Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Viele Organisationen verwenden TIP-Lösungen (Threat Intelligence Platform), um Threat Intelligence-Feeds aus verschiedenen Quellen zu aggregieren. Aus dem aggregierten Feed werden die Daten für Sicherheitslösungen wie Netzwerkgeräte, EDR/XDR-Lösungen oder SIEM-Lösungen (Security Information and Event Management) wie Microsoft Sentinel zusammengestellt. Der Branchenstandard für die Beschreibung von Cyberbedrohungsinformationen heißt "Structured Threat Information Expression" oder STIX. Durch die Verwendung der Upload-API, die STIX-Objekte unterstützt, verwenden Sie eine ausdrucksstärkere Möglichkeit, Threat Intelligence in Microsoft Sentinel zu importieren.
Die Upload-API erfasst Threat Intelligence in Microsoft Sentinel, ohne dass ein Datenconnector erforderlich ist. In diesem Artikel wird beschrieben, was Sie zum Herstellen einer Verbindung benötigen. Weitere Informationen zu den API-Details finden Sie im Referenzdokument Microsoft Sentinel Upload-API.
Weitere Informationen zu Threat Intelligence finden Sie unter Threat Intelligence.
Wichtig
Die Microsoft Sentinel Threat Intelligence-Upload-API befindet sich in der Vorschauphase. Unter Ergänzende Nutzungsbedingungen für Microsoft Azure Previews finden Sie weitere rechtliche Bestimmungen, die für Azure Features gelten, die sich in beta, in der Vorschau oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch integriert und an das Defender-Portal umgeleitet.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen. Weitere Informationen finden Sie unter It's Time to Move: Reaktivierung Microsoft Sentinel Azure-Portal für mehr Sicherheit.
Hinweis
Informationen zur Featureverfügbarkeit in Clouds für US-Behörden finden Sie unter Microsoft Sentinel Tabellen unter Verfügbarkeit von Cloudfeatures für US Government-Kunden.
Voraussetzungen
- Sie müssen über Lese- und Schreibberechtigungen für den Microsoft Sentinel Arbeitsbereich verfügen, um Ihre Threat Intelligence-STIX-Objekte speichern zu können.
- Sie müssen in der Lage sein, eine Microsoft Entra Anwendung zu registrieren.
- Ihrer Microsoft Entra-Anwendung muss die Rolle Microsoft Sentinel Mitwirkender auf Arbeitsbereichsebene zugewiesen werden.
Anweisungen
Führen Sie die folgenden Schritte aus, um THREAT INTELLIGENCE-STIX-Objekte aus Ihrer integrierten TIP- oder benutzerdefinierten Threat Intelligence-Lösung in Microsoft Sentinel zu importieren:
- Registrieren Sie eine Microsoft Entra Anwendung, und notieren Sie dann ihre Anwendungs-ID.
- Generieren und aufzeichnen Sie einen geheimen Clientschlüssel für Ihre Microsoft Entra Anwendung.
- Weisen Sie Ihrer Microsoft Entra Anwendung die Rolle Microsoft Sentinel Mitwirkender oder eine entsprechende Rolle zu.
- Konfigurieren Sie Ihre TIP-Lösung oder benutzerdefinierte Anwendung.
Registrieren einer Microsoft Entra Anwendung
Mit den Standardberechtigungen für Benutzerrollen können Benutzer Anwendungsregistrierungen erstellen. Wenn diese Einstellung auf Nein umgestellt wurde, benötigen Sie die Berechtigung zum Verwalten von Anwendungen in Microsoft Entra. Jede der folgenden Microsoft Entra Rollen enthält die erforderlichen Berechtigungen:
- Anwendungsadministrator
- Anwendungsentwickler
- Cloudanwendungsadministrator
Weitere Informationen zum Registrieren Ihrer Microsoft Entra Anwendung finden Sie unter Registrieren einer Anwendung.
Nachdem Sie Ihre Anwendung registriert haben, notieren Sie die Anwendungs-ID (Client-ID) auf der Registerkarte Übersicht der Anwendung.
Zuweisen einer Rolle zur Anwendung
Die Upload-API erfasst Threat Intelligence-Objekte auf Arbeitsbereichsebene und erfordert die Rolle Microsoft Sentinel Mitwirkender.
Wechseln Sie im Azure-Portal zu Log Analytics-Arbeitsbereichen.
Wählen Sie Zugriffssteuerung (IAM) aus.
Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen aus.
Wählen Sie auf der Registerkarte Rolle die Rolle Microsoft Sentinel Mitwirkender und dann Weiter aus.
Wählen Sie auf der Registerkarte Mitglieder die Option Zugriff auf>Benutzer, Gruppe oder Dienstprinzipal zuweisen aus.
Wählen Sie Mitglieder aus. Standardmäßig werden Microsoft Entra Anwendungen nicht in den verfügbaren Optionen angezeigt. Um Ihre Anwendung zu finden, suchen Sie sie anhand des Namens.
Wählen Sie Überprüfen + Zuweisen aus.
Weitere Informationen zum Zuweisen von Rollen zu Anwendungen finden Sie unter Zuweisen einer Rolle zur Anwendung.
Konfigurieren Ihrer Threat Intelligence-Plattformlösung oder benutzerdefinierten Anwendung
Die folgenden Konfigurationsinformationen sind für die Upload-API erforderlich:
- Anwendungs-ID (Client-ID)
- Microsoft Entra Zugriffstokens mit OAuth 2.0-Authentifizierung
- Microsoft Sentinel Arbeitsbereichs-ID
Geben Sie diese Werte bei Bedarf in die Konfiguration Ihrer integrierten TIP- oder benutzerdefinierten Lösung ein.
- Übermitteln Sie die Threat Intelligence an die Upload-API. Weitere Informationen finden Sie unter Microsoft Sentinel-Upload-API.
- Innerhalb weniger Minuten sollten Threat Intelligence-Objekte in Ihren Microsoft Sentinel Arbeitsbereich fließen. Suchen Sie die neuen STIX-Objekte auf der Threat Intelligence-Seite, auf die über das Menü Microsoft Sentinel zugegriffen werden kann.
Verwandte Inhalte
In diesem Artikel haben Sie erfahren, wie Sie Ihr TIP mit Microsoft Sentinel verbinden. Weitere Informationen zur Verwendung von Threat Intelligence in Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Grundlegendes zu Threat Intelligence.
- Arbeiten Sie im gesamten Microsoft Sentinel mit Bedrohungsindikatoren.
- Beginnen Sie mit der Erkennung von Bedrohungen mit integrierten oder benutzerdefinierten Analyseregeln in Microsoft Sentinel.