Připojení platformy analýzy hrozeb k Microsoft Sentinelu pomocí rozhraní API indikátorů nahrávání
Mnoho organizací používá řešení platformy pro analýzu hrozeb (TIP) k agregaci informačních kanálů indikátorů hrozeb z různých zdrojů. Z agregovaného informačního kanálu se data kurátorují tak, aby platila pro řešení zabezpečení, jako jsou síťová zařízení, řešení EDR/XDR nebo SIEM, jako je Microsoft Sentinel. Rozhraní API indikátorů nahrávání analýzy hrozeb umožňuje tato řešení použít k importu indikátorů hrozeb do Služby Microsoft Sentinel. Rozhraní API pro nahrání indikátorů analýzy hrozeb ingestuje indikátory analýzy hrozeb do Služby Microsoft Sentinel bez nutnosti datového konektoru. Datový konektor zrcadlí jenom pokyny pro připojení ke koncovému bodu rozhraní API podrobně popsanému v tomto článku a doplňkové referenční informace k rozhraní API pro nahrání v Microsoft Sentinelu.
Další informace o analýze hrozeb najdete v tématu Analýza hrozeb.
Důležité
Rozhraní API pro nahrání analýzy hrozeb v Microsoft Sentinelu je ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.
Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Poznámka:
Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.
Viz také: Připojení Microsoft Sentinelu k informačním kanálům ANALÝZY hrozeb STIX/TAXII
Požadavky
- K instalaci, aktualizaci a odstranění samostatného obsahu nebo řešení v centru obsahu potřebujete roli Přispěvatel Služby Microsoft Sentinel na úrovni skupiny prostředků. Mějte na paměti, že pro použití koncového bodu rozhraní API nemusíte instalovat datový konektor.
- Abyste mohli ukládat indikátory hrozeb, musíte mít oprávnění ke čtení a zápisu do pracovního prostoru Microsoft Sentinelu.
- Musíte být schopni zaregistrovat aplikaci Microsoft Entra.
- Aplikaci Microsoft Entra musí být udělena role přispěvatele Microsoft Sentinelu na úrovni pracovního prostoru.
Pokyny
Pomocí těchto kroků naimportujte indikátory hrozeb do Služby Microsoft Sentinel z integrovaného řešení TIP nebo vlastní analýzy hrozeb:
- Zaregistrujte aplikaci Microsoft Entra a poznamenejte si JEJÍ ID aplikace.
- Vygenerujte a zaznamenejte tajný klíč klienta pro vaši aplikaci Microsoft Entra.
- Přiřaďte aplikaci Microsoft Entra roli přispěvatele Microsoft Sentinelu nebo ekvivalentní roli.
- Nakonfigurujte řešení TIP nebo vlastní aplikaci.
Registrace aplikace Microsoft Entra
Výchozí oprávnění role uživatele umožňují uživatelům vytvářet registrace aplikací. Pokud jste toto nastavení přepnuli na Ne, budete potřebovat oprávnění ke správě aplikací v Microsoft Entra ID. Mezi následující role Microsoft Entra patří požadovaná oprávnění:
- Správce aplikace
- Vývojář aplikace
- Správce cloudové aplikace
Další informace o registraci aplikace Microsoft Entra naleznete v tématu Registrace aplikace.
Jakmile aplikaci zaregistrujete, poznamenejte si její ID aplikace (klienta) na kartě Přehled aplikace.
Generování a záznam tajného klíče klienta
Teď, když je vaše aplikace zaregistrovaná, vygenerujte a zaznamenejte tajný klíč klienta.
Další informace o generování tajného klíče klienta najdete v tématu Přidání tajného klíče klienta.
Přiřazení role k aplikaci
Rozhraní API pro nahrání indikátorů hrozeb ingestuje indikátory hrozeb na úrovni pracovního prostoru a umožňuje roli přispěvatele Microsoft Sentinelu s nejnižšími oprávněními.
Na webu Azure Portal přejděte do pracovních prostorů služby Log Analytics.
Vyberte Řízení přístupu (IAM) .
Vyberte Přidat>Přidat přiřazení role.
Na kartě Role vyberte roli >Přispěvatel Microsoft Sentinelu Další.
Na kartě Členové vyberte Přiřadit přístup k>uživateli, skupině nebo instančnímu objektu.
Vyberte členy. Ve výchozím nastavení se aplikace Microsoft Entra nezobrazují v dostupných možnostech. Pokud chcete aplikaci najít, vyhledejte ji podle názvu.
Vyberte>Zkontrolovat a přiřadit.
Další informace o přiřazování rolí k aplikacím najdete v tématu Přiřazení role k aplikaci.
Instalace konektoru api pro nahrání indikátorů analýzy hrozeb v Microsoft Sentinelu (volitelné)
Nainstalujte datový konektor rozhraní API pro nahrání indikátorů analýzy hrozeb a podívejte se na pokyny k připojení rozhraní API z pracovního prostoru Služby Microsoft Sentinel.
Pro Microsoft Sentinel na webu Azure Portal v části Správa obsahu vyberte Centrum obsahu.
Pro Microsoft Sentinel na portálu Defender vyberte centrum obsahu pro správu>obsahu služby Microsoft Sentinel>.Vyhledejte a vyberte řešení Analýzy hrozeb .
Vyberte tlačítko Instalovat/Aktualizovat.
Další informace o správě komponent řešení najdete v tématu Zjišťování a nasazení obsahu před nasazením.
Datový konektor je teď viditelný v konektorech konfiguračních>dat. Na stránce datového konektoru najdete další informace o konfiguraci aplikace pomocí tohoto rozhraní API.
Konfigurace řešení TIP nebo vlastní aplikace
Rozhraní API pro indikátory nahrávání vyžaduje následující informace o konfiguraci:
- ID aplikace (klienta)
- Tajný klíč klienta
- ID pracovního prostoru Služby Microsoft Sentinel
Zadejte tyto hodnoty do konfigurace integrovaného tipu nebo vlastního řešení tam, kde je to potřeba.
Odešlete indikátory do rozhraní API pro nahrání služby Microsoft Sentinel. Další informace o rozhraní API indikátorů nahrávání najdete v referenčním dokumentu k rozhraní API indikátorů nahrávání služby Microsoft Sentinel.
Během několika minut by se indikátory hrozeb měly začít spouštět do pracovního prostoru Služby Microsoft Sentinel. Najděte nové indikátory v okně Analýza hrozeb, které jsou přístupné z navigační nabídky Microsoft Sentinelu.
Stav datového konektoru odráží stav Připojeno a po úspěšném odeslání indikátorů se graf přijatých dat aktualizuje.
Související obsah
V tomto dokumentu jste zjistili, jak připojit platformu analýzy hrozeb k Microsoft Sentinelu. Další informace o používání indikátorů hrozeb v Microsoft Sentinelu najdete v následujících článcích.
- Vysvětlení analýzy hrozeb
- Práce s indikátory hrozeb v celém prostředí Microsoft Sentinelu
- Začněte zjišťovat hrozby pomocí integrovaných nebo vlastních analytických pravidel v Microsoft Sentinelu.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro