Integração da inteligência contra ameaças no Microsoft Sentinel
O Microsoft Sentinel permite usar os feeds de inteligência contra ameaças de algumas maneiras para aprimorar a capacidade dos analistas de segurança de detectar e priorizar ameaças conhecidas:
- Use um dos muitos produtos da plataforma de inteligência contra ameaças (TIP) integrados disponíveis.
- Conecte-se a servidores TAXII para aproveitar qualquer fonte de inteligência contra ameaças compatível com STIX.
- Conecte-se diretamente ao feed deInteligência contra ameaças do Microsoft Defender.
- Use todas as soluções personalizadas que possam se comunicar diretamente com a API de indicadores de upload de inteligência contra ameaças.
- Conecte-se a fontes de inteligência contra ameaças por meio de guias estratégicos para enriquecer incidentes com informações de inteligência contra ameaças que podem ajudar a direcionar ações de investigação e resposta.
Dica
Se você tiver vários workspaces no mesmo locatário, como MSSPs (Provedores de Serviço de Segurança Gerenciada), poderá ser mais econômico conectar indicadores de ameaça somente ao workspace centralizado.
Quando você tiver o mesmo conjunto de indicadores de ameaça importados para cada workspace separado, você poderá executar consultas entre workspaces para agregar indicadores de ameaça em seus workspaces. Correlacione-os em sua experiência de detecção, investigação e busca de incidentes do MSSP.
Feeds de inteligência contra ameaças TAXII
Para se conectar aos feeds de inteligência contra ameaças TAXII, siga as instruções para conectar o Microsoft Sentinel aos feeds de inteligência contra ameaças STIX/TAXII, juntamente com os dados fornecidos por cada fornecedor. Pode ser necessário entrar em contato diretamente com o fornecedor para obter os dados necessários para usar com o conector.
Inteligência contra ameaças cibernéticas da Accenture
- Saiba mais sobre a Integração da CTI (Inteligência contra ameaças cibernéticas) da Accenture ao Microsoft Sentinel.
Darkfeed do Cybersixgill
- Saiba mais sobre a Integração do Cybersixgill com o Microsoft Sentinel .
- Conecte o Microsoft Sentinel ao servidor Cybersixgill TAXII e obtenha acesso ao Darkfeed. Entre em contato azuresentinel@cybersixgill.com para obter a raiz da API, a ID da coleção, o nome de usuário e a senha.
Troca de informações sobre inteligência contra ameaças da Cyware (CTIX)
Um componente do TIP da Cyware, o CTIX, é tornar a inteligência acionável com um feed TAXII para seu gerenciamento de eventos e informações de segurança. Para o Microsoft Sentinel, siga as instruções aqui:
- Saiba como integrar com o Microsoft Sentinel
ESET
- Saiba mais sobre a oferta de inteligência contra ameaças da ESET.
- Conectar o Microsoft Sentinel ao servidor ESET TAXII Obtenha a URL raiz da API, a ID da coleção, o nome de usuário e a senha da sua conta do ESET. Em seguida, siga as instruções gerais e o artigo da base de dados de conhecimento do ESET.
Centro de Análise e Troca de Informações sobre Serviços Financeiros (FS-ISAC)
- Junte-se ao FS-ISAC para obter as credenciais e acessar este feed.
Comunidade de Compartilhamento de Inteligência de Integridade (H-ISAC)
- Ingresse no H-ISAC para obter as credenciais e acessar este feed.
IBM X-Force
- Saiba mais sobre a integração do IBM X-Force
IntSights
- Saiba mais sobre o IntSights integration with Microsoft Sentinel @IntSights.
- Conecte o Microsoft Sentinel ao servidor TAXII do IntSights. Obtenha a raiz da API, a ID da coleção, o nome de usuário e a senha do portal do IntSights depois de configurar uma política dos dados que deseja enviar ao Microsoft Sentinel.
Kaspersky
- Saiba mais sobre a integração do Kaspersky com o Microsoft Sentinel.
Pulsedive
- Saiba mais sobre a integração do Pulsedive com o Microsoft Sentinel.
ReversingLabs
- Saiba mais sobre a integração do ReversingLabs TAXII com o Microsoft Sentinel.
Sectrio
- Saiba mais sobre a integração do Sectrio.
- Saiba mais sobre o processo passo a passo para integrar o feed de inteligência contra ameaças da Sectrio ao Microsoft Sentinel.
SEKOIA.IO
- Saiba mais sobre a integração do SEKOIA.IO com o Microsoft Sentinel.
ThreatConnect
- Saiba mais sobre o STIX e o TAXII no ThreatConnect.
- Consulte a documentação dos serviços do TAXII no ThreatConnect
Produtos integrados da plataforma de inteligência contra ameaças
Para se conectar aos feeds de TIP, consulte Conectar plataformas de inteligência contra ameaças ao Microsoft Sentinel. Consulte as soluções a seguir para saber quais informações adicionais são necessárias.
Agari Phishing Defense e Brand Protection
- Para conectar o Agari Phishing Defense e Brand Protection, use o conector de dados Agari integrado no Microsoft Sentinel.
Anomali ThreatStream
- Se você quiser baixar o ThreatStream Integrator e as extensões e ver as instruções para conectar a inteligência do ThreatStream à API de Segurança do Microsoft Graph, consulte a página de Downloads do ThreatStream.
AlienVault Open Threat Exchange (OTX) da AT&T Cybersecurity
- Saiba como o AlienVault OTX usa Aplicativos Lógicos do Azure (guias estratégicos) para se conectar ao Microsoft Sentinel. Confira as instruções especializadas que devem ser seguidas para aproveitar ao máximo toda a oferta.
Plataforma EclecticIQ
- A Plataforma EclecticIQ integra-se ao Microsoft Sentinel para aprimorar a detecção, a busca e a resposta a ameaças. Saiba mais sobre os benefícios e casos de uso dessa integração de duas vias.
Atribuição e inteligência contra ameaças do GroupIB
- Para conectar a Atribuição e inteligência contra ameaças do GroupIB ao Microsoft Sentinel, o GroupIB usa os Aplicativos Lógicos do Azure. Confira as instruções especializadas que devem ser seguidas para aproveitar ao máximo toda a oferta.
Plataforma de inteligência contra ameaças de código aberto MISP
- Envie indicadores de ameaça por push do MISP para o Microsoft Sentinel usando a API de Indicadores de Upload de Inteligência contra Ameaças com o MISP2Sentinel.
- Consulte MISP2Sentinel no Azure Marketplace.
- Saiba mais sobre o Projeto MISP.
Palo Alto Networks MineMeld
- Para configurar o Palo Alto MineMeld com as informações de conexão com o Microsoft Sentinel, consulte Enviando IOCs para a API de Segurança do Microsoft Graph usando o MineMeld. Vá para o título "Configuração do MineMeld".
Plataforma de inteligência de segurança da Recorded Future
- Saiba como a Recorded Future usa os Aplicativos Lógicos do Azure (guias estratégicos) para se conectar ao Microsoft Sentinel. Confira as instruções especializadas que devem ser seguidas para aproveitar ao máximo toda a oferta.
Plataforma ThreatConnect
- Consulte o Guia de configuração de integração de indicadores de ameaças de segurança do Microsoft Graph para obter instruções sobre como conectar o ThreatConnect ao Microsoft Sentinel.
Plataforma de inteligência contra ameaças da ThreatQuotient
- Consulte Conector do Microsoft Sentinel para a integração do ThreatQ para obter informações de suporte e instruções para conectar a TIP ThreatQuotient ao Microsoft Sentinel.
Fontes de enriquecimento de incidentes
Além de seu uso para importar indicadores de ameaça, os feeds de inteligência contra ameaças também podem atuar como uma fonte para enriquecer as informações em incidentes e fornecer mais contexto às investigações. Os feeds a seguir servem a essa finalidade e fornecem guias estratégicos dos Aplicativos Lógicos para usar em sua resposta a incidente automatizada. Localize essas fontes de enriquecimento no Hub de conteúdo.
Para obter mais informações sobre como gerenciar os componentes da solução, consulte Descobrir e implantar conteúdo pronto para uso.
HYAS Insight
- Encontre e habilite os guias estratégicos de enriquecimento de incidentes para o HYAS Insight no repositório GitHub do Microsoft Sentinel. Pesquise subpastas que comecem com
Enrich-Sentinel-Incident-HYAS-Insight-. - Consulte a documentação do conector dos Aplicativos Lógicos do HYAS Insight.
Informações sobre Ameaças do Microsoft Defender
- Encontre e habilite os guias estratégicos de enriquecimento de incidentes para a Inteligência contra ameaças do Microsoft Defender no repositório GitHub do Microsoft Sentinel.
- Consulte a postagem no blog da Comunidade Técnica de Inteligência contra Ameaças do Defender para obter mais informações.
Plataforma Recorded Future Security Intelligence
- Encontre e habilite os guias estratégicos de enriquecimento de incidentes para o Recorded Future no repositório GitHub do Microsoft Sentinel. Pesquise subpastas que comecem com
RecordedFuture_. - Consulte a documentação do conector dos Aplicativos Lógicos da Recorded Future.
ReversingLabs TitaniumCloud
- Encontre e habilite os guias estratégicos de enriquecimento de incidentes para o ReversingLabs no repositório GitHub do Microsoft Sentinel.
- Consulte a documentação do conector dos Aplicativos Lógicos do ReversingLabs TitaniumCloud.
RiskIQ PassiveTotal
- Encontre e habilite os guias estratégicos de enriquecimento de incidentes para a RiskIQ Passive Total no repositório GitHub do Microsoft Sentinel.
- Veja mais informações sobre como trabalhar com os guias estratégicos do RiskIQ.
- Consulte a documentação do conector dos Aplicativos Lógicos da RiskIQ PassiveTotal.
VirusTotal
- Encontre e habilite os guias estratégicos de enriquecimento de incidentes para a VirusTotal no repositório GitHub do Microsoft Sentinel. Pesquise subpastas que comecem com
Get-VTURL. - Consulte a documentação do conector dos Aplicativos Lógicos da VirusTotal.
Conteúdo relacionado
Neste artigo, você aprendeu a conectar seu provedor de inteligência contra ameaças ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
- Saiba como obter visibilidade dos seus dados e de possíveis ameaças.
- Introdução à detecção de ameaças com o Microsoft Sentinel.