將 Microsoft Sentinel 連線至 STIX/TAXII 威脅情報摘要

用於傳輸威脅情報的最廣泛採用業界標準是 STIX 資料格式和 TAXII 通訊協定的組合。 如果組織從支援目前 STIX/TAXII 版本 (2.0 或 2.1) 的解決方案收到威脅指標，您可使用威脅情報 - TAXII 資料連接器將威脅指標帶入 Microsoft Sentinel。 此連接器可讓 Microsoft Sentinel 中的內建 TAXII 用戶端從 TAXII 2.x 伺服器匯入威脅情報。

若要將 STIX 格式的威脅指標從 TAXII 伺服器匯入至 Microsoft Sentinel，您必須取得 TAXII 伺服器 API 根目錄和集合識別碼。 然後，您可在 Microsoft Sentinel 中啟用威脅情報 - TAXII 資料連接器。

深入了解 Microsoft Sentinel 中的威脅情報，特別是您可以與 Microsoft Sentinel 整合的 TAXII 威脅情報摘要。

如需詳細資訊，請參閱將威脅情報平台 (TIP) 連線至 Microsoft Sentinel。

必要條件

• 若要在內容中樞安裝、更新及刪除獨立內容或解決方案，您需要資源群組層級的 Microsoft Sentinel 參與者角色。
• 您必須擁有 Microsoft Sentinel 工作區的讀取和寫入權限，才能儲存威脅指標。
• 您必須有 TAXII 2.0 或 TAXII 2.1 API 根目錄 URI 和集合識別碼。

取得 TAXII 伺服器 API 根目錄和集合識別碼

TAXII 2.x 伺服器會通告 API 根目錄，也就是裝載威脅情報集合的 URL。 您通常可以在裝載 TAXII 伺服器的威脅情報提供者的文件頁面中找到 API 根目錄和集合識別碼。

在 Microsoft Sentinel 中安裝威脅情報解決方案

若要將來自 TAXII 伺服器的威脅指標匯入 Microsoft Sentinel，請遵循這些步驟：

1. 對於 Azure 入口網站 中的 Microsoft Sentinel，在 [內容管理] 下方，選取 [內容中樞]。

   針對 Defender 入口網站 中的 Microsoft Sentinel，選取 [Microsoft Sentinel]>[内容管理]>[內容中樞]。

2. 尋找並選取 [威脅情報] 解決方案。

3. 選取 [安裝/更新] 按鈕。

如需如何管理解決方案元件的詳細資訊，請參閱探索及部署現成可用的內容 (部分機器翻譯)。

啟用威脅情報 - TAXII 資料連接器

1. 若要設定 TAXII 資料連接器，請選取 [資料連接器] 功能表。

2. 尋找並選取 [威脅情報 - TAXII] 資料連接器，然後選取 [開啟連接器頁面]。

   

3. 在 [易記名稱] 文字輸入框中，輸入此 TAXII 伺服器集合的名稱。 填寫 [API 根目錄 URL]、[集合識別碼]、[使用者名稱] (若必要) 及 [密碼] (若必要) 的文字輸入框。 選擇您想要的指標群組和輪詢頻率。 選取 [新增]。

   

您應該會收到與 TAXII 伺服器的連線已成功建立的確認訊息。 根據您想要從一或多台 TAXII 伺服器連線到多個集合的次數，重複最後一個步驟。

在幾分鐘內，威脅指標應該就會開始流入此 Microsoft Sentinel 工作區。 在 [威脅情報] 窗格上尋找新的指標。 您可以從 Microsoft Sentinel 功能表存取它。

Microsoft Sentinel TAXII 用戶端的 IP 允許清單

某些 TAXII 伺服器，例如 FS-ISAC，會要求必須在允許清單上保留 Microsoft Sentinel TAXII 用戶端的 IP 位址。 大部分 TAXII 伺服器都沒有此要求。

若相關，以下 IP 位址是要包含在您的允許清單中的位址：

相關內容

在本文件中，您已了解如何使用 TAXII 通訊協定將 Microsoft Sentinel 連線至威脅情報摘要。 若要深入了解 Microsoft Sentinel，請參閱下列文章：

• 學習如何洞察資料及潛在威脅。
• 開始 使用 Microsoft Sentinel 來偵測威脅。