[KB8314] ESET Threat Intelligence mit MS Azure Sentinel

HINWEIS:

Diese Seite wurde von einem Computer übersetzt. Klicken Sie auf Englisch unter Sprachen auf dieser Seite, um den Originaltext anzuzeigen. Sollten Sie etwas unklar finden, wenden Sie sich bitte an Ihren lokalen Support.

Problem

  • Importieren von ESET Threat Intelligence-Bedrohungsindikatoren vom TAXII-Server in Microsoft Azure Sentinel

Lösung

Bevor Sie fortfahren

Sehen Sie sich die verfügbaren TAXII-Feeds an, einschließlich der TAXII-Server-URL und der TAXII-Sammel-ID.

Um Ihre TAXII-Zugangsdaten, Ihren Benutzernamen oder Ihr Kennwort zu finden, lesen Sie, wie Sie einen TAXII-Feed aktivieren.

  1. Melden Sie sich beim Microsoft Azure-Portal an und navigieren Sie zum Microsoft Sentinel-Dienst.

    Abbildung 1-1
  2. Öffnen Sie den Arbeitsbereich, in den Sie Bedrohungsindikatoren vom TAXII-Server importieren möchten.

    Abbildung 1-2
  3. Klicken Sie auf Datenkonnektoren, wählen Sie Threat Intelligence - TAXII, und klicken Sie auf Konnektorseite öffnen.

    Abbildung 1-3
  4. Füllen Sie die unten beschriebene TAXII-Konfiguration aus, und klicken Sie auf Hinzufügen, um Ihren TAXII-Server zu konfigurieren:

    • Name: Name des Feeds (z. B. ETI_Botnet_feed)
    • API-Stamm-URL: Kopieren Sie die URL des API-Stammverzeichnisses von ESET Threat Intelligence TAXII 2.x (z. B. https://taxii. eset.com/taxii2/643f4eb5-f8b7-46a3-a606-6d61d5ce223a)
    • Sammlungs-ID: Kopieren Sie Ihre TAXII-Sammlungs-ID (z. B. 0abb06690b0b47e49cd7794396b76b20)
    • Benutzername und Passwort: Um Ihre Zugangsdaten zu erhalten, aktivieren Sie einen TAXII-Feed
    • Wählen Sie die Gruppe der Indikatoren aus dem Dropdown-Menü Indikatoren importieren und die Abfragefrequenz aus dem Dropdown-Menü Abfragefrequenz

    Abbildung 1-4