Conectar o Microsoft Sentinel aos feeds de inteligência contra ameaças STIX/TAXII

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

O padrão do setor mais amplamente adotado para a transmissão de inteligência contra ameaças é uma combinação do formato de dados STIX e do protocolo TAXII. Caso sua organização receba indicadores de ameaça de soluções compatíveis com a versão atual do STIX/TAXII (2.0 ou 2.1), use o conector de dados Inteligência contra Ameaças – TAXII para levar seus indicadores de ameaça para o Microsoft Sentinel. O conector permite que um cliente TAXII interno no Microsoft Sentinel importe a inteligência contra ameaças de servidores TAXII 2.x.

Captura de tela que mostra um caminho de importação TAXII.

Para importar indicadores de ameaça formatados como STIX para o Microsoft Sentinel de um servidor TAXII, você deve obter a ID de coleção e raiz da API do servidor TAXII. Em seguida, você habilita o conector de dados da inteligência contra ameaças – TAXII no Microsoft Sentinel.

Saiba mais sobre inteligência contra ameaças no Microsoft Sentinel e especificamente sobre os feeds de inteligência contra ameaças TAXII que você pode integrar ao Microsoft Sentinel.

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Para obter mais informações, confira Conectar a sua plataforma de inteligência contra ameaças (TIP) ao Microsoft Sentinel.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

  • Para instalar, atualizar e excluir conteúdo autônomo ou soluções no Hub de Conteúdo, você precisa da função Colaborador do Microsoft Sentinel no nível do grupo de recursos.
  • Você precisa ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel para armazenar seus indicadores de ameaça.
  • Você deve ter um URI raiz e uma ID de coleção da API TAXII 2.0 ou TAXII 2.1.

Obter a ID de coleção e raiz da API do servidor TAXII

Os servidores TAXII 2.x anunciam raízes de API, que são URLs que hospedam coleções de inteligência contra ameaças. Normalmente, você pode encontrar a raiz da API e a ID da coleção nas páginas de documentação do provedor de inteligência contra ameaças que hospeda o servidor TAXII.

Observação

Em alguns casos, o provedor anuncia apenas uma URL chamada de ponto de extremidade de descoberta. Você pode usar o utilitário cURL para procurar o ponto de extremidade de descoberta e solicitar a raiz da API.

Instalar a solução da Inteligência contra Ameaças no Microsoft Sentinel

Para importar indicadores de ameaça de um servidor TAXII para o Microsoft Sentinel, siga estas etapas:

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione o Hub de conteúdo.

    Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de conteúdo>Hub de conteúdo.

  2. Localize e selecione a solução de Inteligência contra Ameaças.

  3. Selecionar o botão Instalar/Atualizar.

Para obter mais informações sobre como gerenciar os componentes da solução, veja Descobrir e implantar conteúdo pronto para uso.

Habilitar a Inteligência contra Ameaças – conector de dados TAXII

  1. Para configurar o conector de dados TAXII, selecione o menu Conectores de dados.

  2. Localize e selecione o conector de dados Inteligência contra ameaças – TAXII e, em seguida, selecione Abrir página do conector.

    Captura de tela que mostra a página Conectores de dados com o conector de dados TAXII listado.

  3. Insira um nome para esta coleção de servidores TAXII na caixa de texto Nome amigável. Preencha as caixas de texto de URL raiz da API, ID da coleção, Nome de usuário (se necessário) e Senha (se necessário). Escolha o grupo de indicadores e a frequência de sondagem desejada. Selecione Adicionar.

    Captura de tela que mostra a configuração de servidores TAXII.

Você deve receber a confirmação de que uma conexão com o servidor TAXII foi estabelecida com sucesso. Repita a última etapa quantas vezes quiser se conectar a várias coleções de um ou mais servidores TAXII.

Em alguns minutos, os indicadores de ameaça começarão a aparecer no espaço de trabalho do Microsoft Sentinel. Encontre os novos indicadores no painel Inteligência contra ameaças. Você pode acessá-lo no menu do Microsoft Sentinel.

Lista de permissões de IP para o cliente TAXII do Microsoft Sentinel

Alguns servidores TAXII, como FS-ISAC, têm um requisito para manter os endereços IP do cliente TAXII do Microsoft Azure Sentinel na lista de permitidos. A maioria dos servidores TAXII não tem esse requisito.

Quando relevantes, os seguintes endereços IP são os endereços a serem incluídos na lista de permissões:

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

Conteúdo relacionado

Neste artigo, você aprendeu a conectar o Microsoft Sentinel a feeds de inteligência contra ameaças usando o protocolo TAXII. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: