Connettere Microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII

Lo standard di settore più ampiamente adottato per la trasmissione dell'intelligence sulle minacce è una combinazione del formato dati STIX e del protocollo TAXII. Se l'organizzazione riceve indicatori di minaccia da soluzioni che supportano la versione corrente di STIX/TAXII (2.0 o 2.1), è possibile usare il connettore dati Intelligence per le minacce - TAXII per inserire gli indicatori di minaccia in Microsoft Sentinel. Questo connettore consente a un client TAXII di Microsoft Sentinel di importare l'intelligence sulle minacce dai server TAXII 2.x.

Ritaglio di schermata che mostra un percorso di importazione TAXII.

Per importare indicatori di minaccia in formato STIX in Microsoft Sentinel da un server TAXII, è necessario ottenere l'ID radice e l'ID raccolta dell'API server TAXII. Quindi abilitare il connettore dati Threat Intelligence - TAXII in Microsoft Sentinel.

Altre informazioni su intelligence sulle minacce in Microsoft Sentinel e in particolare sui feed di intelligence sulle minacce TAXII che possono essere integrati con Microsoft Sentinel.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.

Per altre informazioni, vedere Connettere la piattaforma di intelligence sulle minacce a Microsoft Sentinel.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

  • Per installare, aggiornare ed eliminare contenuti o soluzioni autonomi nell'Hub dei contenuti, è necessario il ruolo di Collaboratore di Microsoft Sentinel a livello di gruppo di risorse.
  • Per archiviare gli indicatori delle minacce, è necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel.
  • È necessario disporre di un URI radice dell'API e di un ID di raccolta di TAXII 2.0 o TAXII 2.1.

Ottenere l'ID di raccolta e la radice dell'API del server TAXII

I server TAXII 2.x annunciano radici API, ovvero URL che ospitano raccolte di intelligence sulle minacce. In genere, è possibile trovare la radice dell'API e l'ID raccolta nelle pagine della documentazione del provider di intelligence sulle minacce che ospita il server TAXII.

Nota

In alcuni casi, il provider annuncia solo un URL denominato endpoint di individuazione. È possibile usare l'utilità cURL per esplorare l'endpoint di individuazione e richiedere la radice dell'API.

Installare la soluzione Threat Intelligence in Microsoft Sentinel

Per importare gli indicatori di minacce in Microsoft Sentinel da un server TAXII, seguire questa procedura:

  1. Per Microsoft Sentinel, nel portale di Azure, in Gestione dei contenuti selezionare Hub dei contenuti.

    Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione dei contenuti>Hub contenuti.

  2. Trovare e selezionare la soluzione Threat Intelligence.

  3. Selezionare il pulsante Installa/Aggiorna.

Per altre informazioni su come gestire i componenti della soluzione, vedere Individuare e distribuire contenuti predefiniti.

Abilitare il connettore dati Threat Intelligence -TAXII

  1. Per configurare il connettore dati TAXII, selezionare il menu Connettori dati.

  2. Trovare e selezionare il connettore dati Threat Intelligence -TAXII e successivamente Apri pagina connettore.

    Screenshot che mostra la pagina dei connettori dati con il connettore dati TAXII elencato.

  3. Immettere un nome per questa raccolta di server TAXII nella casella di testo Nome descrittivo. Compilare le caselle di testo per URL radice dell'API, ID raccolta, nome utente (se necessario) e password (se necessario). Scegliere il gruppo di indicatori e la frequenza di polling desiderata. Selezionare Aggiungi.

    Screenshot che mostra la configurazione dei server TAXII.

Si dovrebbe ricevere la conferma che una connessione al server TAXII è stata stabilita correttamente. Ripetere l'ultimo passaggio tutte le volte che si desidera connettersi a più raccolte da uno o più server TAXII.

Entro pochi minuti, gli indicatori di minaccia dovrebbero iniziare a essere trasmessi in questa area di lavoro di Microsoft Sentinel. Trovare i nuovi indicatori nel riquadro Threat Intelligence. È possibile accedervi dal menu di Microsoft Sentinel.

Elenco di indirizzi IP consentiti per il client TAXII di Microsoft Sentinel

Alcuni server TAXII, ad esempio FS-ISAC, devono mantenere gli indirizzi IP del client TAXII di Microsoft Sentinel nell'elenco elementi consentiti. La maggior parte dei server TAXII non presenta questo requisito.

Quando pertinente, gli indirizzi IP seguenti sono quelli da includere nell'elenco elementi consentiti:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

In questo articolo, si è appreso come connettere Microsoft Sentinel ai feed di intelligence sulle minacce con il protocollo TAXII. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti: