Připojení platformy analýzy hrozeb k Microsoft Sentinel

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Poznámka

Tento datový konektor bude zastaralý a v červnu 2026 přestane shromažďovat data. Doporučujeme co nejdříve přejít na nový datový konektor rozhraní API pro nahrávání indikátorů hrozeb, aby se zajistilo nepřerušované shromažďování dat. Další informace najdete v tématu Připojení platformy analýzy hrozeb k Microsoft Sentinel pomocí rozhraní API pro nahrávání.

Mnoho organizací používá řešení platformy pro analýzu hrozeb (TIP) k agregaci informačních kanálů indikátorů hrozeb z různých zdrojů. V agregovaném informačním kanálu jsou data kurátorována tak, aby se použila pro řešení zabezpečení, jako jsou síťová zařízení, řešení EDR/XDR nebo řešení pro správu informací o zabezpečení a událostí (SIEM), jako jsou Microsoft Sentinel. Pomocí datového konektoru TIP můžete pomocí těchto řešení importovat indikátory hrozeb do Microsoft Sentinel.

Vzhledem k tomu, že datový konektor TIP spolupracuje s rozhraním Microsoft Graph Security tiIndicators API, můžete ho použít k odesílání indikátorů do Microsoft Sentinel (a do dalších řešení zabezpečení od Microsoftu, jako je Defender XDR) z jakéhokoli jiného vlastního tipu, který může s tímto rozhraním API komunikovat.

Snímek obrazovky znázorňující cestu importu analýzy hrozeb

Poznámka

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinel v tématu Dostupnost cloudových funkcí pro zákazníky státní správy USA.

Přečtěte si další informace o analýze hrozeb v Microsoft Sentinel a konkrétně o produktech TIP, které můžete integrovat s Microsoft Sentinel.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

  • K instalaci, aktualizaci a odstranění samostatného obsahu nebo řešení v centru Obsah potřebujete roli přispěvatele Microsoft Sentinel na úrovni skupiny prostředků.
  • Pokud chcete udělit oprávnění produktu TIP nebo jakékoli jiné vlastní aplikaci, která používá přímou integraci s rozhraním Microsoft Graph TI Indicators API, musíte mít roli správce zabezpečení Microsoft Entra nebo ekvivalentní oprávnění.
  • Pokud chcete ukládat indikátory hrozeb, musíte mít oprávnění ke čtení a zápisu do pracovního prostoru Microsoft Sentinel.

Pokyny

Pokud chcete importovat indikátory hrozeb do Microsoft Sentinel z integrovaného řešení TIP nebo vlastní analýzy hrozeb, postupujte takto:

  1. Získejte ID aplikace a tajný klíč klienta z Microsoft Entra ID.
  2. Zadejte tyto informace do řešení TIP nebo do vlastní aplikace.
  3. Povolte datový konektor TIP v Microsoft Sentinel.

Registrace ID aplikace a tajného klíče klienta z Microsoft Entra ID

Ať už pracujete s tipem nebo vlastním řešením, rozhraní API tiIndicators vyžaduje některé základní informace, které vám umožní připojit se k němu informační kanál a odesílat mu indikátory hrozeb. Potřebujete tři informace:

  • ID aplikace (klienta)
  • ID adresáře (tenanta)
  • Tajný kód klienta

Tyto informace můžete získat z Microsoft Entra ID prostřednictvím registrace aplikace, která zahrnuje následující tři kroky:

  • Zaregistrujte aplikaci pomocí Microsoft Entra ID.
  • Zadejte oprávnění vyžadovaná aplikací pro připojení k rozhraní Microsoft Graph tiIndicators API a odesílání indikátorů hrozeb.
  • Získejte souhlas vaší organizace s udělením těchto oprávnění této aplikaci.

Registrace aplikace pomocí Microsoft Entra ID

  1. V Azure Portal přejděte na Microsoft Entra ID.

  2. V nabídce vyberte Registrace aplikací a pak vyberte Nová registrace.

  3. Zvolte název registrace aplikace, vyberte Jeden tenant a pak vyberte Zaregistrovat.

    Snímek obrazovky znázorňující registraci aplikace

  4. Na obrazovce, která se otevře, zkopírujte hodnoty ID aplikace (klienta) a ID adresáře (tenanta). Tyto dvě informace budete potřebovat později ke konfiguraci tipu nebo vlastního řešení pro odesílání indikátorů hrozeb do Microsoft Sentinel. Třetí informace, které potřebujete, tajný klíč klienta, přijde později.

Zadejte oprávnění vyžadovaná aplikací.

  1. Zpět na hlavní stránku Microsoft Entra ID.

  2. V nabídce vyberte Registrace aplikací a pak vyberte nově zaregistrovanou aplikaci.

  3. V nabídce vyberte Oprávnění >rozhraní APIPřidat oprávnění.

  4. Na stránce Vybrat rozhraní API vyberte rozhraní Microsoft Graph API. Pak vyberte ze seznamu oprávnění Microsoft Graphu.

  5. Na příkazovém řádku Jaký typ oprávnění vaše aplikace vyžaduje? vyberte Oprávnění aplikace. Toto oprávnění používají aplikace, které se ověřují pomocí ID aplikace a tajných kódů aplikací (klíče rozhraní API).

  6. Vyberte ThreatIndicators.ReadWrite.OwnedBy a pak vyberte Přidat oprávnění a přidejte toto oprávnění do seznamu oprávnění vaší aplikace.

    Snímek obrazovky znázorňující zadání oprávnění

  1. K udělení souhlasu se vyžaduje privilegovaná role. Další informace najdete v tématu Udělení souhlasu správce aplikace v rámci celého tenanta.

    Snímek obrazovky znázorňující udělení souhlasu

  2. Po udělení souhlasu s vaší aplikací by se v části Stav měla zobrazit zelená značka zaškrtnutí.

Po registraci aplikace a udělení oprávnění musíte získat tajný klíč klienta pro vaši aplikaci.

  1. Zpět na hlavní stránku Microsoft Entra ID.

  2. V nabídce vyberte Registrace aplikací a pak vyberte nově zaregistrovanou aplikaci.

  3. V nabídce vyberte Certifikáty & tajných kódů. Pak vyberte Nový tajný klíč klienta a získejte tajný kód (klíč rozhraní API) pro vaši aplikaci.

    Snímek obrazovky znázorňující získání tajného klíče klienta

  4. Vyberte Přidat a pak zkopírujte tajný klíč klienta.

    Důležité

    Před opuštěním této obrazovky musíte zkopírovat tajný klíč klienta. Pokud z této stránky odejdete, nebudete moct tento tajný kód znovu načíst. Tuto hodnotu potřebujete při konfiguraci tipu nebo vlastního řešení.

Zadejte tyto informace do řešení TIP nebo do vlastní aplikace.

Teď máte všechny tři informace, které potřebujete ke konfiguraci tipu nebo vlastního řešení pro odesílání indikátorů hrozeb do Microsoft Sentinel:

  • ID aplikace (klienta)
  • ID adresáře (tenanta)
  • Tajný kód klienta

V případě potřeby zadejte tyto hodnoty do konfigurace integrovaného tipu nebo vlastního řešení.

  1. Pro cílový produkt zadejte Azure Sentinel. (Zadání Microsoft Sentinel způsobí chybu.)

  2. Jako akci zadejte výstrahu.

Po dokončení konfigurace se indikátory hrozeb odesílají z vašeho tipu nebo vlastního řešení prostřednictvím rozhraní Microsoft Graph TiIndicators API zaměřeného na Microsoft Sentinel.

Povolení datového konektoru TIP v Microsoft Sentinel

Posledním krokem v procesu integrace je povolení datového konektoru TIP v Microsoft Sentinel. Povolení konektoru umožňuje Microsoft Sentinel přijímat indikátory hrozeb odeslané z tipu nebo vlastního řešení. Tyto indikátory jsou dostupné pro všechny Microsoft Sentinel pracovní prostory vaší organizace. Chcete-li povolit datový konektor TIP pro každý pracovní prostor, postupujte takto:

  1. Pro Microsoft Sentinel v Azure Portal v části Správa obsahu vyberte Centrum obsahu.
    Pokud chcete Microsoft Sentinel na portálu Defender, vyberte Microsoft Sentinel>Správa> obsahu.

  2. Vyhledejte a vyberte řešení analýzy hrozeb .

  3. Vyberte tlačítko Nainstalovat/aktualizovat.

    Další informace o tom, jak spravovat komponenty řešení, najdete v tématu Zjišťování a nasazení obsahu.

  4. Pokud chcete nakonfigurovat datový konektor TIP, vyberte Konektory konfiguračních>dat.

  5. Vyhledejte a vyberte datový konektor Platformy analýzy hrozeb – ZASTARALÁ A pak vyberte stránku Otevřít konektor.

  6. Vzhledem k tomu, že jste už dokončili registraci aplikace a nakonfigurovali tip nebo vlastní řešení tak, aby odesílaly indikátory hrozeb, stačí vybrat Připojit.

Během několika minut by do tohoto Microsoft Sentinel pracovního prostoru měly začít proudit indikátory hrozeb. Nové indikátory najdete v podokně Analýza hrozeb, ke kterému se dostanete z nabídky Microsoft Sentinel.

Související obsah

V tomto článku jste zjistili, jak připojit tip k Microsoft Sentinel pomocí metody na cestě k vyřazení. Informace o připojení tipu pomocí doporučené metody najdete v tématu Připojení tipu pomocí rozhraní API pro nahrávání.

  • Last updated on