Sdílet prostřednictvím

Připojení platformy analýzy hrozeb k Microsoft Sentinelu pomocí rozhraní API indikátorů nahrávání

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Mnoho organizací používá řešení platformy pro analýzu hrozeb (TIP) k agregaci informačních kanálů indikátorů hrozeb z různých zdrojů. Z agregovaného informačního kanálu se data kurátorují tak, aby platila pro řešení zabezpečení, jako jsou síťová zařízení, řešení EDR/XDR nebo SIEM, jako je Microsoft Sentinel. Rozhraní API indikátorů nahrávání analýzy hrozeb umožňuje tato řešení použít k importu indikátorů hrozeb do Služby Microsoft Sentinel. Rozhraní API pro nahrání indikátorů analýzy hrozeb ingestuje indikátory analýzy hrozeb do Služby Microsoft Sentinel bez nutnosti datového konektoru. Datový konektor zrcadlí jenom pokyny pro připojení ke koncovému bodu rozhraní API podrobně popsanému v tomto článku a doplňkové referenční informace k rozhraní API pro nahrání v Microsoft Sentinelu.

Cesta importu analýzy hrozeb

Další informace o analýze hrozeb najdete v tématu Analýza hrozeb.

Důležité

Rozhraní API pro nahrání analýzy hrozeb v Microsoft Sentinelu je ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Viz také: Připojení Microsoft Sentinelu k informačním kanálům ANALÝZY hrozeb STIX/TAXII

Požadavky

  • K instalaci, aktualizaci a odstranění samostatného obsahu nebo řešení v centru obsahu potřebujete roli Přispěvatel Služby Microsoft Sentinel na úrovni skupiny prostředků. Mějte na paměti, že pro použití koncového bodu rozhraní API nemusíte instalovat datový konektor.
  • Abyste mohli ukládat indikátory hrozeb, musíte mít oprávnění ke čtení a zápisu do pracovního prostoru Microsoft Sentinelu.
  • Musíte být schopni zaregistrovat aplikaci Microsoft Entra.
  • Aplikaci Microsoft Entra musí být udělena role přispěvatele Microsoft Sentinelu na úrovni pracovního prostoru.

Pokyny

Pomocí těchto kroků naimportujte indikátory hrozeb do Služby Microsoft Sentinel z integrovaného řešení TIP nebo vlastní analýzy hrozeb:

  1. Zaregistrujte aplikaci Microsoft Entra a poznamenejte si JEJÍ ID aplikace.
  2. Vygenerujte a zaznamenejte tajný klíč klienta pro vaši aplikaci Microsoft Entra.
  3. Přiřaďte aplikaci Microsoft Entra roli přispěvatele Microsoft Sentinelu nebo ekvivalentní roli.
  4. Nakonfigurujte řešení TIP nebo vlastní aplikaci.

Registrace aplikace Microsoft Entra

Výchozí oprávnění role uživatele umožňují uživatelům vytvářet registrace aplikací. Pokud jste toto nastavení přepnuli na Ne, budete potřebovat oprávnění ke správě aplikací v Microsoft Entra ID. Mezi následující role Microsoft Entra patří požadovaná oprávnění:

  • Správce aplikace
  • Vývojář aplikace
  • Správce cloudové aplikace

Další informace o registraci aplikace Microsoft Entra naleznete v tématu Registrace aplikace.

Jakmile aplikaci zaregistrujete, poznamenejte si její ID aplikace (klienta) na kartě Přehled aplikace.

Generování a záznam tajného klíče klienta

Teď, když je vaše aplikace zaregistrovaná, vygenerujte a zaznamenejte tajný klíč klienta.

Snímek obrazovky zobrazující generování tajných kódů klienta

Další informace o generování tajného klíče klienta najdete v tématu Přidání tajného klíče klienta.

Přiřazení role k aplikaci

Rozhraní API pro nahrání indikátorů hrozeb ingestuje indikátory hrozeb na úrovni pracovního prostoru a umožňuje roli přispěvatele Microsoft Sentinelu s nejnižšími oprávněními.

  1. Na webu Azure Portal přejděte do pracovních prostorů služby Log Analytics.

  2. Vyberte Řízení přístupu (IAM) .

  3. Vyberte Přidat>Přidat přiřazení role.

  4. Na kartě Role vyberte roli >Přispěvatel Microsoft Sentinelu Další.

  5. Na kartě Členové vyberte Přiřadit přístup k>uživateli, skupině nebo instančnímu objektu.

  6. Vyberte členy. Ve výchozím nastavení se aplikace Microsoft Entra nezobrazují v dostupných možnostech. Pokud chcete aplikaci najít, vyhledejte ji podle názvu. Snímek obrazovky znázorňující roli přispěvatele Microsoft Sentinelu přiřazenou k aplikaci na úrovni pracovního prostoru

  7. Vyberte>Zkontrolovat a přiřadit.

Další informace o přiřazování rolí k aplikacím najdete v tématu Přiřazení role k aplikaci.

Instalace konektoru api pro nahrání indikátorů analýzy hrozeb v Microsoft Sentinelu (volitelné)

Nainstalujte datový konektor rozhraní API pro nahrání indikátorů analýzy hrozeb a podívejte se na pokyny k připojení rozhraní API z pracovního prostoru Služby Microsoft Sentinel.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa obsahu vyberte Centrum obsahu.
    Pro Microsoft Sentinel na portálu Defender vyberte centrum obsahu pro správu>obsahu služby Microsoft Sentinel>.

  2. Vyhledejte a vyberte řešení Analýzy hrozeb .

  3. Vyberte tlačítko Instalovat/Aktualizovat.

Další informace o správě komponent řešení najdete v tématu Zjišťování a nasazení obsahu před nasazením.

  1. Datový konektor je teď viditelný v konektorech konfiguračních>dat. Na stránce datového konektoru najdete další informace o konfiguraci aplikace pomocí tohoto rozhraní API.

    Snímek obrazovky zobrazující stránku datových konektorů s nahráním datového konektoru rozhraní API

Konfigurace řešení TIP nebo vlastní aplikace

Rozhraní API pro indikátory nahrávání vyžaduje následující informace o konfiguraci:

  • ID aplikace (klienta)
  • Tajný klíč klienta
  • ID pracovního prostoru Služby Microsoft Sentinel

Zadejte tyto hodnoty do konfigurace integrovaného tipu nebo vlastního řešení tam, kde je to potřeba.

  1. Odešlete indikátory do rozhraní API pro nahrání služby Microsoft Sentinel. Další informace o rozhraní API indikátorů nahrávání najdete v referenčním dokumentu k rozhraní API indikátorů nahrávání služby Microsoft Sentinel.

  2. Během několika minut by se indikátory hrozeb měly začít spouštět do pracovního prostoru Služby Microsoft Sentinel. Najděte nové indikátory v okně Analýza hrozeb, které jsou přístupné z navigační nabídky Microsoft Sentinelu.

  3. Stav datového konektoru odráží stav Připojeno a po úspěšném odeslání indikátorů se graf přijatých dat aktualizuje.

    Snímek obrazovky znázorňující datový konektor rozhraní API pro nahrání indikátorů v připojeném stavu

Související obsah

V tomto dokumentu jste zjistili, jak připojit platformu analýzy hrozeb k Microsoft Sentinelu. Další informace o používání indikátorů hrozeb v Microsoft Sentinelu najdete v následujících článcích.