Microsoft Sentinel’de tehdit bilgileri tümleştirmesi
Microsoft Sentinel, güvenlik analistlerinizin bilinen tehditleri algılama ve önceliklerini belirleme becerisini geliştirmek için tehdit bilgileri akışlarını kullanmanın birkaç yolunu sunar:
- Kullanılabilir tümleşik tehdit bilgileri platformu (TIP) ürünlerinden birini kullanın.
- STIX uyumlu tehdit bilgileri kaynağından yararlanmak için TAXII sunucularına bağlanın.
- Doğrudan Microsoft Defender Tehdit Analizi akışına bağlanın.
- Tehdit Bilgileri Karşıya Yükleme Göstergeleri API'siyle doğrudan iletişim kurabilen tüm özel çözümleri kullanın.
- Doğrudan araştırma ve yanıt eylemlerine yardımcı olabilecek tehdit bilgileri bilgileriyle olayları zenginleştirmek için playbook'lardan tehdit bilgileri kaynaklarına bağlanın.
İpucu
Aynı kiracıda Yönetilen Güvenlik Hizmeti Sağlayıcıları (MSSP) gibi birden çok çalışma alanınız varsa tehdit göstergelerini yalnızca merkezi çalışma alanına bağlamak daha uygun maliyetli olabilir.
Her ayrı çalışma alanına içeri aktarılan aynı tehdit göstergeleri kümesine sahip olduğunuzda, çalışma alanlarınızdaki tehdit göstergelerini toplamak için çalışma alanları arası sorgular çalıştırabilirsiniz. Bunları MSSP olay algılama, araştırma ve tehdit avcılığı deneyiminiz içinde ilişkilendirin.
TAXII tehdit bilgileri akışları
TAXII tehdit bilgileri akışlarına bağlanmak için yönergeleri izleyerek Microsoft Sentinel'i STIX/TAXII tehdit bilgileri akışlarına ve her satıcı tarafından sağlanan verilerle birlikte bağlayın. Bağlayıcıyla kullanmak üzere gerekli verileri almak için satıcıyla doğrudan iletişime geçmeniz gerekebilir.
Siber tehdit zekası vurgula
- Microsoft Sentinel ile Accenture siber tehdit bilgileri (CTI) tümleştirmesi hakkında bilgi edinin.
Cybersixgill Darkfeed
- Microsoft Sentinel ile Cybersixgill tümleştirmesi hakkında bilgi edinin.
- Microsoft Sentinel'i Cybersixgill TAXII sunucusuna bağlayın ve Darkfeed'e erişim elde edin. API kökünü, koleksiyon kimliğini, kullanıcı adını ve parolayı almak için iletişim kurun azuresentinel@cybersixgill.com .
Cyware tehdit bilgileri değişimi (CTIX)
Cyware'in IPUCU CTIX'in bir bileşeni, güvenlik bilgileriniz ve olay yönetiminiz için bir TAXII akışı ile intel eyleme dönüştürülebilir hale getirmektir. Microsoft Sentinel için buradaki yönergeleri izleyin:
- Microsoft Sentinel ile tümleştirmeyi öğrenin
ESET
- ESET'in tehdit bilgileri teklifi hakkında bilgi edinin.
- Microsoft Sentinel'i ESET TAXII sunucusuna bağlayın. ESET hesabınızdan API kök URL'sini, koleksiyon kimliğini, kullanıcı adını ve parolayı alın. Ardından genel yönergeleri ve ESET'in bilgi bankası makalesini izleyin.
Finansal Hizmetler Bilgi Paylaşım ve Analiz Merkezi (FS-ISAC)
- Bu akışa erişmek için kimlik bilgilerini almak için FS-ISAC'ye katılın.
Sağlık zekası paylaşım topluluğu (H-ISAC)
- Bu akışa erişmek için kimlik bilgilerini almak için H-ISAC'ye katılın.
IBM X-Force
- IBM X-Force tümleştirmesi hakkında daha fazla bilgi edinin.
IntSights
- hakkında IntSights integration with Microsoft Sentinel @IntSightsdaha fazla bilgi edinin.
- Microsoft Sentinel'i IntSights TAXII sunucusuna bağlayın. Microsoft Sentinel'e göndermek istediğiniz verilerin ilkesini yapılandırdıktan sonra IntSights portalından API kökünü, koleksiyon kimliğini, kullanıcı adını ve parolayı alın.
Kaspersky
- Microsoft Sentinel ile Kaspersky tümleştirmesi hakkında bilgi edinin.
Darbeli
- Microsoft Sentinel ile Pulsedive tümleştirmesi hakkında bilgi edinin.
ReversingLabs
- Microsoft Sentinel ile ReversingLabs TAXII tümleştirmesi hakkında bilgi edinin.
Sectrio
- Sectrio tümleştirmesi hakkında daha fazla bilgi edinin.
- Sectrio'nun tehdit bilgileri akışını Microsoft Sentinel ile tümleştirmeye yönelik adım adım süreç hakkında bilgi edinin.
SEKOIA. IO
- SEKOIA hakkında bilgi edinin. Microsoft Sentinel ile GÇ tümleştirmesi.
ThreatConnect
- ThreatConnect'te STIX ve TAXII hakkında daha fazla bilgi edinin.
- ThreatConnect'te TAXII hizmetleri belgelerine bakın.
Tümleşik tehdit bilgileri platformu ürünleri
TIP akışlarına bağlanmak için bkz . Tehdit bilgileri platformlarını Microsoft Sentinel'e bağlama. Başka hangi bilgilerin gerekli olduğunu öğrenmek için aşağıdaki çözümlere bakın.
Agari Phishing Defense and Brand Protection
- Agari Kimlik Avı Savunması ve Marka Koruması'nı bağlamak için Microsoft Sentinel'deki yerleşik Agari veri bağlayıcısını kullanın.
Anomali ThreatStream
- ThreatStream Tümleştiricisi ve Uzantıları'nı ve ThreatStream zekasını Microsoft Graph Güvenlik API'sine bağlama yönergelerini indirmek için ThreatStream indirmeleri sayfasına bakın.
AT&T Siber Güvenlik'ten AlienVault Open Threat Exchange (OTX)
- AlienVault OTX'in Microsoft Sentinel'e bağlanmak için Azure Logic Apps'i (playbook'lar) nasıl kullandığını öğrenin. Tüm tekliflerden tam olarak yararlanmak için gerekli özel yönergelere bakın.
EclecticIQ Platformu
- EclecticIQ Platformu tehdit algılamayı, avcılığı ve yanıtı geliştirmek için Microsoft Sentinel ile tümleştirilir. Bu iki yönlü tümleştirmenin avantajları ve kullanım örnekleri hakkında daha fazla bilgi edinin.
GroupIB Tehdit Bilgileri ve İlişkilendirmesi
- GroupIB Tehdit Bilgileri ve İlişkilendirme'yi Microsoft Sentinel'e bağlamak için GroupIB, Logic Apps'i kullanır. Tüm tekliflerden tam olarak yararlanmak için gerekli olan özel yönergelere bakın.
MISP açık kaynak tehdit bilgileri platformu
- MISP2Sentinel ile Tehdit Bilgileri Yükleme Göstergeleri API'sini kullanarak tehdit göstergelerini MISP'ten Microsoft Sentinel'e gönderin.
- Bkz. Azure Market'da MISP2Sentinel.
- MISP Projesi hakkında daha fazla bilgi edinin.
Palo Alto Networks MineMeld
- Palo Alto MineMeld'i Microsoft Sentinel bağlantı bilgileriyle yapılandırmak için bkz. MineMeld kullanarak Microsoft Graph Güvenlik API'sine IOC gönderme. "MineMeld Yapılandırması" başlığına gidin.
Kayıtlı Gelecek güvenlik zekası platformu
- Kayıtlı Gelecek'in Microsoft Sentinel'e bağlanmak için Logic Apps'i (playbook'lar) nasıl kullandığını öğrenin. Tüm tekliflerden tam olarak yararlanmak için gerekli özel yönergelere bakın.
ThreatConnect Platformu
- ThreatConnect'i Microsoft Sentinel'e bağlama yönergeleri için bkz. Microsoft Graph Güvenlik Tehdit Göstergeleri Tümleştirme Yapılandırma Kılavuzu.
ThreatQuotient tehdit zekası platformu
- ThreatQuotient TIP'i Microsoft Sentinel'e bağlamaya yönelik destek bilgileri ve yönergeler için bkz. ThreatQ tümleştirmesi için Microsoft Sentinel Bağlayıcısı.
Olay zenginleştirme kaynakları
Tehdit göstergelerini içeri aktarmak için kullanılan tehdit bilgileri akışları, olaylarınızdaki bilgileri zenginleştirmek ve araştırmalarınıza daha fazla bağlam sağlamak için de bir kaynak görevi görebilir. Aşağıdaki akışlar bu amaca hizmet eder ve otomatik olay yanıtınızda kullanmak üzere Logic Apps playbook'ları sağlar. İçerik hub'ında bu zenginleştirme kaynaklarını bulun.
Çözümleri bulma ve yönetme hakkında daha fazla bilgi için bkz . Hazır içeriği bulma ve dağıtma.
HYAS Insight
- Microsoft Sentinel GitHub deposunda HYAS Insight için olay zenginleştirme playbook'larını bulun ve etkinleştirin. ile
Enrich-Sentinel-Incident-HYAS-Insight-başlayan alt klasörleri arayın. - HYAS Insight Logic Apps bağlayıcısı belgelerine bakın.
Microsoft Defender Tehdit Analizi
- Microsoft Sentinel GitHub deposunda Microsoft Defender Tehdit Analizi için olay zenginleştirme playbook'larını bulun ve etkinleştirin.
- Daha fazla bilgi için Defender Tehdit Bilgileri Teknoloji Topluluğu blog gönderisine bakın.
Kayıtlı Gelecek Güvenlik Zekası Platformu
- Microsoft Sentinel GitHub deposunda Kayıtlı Gelecek için olay zenginleştirme playbook'larını bulun ve etkinleştirin. ile
RecordedFuture_başlayan alt klasörleri arayın. - Kayıtlı Gelecek Logic Apps bağlayıcısı belgelerine bakın.
ReversingLabs TitaniumCloud
- Microsoft Sentinel GitHub deposunda ReversingLabs için olay zenginleştirme playbook'larını bulun ve etkinleştirin.
- ReversingLabs TitaniumCloud Logic Apps bağlayıcısı belgelerine bakın.
RiskIQ PassiveTotal
- Microsoft Sentinel GitHub deposunda RiskIQ Passive Total için olay zenginleştirme playbook'larını bulun ve etkinleştirin.
- RiskIQ playbook'larıyla çalışma hakkında daha fazla bilgi edinin.
- RiskIQ PassiveTotal Logic Apps bağlayıcısı belgelerine bakın.
VirusTotal
- Microsoft Sentinel GitHub deposunda VirusTotal için olay zenginleştirme playbook'larını bulun ve etkinleştirin. ile
Get-VTURLbaşlayan alt klasörleri arayın. - VirusTotal Logic Apps bağlayıcısı belgelerine bakın.
İlgili içerik
Bu makalede tehdit bilgileri sağlayıcınızı Microsoft Sentinel'e bağlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:
- Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
- Microsoft Sentinel ile tehditleri algılamaya başlayın.