Připojení platformy analýzy hrozeb do Microsoft Sentinelu

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Poznámka:

Tento datový konektor je na cestě k vyřazení. Další podrobnosti budou publikovány na přesné časové ose. Pro nová řešení můžete využít nový konektor api pro nahrání indikátorů analýzy hrozeb pro nová řešení. Další informace najdete v tématu Připojení platformě analýzy hrozeb do Microsoft Sentinelu s využitím rozhraní API pro indikátory nahrávání.

Mnoho organizací používá řešení platformy pro analýzu hrozeb (TIP) k agregaci informačních kanálů indikátorů hrozeb z různých zdrojů. Z agregovaného informačního kanálu se data kurátorují tak, aby platila pro řešení zabezpečení, jako jsou síťová zařízení, řešení EDR/XDR nebo SIEM, jako je Microsoft Sentinel. Datový konektor Platformy analýzy hrozeb umožňuje tato řešení použít k importu indikátorů hrozeb do Microsoft Sentinelu.

Vzhledem k tomu, že datový konektor TIP funguje s rozhraním MICROSOFT Graph Security TIIndicators API , můžete pomocí tohoto konektoru odesílat indikátory do Služby Microsoft Sentinel (a do jiných řešení zabezpečení Microsoftu, jako je XDR v programu Microsoft Defender), z jakékoli jiné vlastní platformy analýzy hrozeb, která s tímto rozhraním API můžou komunikovat.

Cesta importu analýzy hrozeb

Přečtěte si další informace o analýze hrozeb v Microsoft Sentinelu a konkrétně o produktech platformy analýzy hrozeb, které je možné integrovat s Microsoft Sentinelem.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

  • K instalaci, aktualizaci a odstranění samostatného obsahu nebo řešení v centru obsahu potřebujete roli Přispěvatel Služby Microsoft Sentinel na úrovni skupiny prostředků.
  • Abyste mohli udělit oprávnění k produktu TIP nebo jakékoli jiné vlastní aplikaci, která používá přímou integraci s rozhraním MICROSOFT Graph Security tiIndicators API, musíte mít role globálního správce nebo správce zabezpečení Microsoft Entra.
  • Abyste mohli ukládat indikátory hrozeb, musíte mít oprávnění ke čtení a zápisu do pracovního prostoru Microsoft Sentinelu.

Pokyny

Pomocí těchto kroků naimportujte indikátory hrozeb do Služby Microsoft Sentinel z integrovaného řešení TIP nebo vlastní analýzy hrozeb:

  1. Získání ID aplikace a tajného klíče klienta z vašeho ID Microsoft Entra
  2. Zadejte tyto informace do řešení TIP nebo vlastní aplikace.
  3. Povolení datového konektoru Platformy analýzy hrozeb v Microsoft Sentinelu

Registrace ID aplikace a tajného klíče klienta z vašeho ID Microsoft Entra

Ať už pracujete s TIPem nebo s vlastním řešením, rozhraní API tiIndicators vyžaduje některé základní informace, které vám umožní připojit informační kanál k němu a odeslat indikátory hrozeb. Jsou to tři informace, které potřebujete:

  • ID aplikace (klienta)
  • ID adresáře (klienta)
  • Tajný klíč klienta

Tyto informace můžete získat z VAŠEHO ID Microsoft Entra prostřednictvím procesu s názvem Registrace aplikace, který zahrnuje následující tři kroky:

  • Registrace aplikace pomocí Microsoft Entra ID
  • Zadejte oprávnění požadovaná aplikací pro připojení k rozhraní MICROSOFT Graph tiIndicators API a odesílání indikátorů hrozeb.
  • Získejte souhlas od vaší organizace, abyste těmto oprávněním udělili této aplikaci.

Registrace aplikace pomocí Microsoft Entra ID

  1. Na webu Azure Portal přejděte do služby Microsoft Entra ID .

  2. V nabídce vyberte Registrace aplikací a vyberte Nová registrace.

  3. Zvolte název registrace aplikace, vyberte přepínač Pro jednoho tenanta a vyberte Zaregistrovat.

    Registrace aplikace

  4. Z výsledné obrazovky zkopírujte hodnoty ID aplikace (klienta) a ID adresáře (tenanta). Toto jsou první dvě informace, které budete později potřebovat ke konfiguraci tipu nebo vlastního řešení pro odesílání indikátorů hrozeb do Microsoft Sentinelu. Třetí tajný klíč klienta se dodává později.

Zadejte oprávnění požadovaná aplikací.

  1. Vraťte se na hlavní stránku služby Microsoft Entra ID .

  2. V nabídce vyberte Registrace aplikací a vyberte nově zaregistrovanou aplikaci.

  3. V nabídce vyberte Oprávnění rozhraní API a vyberte tlačítko Přidat oprávnění .

  4. Na stránce Vybrat rozhraní API vyberte rozhraní Microsoft Graph API a pak vyberte ze seznamu oprávnění Microsoft Graphu.

  5. Na příkazovém řádku "Jaký typ oprávnění vaše aplikace vyžaduje?" vyberte Oprávnění aplikace. Toto je typ oprávnění používaných aplikacemi, které ověřují pomocí ID aplikace a tajných kódů aplikací (klíče rozhraní API).

  6. Vyberte ThreatIndicators.ReadWrite.OwnedBy a vyberte Přidat oprávnění pro přidání tohoto oprávnění do seznamu oprávnění vaší aplikace.

    Zadání oprávnění

  1. Pokud chcete získat souhlas, potřebujete globální Správa istrator Microsoftu Entra, abyste na stránce oprávnění rozhraní API vaší aplikace vybrali souhlas správce pro vašeho tenanta. Pokud ve svém účtu nemáte roli Globální Správa istrator, toto tlačítko nebude k dispozici a k provedení tohoto kroku budete muset požádat globálního Správa istratora z vaší organizace.

    Udělení souhlasu

  2. Po udělení souhlasu s vaší aplikací by se měla v části Stav zobrazit zelená značka zaškrtnutí.

Teď, když je vaše aplikace zaregistrovaná a máte udělená oprávnění, můžete získat poslední věc v seznamu – tajný klíč klienta pro vaši aplikaci.

  1. Vraťte se na hlavní stránku služby Microsoft Entra ID .

  2. V nabídce vyberte Registrace aplikací a vyberte nově zaregistrovanou aplikaci.

  3. V nabídce vyberte Certifikáty a tajné kódy a výběrem tlačítka Nový tajný kód klienta obdržíte tajný klíč (klíč rozhraní API) pro vaši aplikaci.

    Získání tajného klíče klienta

  4. Vyberte tlačítko Přidat a zkopírujte tajný klíč klienta.

    Důležité

    Před opuštěním této obrazovky musíte zkopírovat tajný klíč klienta. Tento tajný kód nelze znovu načíst, pokud přejdete mimo tuto stránku. Tuto hodnotu budete potřebovat při konfiguraci tipu nebo vlastního řešení.

Zadejte tyto informace do řešení TIP nebo vlastní aplikace.

Teď máte všechny tři informace, které potřebujete ke konfiguraci tipu nebo vlastního řešení pro odesílání indikátorů hrozeb do Microsoft Sentinelu.

  • ID aplikace (klienta)
  • ID adresáře (klienta)
  • Tajný klíč klienta

  1. Zadejte tyto hodnoty do konfigurace integrovaného tipu nebo vlastního řešení tam, kde je to potřeba.

  2. Pro cílový produkt zadejte Azure Sentinel. (Zadání "Microsoft Sentinel" způsobí chybu.)

  3. Pro akci zadejte výstrahu.

Po dokončení této konfigurace se indikátory hrozeb posílají z tipu nebo vlastního řešení prostřednictvím rozhraní MICROSOFT Graph tiIndicators API cíleného na Microsoft Sentinel.

Povolení datového konektoru Platformy analýzy hrozeb v Microsoft Sentinelu

Posledním krokem v procesu integrace je povolení datového konektoru Platformy analýzy hrozeb v Microsoft Sentinelu. Povolení konektoru umožňuje službě Microsoft Sentinel přijímat indikátory hrozeb odesílané z tipu nebo vlastního řešení. Tyto indikátory budou dostupné pro všechny pracovní prostory Služby Microsoft Sentinel pro vaši organizaci. Pokud chcete pro každý pracovní prostor povolit datový konektor Platformy analýzy hrozeb, postupujte takto:

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa obsahu vyberte Centrum obsahu.
    Pro Microsoft Sentinel na portálu Defender vyberte centrum obsahu pro správu>obsahu služby Microsoft Sentinel>.

  2. Vyhledejte a vyberte řešení Analýzy hrozeb .

  3. Vyberte tlačítko Instalovat/Aktualizovat.

Další informace o správě komponent řešení najdete v tématu Zjišťování a nasazení obsahu před nasazením.

  1. Chcete-li nakonfigurovat datový konektor TIP, vyberte konektory konfiguračních>dat.

  2. Najděte a vyberte tlačítko Otevřít konektor Pro datové konektory >Platformy hrozeb.

    Snímek obrazovky zobrazující stránku datových konektorů se zobrazeným datovým konektorem TIP

  3. Když jste už dokončili registraci aplikace a nakonfigurovali tip nebo vlastní řešení pro odesílání indikátorů hrozeb, jediným krokem vlevo je vybrat tlačítko Připojení.

Během několika minut by se indikátory hrozeb měly začít spouštět do tohoto pracovního prostoru Služby Microsoft Sentinel. Nové indikátory najdete v okně Analýza hrozeb, které jsou přístupné z navigační nabídky Microsoft Sentinelu.

Související obsah

V tomto dokumentu jste zjistili, jak připojit platformu analýzy hrozeb k Microsoft Sentinelu. Další informace o Službě Microsoft Sentinel najdete v následujících článcích.