de sécurité gérés (MSSP), il peut être plus rentable de connecter des indicateurs de menace uniquement à l’espace de travail centralisé.
Lorsque vous importez le même ensemble d’indicateurs de menace dans chaque espace de travail, vous pouvez exécuter des requêtes entre les espaces de travail pour agréger des indicateurs de menace dans tous vos espaces de travail. Mettez-les en corrélation au sein de votre expérience de détection d’incident, d’investigation et de chasse MSSP.
Flux de renseignement sur le renseignement sur les menaces TAXII
Pour vous connecter aux flux de veille des menaces TAXII, suivez les instructions pour Connecter Microsoft Sentinel aux flux de veille des menaces STIX/TAXII, ainsi que les données fournies par chaque fournisseur. Vous devrez peut-être contacter le fournisseur directement pour obtenir les données nécessaires à utiliser avec le connecteur.
Renseignement sur les menaces informatiques Accenture
Cybersixgill Darkfeed
- En savoir plus sur l’intégration de Cybersixgill avec Microsoft Sentinel.
- Pour connecter Microsoft Sentinel au serveur Cybersixgill TAXII et accéder à Darkfeed, contactez azuresentinel@cybersixgill.com pour obtenir la racine de l’API, l’ID de regroupement, le nom d’utilisateur et le mot de passe.
CTIX (Cyware Threat Intelligence eXchange)
CTIX, l’un des composants de la plateforme de veille des menaces de Cyware, exploite les informations avec un flux TAXII pour votre SIEM. Dans le cas de Microsoft Sentinel, suivez les instructions ici :
ESET
- Apprenez-en davantage sur l’offre de renseignement sur les menaces d’ESET.
- Pour connecter Microsoft Sentinel au serveur TAXII ESET, obtenez l’URL racine de l’API, l’ID de regroupement, le nom d’utilisateur et le mot de passe à partir de votre compte ESET. Suivez ensuite les instructions générales et l’article de la base de connaissances ESET.
Centre d’analyse et de partage des informations sur les services financiers (FS-ISAC)
- Rejoignez FS-ISAC pour récupérer les informations d’identification permettant d’accéder à ce flux.
Communauté de partage des renseignements sur le fonctionnement (H-ISAC)
- Rejoignez H-ISAC pour récupérer les informations d’identification permettant d’accéder à ce flux.
IBM X-Force
IntSights
- Learn more about the IntSights integration with Microsoft Sentinel @IntSights.
- Pour connecter Microsoft Sentinel au serveur IntSights TAXIi, obtenez la racine de l’API, l’ID de regroupement, le nom d’utilisateur et le mot de passe à partir du portail IntSights après avoir configuré une stratégie des données que vous souhaitez envoyer à Microsoft Sentinel.
Kaspersky
Pulsedive
ReversingLabs
Sectrio
- En savoir plus sur l’intégration de Sectrio.
- Processus pas à pas pour l’intégration du flux TI de Sectrio dans Microsoft Sentinel.
SEKOIA.IO
ThreatConnect
- En savoir plus sur STIX et TAXII sur ThreatConnect.
- Consultez la documentation TAXII Services sur ThreatConnect
Produits de la plateforme Threat Intelligence intégrée
Pour vous connecter aux flux TIP (Threat Intelligence Platform), consultez Connecter des plateformes de veille des menaces à Microsoft Sentinel. Consultez les solutions suivantes pour savoir quelles informations supplémentaires sont nécessaires.
Agari Phishing Defense and Brand Protection
- Pour connecter la protection contre l’hameçonnage et la protection de marque Agari, utilisez le connecteur de données Agari intégré dans Microsoft Sentinel.
ThreatStream d’Anomali
- Pour télécharger l’intégrateur et les extensions ThreatStream, ainsi que les instructions pour la connexion de l’intelligence ThreatStream à l’API Microsoft Graph Security, consultez la page des téléchargements ThreatStream.
AlienVault Open Threat Exchange (OTX) from AT&T Cybersecurity
- AlienVault OTX utilise des Azure Logic Apps (playbooks) pour se connecter à Microsoft Sentinel. Consultez les instructions spécifiques nécessaires pour tirer pleinement parti de l’offre complète.
Plateforme EclecticIQ
- La plateforme EclecticIQ s’intègre à Microsoft Sentinel pour améliorer la détection des menaces, la chasse et la réponse. Découvrez les avantages et les cas d’usage de cette intégration bidirectionnelle.
GroupIB Threat Intelligence and Attribution
- Pour connecter GroupIB Threat Intelligence and Attribution à Microsoft Sentinel, GroupIB utilise Azure Logic Apps. Consultez les instructions spécifiques nécessaires pour tirer pleinement parti de l’offre complète.
Plateforme Threat Intelligence open source MISP
- Envoyez des indicateurs de menace de MISP à Microsoft Sentinel à l’aide de l’API d’indicateurs de chargement TI avec MISP2Sentinel.
- Voici le lien Place de marché Azure pour MISP2Sentinel.
- En savoir plus sur le projet MISP.
Palo Alto Networks MineMeld
- Pour configurer Palo Alto MineMeld avec les informations de connexion à Microsoft Sentinel, consultez Envoi de IOC à l’API Microsoft Graph Security à l’aide de MineMeld et passer à l’en-tête de Configuration MineMeld .
Recorded Future Security Intelligence Platform
- Recorded Future utilise des Azure Logic Apps (playbooks) pour se connecter à Microsoft Sentinel. Consultez les instructions spécifiques nécessaires pour tirer pleinement parti de l’offre complète.
Plateforme ThreatConnect
- Pour obtenir des instructions sur la connexion de ThreatConnect à Microsoft Sentinel, consultez Guide de configuration Microsoft Graph Security Threat Indicators.
ThreatQuotient Threat Intelligence Platform
- Pour obtenir des informations de support technique et des instructions pour connecter ThreatQuotient TIP à Microsoft Sentinel, consultez Connecteur Microsoft Sentinel pour l’intégration de ThreatQ .
Sources d’enrichissement des incidents
Outre leur utilisation pour importer des indicateurs de menace, les flux d’informations sur les menaces peuvent également servir de source pour enrichir les informations de vos incidents et fournir plus de contexte à vos investigations. Les flux suivants servent à cet effet et fournissent des règles d’application logique à utiliser dans votre réponse automatique aux incidents. Recherchez ces sources d’enrichissement dans le hub de contenu.
Pour plus d’informations sur la recherche et la gestion des solutions, consultez Découvrir et déployer un contenu prêt à l’emploi.
HYAS Insight
- Recherchez et activez les règles d’enrichissement des incidents pour HYAS Insight dans le référentiel GitHub de Microsoft Sentinel. Recherchez des sous-dossiers commençant par
Enrich-Sentinel-Incident-HYAS-Insight-
. - Consultez la documentation du connecteur d’application logique HYAS Insight.
Microsoft Defender Threat Intelligence
- Recherchez et activez des guides opérationnels d’enrichissement des incidents relatifs à la Veille des menaces Microsoft Defender dans le référentiel GitHub de Microsoft Sentinel.
- Pour plus d’informations, consultez le billet de blog de la communauté technique MDTI.
Recorded Future Security Intelligence Platform
- Recherchez et activez les règles d’enrichissement des incidents pour Recorded Future dans le référentiel GitHub de Microsoft Sentinel. Recherchez des sous-dossiers commençant par
RecordedFuture_
. - Consultez la documentation du connecteur d’application logique Recorded Future.
ReversingLabs TitaniumCloud
- Recherchez et activez les règles d’enrichissement des incidents pour ReversingLabs dans le référentiel GitHub de Microsoft Sentinel.
- Consultez la documentation du connecteur d’application logique TitaniumCloud.
RiskIQ Passive Total
- Recherchez et activez les règles d’enrichissement des incidents pour RiskIQ Passive Total dans le référentiel GitHub de Microsoft Sentinel.
- Découvrez plus d’informations sur l’utilisation des playbooks RiskIQ.
- Consultez la documentation du connecteur d’application logique RiskIQ PassiveTotal.
Nombre Total de virus
- Recherchez et activez les règles d’enrichissement des incidents pour Nombre total de virus dans le référentiel GitHub de Microsoft Sentinel. Recherchez des sous-dossiers commençant par
Get-VTURL
. - Consultez la documentation de connecteur d’application logique Virus Total.
Étapes suivantes
Dans ce document, vous avez appris à connecter votre fournisseur d’intelligence des menaces à Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment avoir une visibilité sur vos données et les menaces potentielles.
- Prise en main de la détection des menaces avec Microsoft Sentinel.