Connector „Threat Intelligence – API zum Hochladen von Indikatoren (Vorschau)“ für Microsoft Sentinel
Microsoft Sentinel bietet eine API auf Datenebene, um Threat Intelligence einer Threat Intelligence-Plattform (TIP) wie Threat Connect, Palo Alto Networks MineMeld oder MISP oder aus anderen integrierten Anwendungen zu erfassen. Bedrohungsindikatoren können IP-Adressen, Domänen, URLs, Dateihashes und E-Mail-Adressen umfassen. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Sentinel.
Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.
Connectorattribute
| Connectorattribut | BESCHREIBUNG |
|---|---|
| Log Analytics-Tabellen | ThreatIntelligenceIndicator |
| Unterstützung für Datensammlungsregeln | Derzeit nicht unterstützt |
| Unterstützt von | Microsoft Corporation |
Abfragebeispiele
Alle Indikatoren von Threat Intelligence-APIs
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
Installationsanweisungen des Anbieters
Sie können Ihre Threat Intelligence-Datenquellen wie folgt mit Microsoft Sentinel verbinden:
Durch Verwenden einer integrierten Threat Intelligence-Plattform (TIP) wie Threat Connect, Palo Alto Networks MineMeld oder MISP
Durch direktes Aufrufen der Microsoft Sentinel-Datenebenen-API über eine andere Anwendung
- Hinweis: Der „Status“ des Connectors wird hier nicht als „Verbunden“ angezeigt, da die Daten durch einen API-Aufruf erfasst werden.
Führen Sie die folgenden Schritte aus, um eine Verbindung mit Threat Intelligence herzustellen:
- Abrufen eines Microsoft Entra ID-Zugriffstokens
[concat('Um Anforderungen an die APIs senden zu können, müssen Sie ein Azure Active Directory-Zugriffstoken abrufen. Sie können die Anweisungen auf dieser Seite befolgen: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- Hinweis: Fordern Sie das AAD-Zugriffstoken mit dem folgenden Bereichswert an: ', variables('management'), '.default')]
- Senden von Indikatoren an Sentinel
Sie können Indikatoren senden, indem Sie unsere API zum Hochladen von Indikatoren aufrufen. Für weitere Informationen zur API klicken Sie hier.
HTTP-Methode: POST
Endpunkt:
https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01
WorkspaceID: Der Arbeitsbereich, in den die Indikatoren hochgeladen werden.
Headerwert 1: "Authorization" = "Bearer [Microsoft Entra ID-Zugriffstoken aus Schritt 1]"
Headerwert 2: "Content-Type" = "application/json"
Text: Der Text ist ein JSON-Objekt, das ein Array von Indikatoren im STIX-Format enthält.
Nächste Schritte
Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.