Freigeben über

Verbinden Ihrer Threat Intelligence-Plattform mit Microsoft Sentinel

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Hinweis

Dieser Datenconnector ist veraltet und wird die Erfassung von Daten im April 2026 beenden. Es wird empfohlen, möglichst bald zum neuen Datenconnector der Threat Intelligence Upload Indicators API zu wechseln, um eine unterbrechungsfreie Datensammlung sicherzustellen. Weitere Informationen finden Sie unter Verbinden Ihrer Threat Intelligence-Plattform mit Microsoft Sentinel mit der Upload-API.

Viele Organisationen verwenden Threat Intelligence-Plattformlösungen (TIP), um Bedrohungsindikatorenfeeds aus verschiedenen Quellen zu aggregieren. Aus dem aggregierten Feed werden die Daten für Sicherheitslösungen wie Netzwerkgeräte, EDR/XDR- oder SIEM-Lösungen (Security Information & Event Management) wie Microsoft Sentinel kuratiert. Mithilfe des TIP-Datenconnectors können Sie diese Lösungen verwenden, um Bedrohungsindikatoren in Microsoft Sentinel zu importieren.

Da der TIP-Datenconnector mit der Microsoft Graph Security TiDicators-API arbeitet, um diesen Prozess zu erreichen, können Sie den Connector verwenden, um Indikatoren an Microsoft Sentinel (und an andere Microsoft-Sicherheitslösungen wie Defender XDR) von jedem anderen benutzerdefinierten TIPP zu senden, der mit dieser API kommunizieren kann.

Screenshot des Importpfads für Bedrohungsinformationen.

Hinweis

Informationen zur Verfügbarkeit von Features in US Government-Clouds finden Sie in den Microsoft Sentinel-Tabellen in der Cloud-Featureverfügbarkeit für US Government-Kunden.

Erfahren Sie mehr über die Bedrohungserkennung in Microsoft Sentinel und insbesondere über die TIP-Produkte , die Sie in Microsoft Sentinel integrieren können.

Wichtig

Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

  • Um eigenständige Inhalte oder Lösungen im Inhaltshub zu installieren, zu aktualisieren und zu löschen, benötigen Sie die Rolle "Microsoft Sentinel-Mitwirkender" auf Ressourcengruppenebene.
  • Um Ihrem TIP-Produkt oder einer anderen benutzerdefinierten Anwendung, die die direkte Integration in die Microsoft Graph TI-Indikatoren-API verwendet, Berechtigungen zu erteilen, müssen Sie über die Microsoft Entra-Rolle „Sicherheitsadministrator“ oder über die entsprechenden Berechtigungen verfügen.
  • Sie benötigen Lese- und Schreibberechtigungen für den Microsoft Sentinel-Arbeitsbereich, um Ihre Bedrohungsindikatoren zu speichern.

Anweisungen

Führen Sie die folgenden Schritte aus, um Bedrohungsindikatoren aus Ihrer integrierten TIP- oder einer benutzerdefinierten Threat Intelligence-Lösung in Microsoft Sentinel zu importieren:

  1. Fordern Sie eine Anwendungs-ID und einen geheimen Clientschlüssel von Microsoft Entra ID an.
  2. Fügen Sie diese Informationen in Ihre TIP-Lösung oder benutzerdefinierte Anwendung ein.
  3. Aktivieren Sie den TIP-Datenconnector in Microsoft Sentinel.

Registrieren für eine Anwendungs-ID und einen geheimen Clientschlüssel von Microsoft Entra ID

Unabhängig davon, ob Sie eine TIP- oder eine benutzerdefinierte Lösung verwenden, benötigt die tiIndicators-API einige grundlegende Informationen, um Ihnen zu erlauben, eine Verbindung Ihres Feeds mit ihr herzustellen und ihr Bedrohungsindikatoren zu senden. Sie benötigen die folgenden drei Informationen:

  • Anwendungs-ID (Client)
  • Verzeichnis-ID (Mandant)
  • Geheimer Clientschlüssel

Sie erhalten diese Informationen von Ihrer Microsoft Entra ID-Instanz über eine App-Registrierung, die die folgenden drei Schritte umfasst:

  • Sie registrieren eine App mit Microsoft Entra ID.
  • Geben Sie die von der App benötigten Berechtigungen zum Herstellen einer Verbindung mit der Microsoft Graph-API tiIndicators und zum Senden von Bedrohungsindikatoren an.
  • Abrufen der Einwilligung von Ihrer Organisation für das Gewähren dieser Berechtigungen für diese Anwendung.

Registrieren einer Anwendung mit Microsoft Entra ID

  1. Wechseln Sie im Azure-Portal zur Microsoft Entra-ID.

  2. Wählen Sie im Menü "App-Registrierungen" und dann " Neue Registrierung" aus.

  3. Wählen Sie einen Namen für Ihre Anwendungsregistrierung aus, wählen Sie "Einzelner Mandant" und dann " Registrieren" aus.

    Screenshot der Registrierung einer Anwendung.

  4. Kopieren Sie auf dem daraufhin geöffneten Bildschirm die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandanten-ID). Dies sind die ersten beiden Informationen, die Sie später benötigen, um Ihre TIP- oder benutzerdefinierte Lösung zum Senden von Bedrohungsindikatoren an Microsoft Sentinel zu konfigurieren. Der dritte Teil der benötigten Informationen, der geheime Clientschlüssel, kommt später.

Gewähren der von der Anwendung benötigten Berechtigungen

  1. Wechseln Sie zurück zur Hauptseite der Microsoft Entra-ID.

  2. Wählen Sie im Menü "App-Registrierungen" und dann Ihre neu registrierte App aus.

  3. Wählen Sie im Menü API-Berechtigungen>"Berechtigung hinzufügen" aus.

  4. Wählen Sie auf der Seite "API auswählen " die Microsoft Graph-API aus. Treffen Sie dann Ihre Auswahl in der Liste der Microsoft Graph-Berechtigungen.

  5. Wählen Sie an der Eingabeaufforderung "Welche Art von Berechtigungen erfordert Ihre Anwendung?", wählen Sie "Anwendungsberechtigungen" aus. Diese Berechtigung ist der Typ, der von Anwendungen verwendet wird, die sich mit App-ID und App-Geheimnissen (API-Schlüsseln) authentifizieren.

  6. Wählen Sie "ThreatIndicators.ReadWrite.OwnedBy" und dann "Berechtigungen hinzufügen " aus, um diese Berechtigung zur Liste der Berechtigungen Ihrer App hinzuzufügen.

    Screenshot, der die Angabe von Berechtigungen zeigt.

  1. Um einzuwilligen, ist eine privilegierte Rolle erforderlich. Weitere Informationen finden Sie unter Erteilen einer mandantenweiten Administratoreinwilligung für eine Anwendung.

    Screenshot, der zeigt, dass die Einwilligung erteilt wird.

  2. Nachdem Ihrer App die Zustimmung erteilt wurde, sollte unter "Status" ein grünes Häkchen angezeigt werden.

Nachdem Ihre App registriert und Berechtigungen erteilt wurden, müssen Sie einen geheimen Clientschlüssel für Ihre App abrufen.

  1. Wechseln Sie zurück zur Hauptseite der Microsoft Entra-ID.

  2. Wählen Sie im Menü "App-Registrierungen" und dann Ihre neu registrierte App aus.

  3. Wählen Sie im Menü "Zertifikate und Geheime Schlüssel" aus. Wählen Sie dann "Neuer geheimer Clientschlüssel " aus, um einen geheimen Schlüssel (API-Schlüssel) für Ihre App zu erhalten.

    Screenshot, der das Abrufen eines Client-Geheimnisses zeigt.

  4. Wählen Sie "Hinzufügen" aus, und kopieren Sie dann den geheimen Clientschlüssel.

    Wichtig

    Sie müssen den geheimen Clientschlüssel kopieren, bevor Sie diesen Bildschirm verlassen. Sie können diesen geheimen Schlüssel nicht mehr abrufen, wenn Sie diese Seite verlassen. Sie benötigen diesen Wert, wenn Sie Ihre TIP- oder benutzerdefinierte Lösung konfigurieren.

Einfügen dieser Informationen in Ihre TIP-Lösung oder benutzerdefinierte Anwendung

Sie verfügen nun über die drei erforderlichen Informationen, die Sie benötigen, um Ihre TIP- oder Ihre benutzerdefinierte Lösung zum Senden von Bedrohungsindikatoren an Microsoft Sentinel zu konfigurieren:

  • Anwendungs-ID (Client)
  • Verzeichnis-ID (Mandant)
  • Geheimer Clientschlüssel

Geben Sie diese Werte bei Bedarf in die Konfiguration Ihres integrierten TIP oder Ihrer benutzerdefinierten Lösung ein.

  1. Geben Sie für das Zielprodukt Azure Sentinel an. (Die Angabe von Microsoft Sentinel führt zu einem Fehler.)

  2. Geben Sie für die Aktion warnung an.

Nachdem diese Konfiguration abgeschlossen wurde, werden Bedrohungsindikatoren von Ihrer TIP- oder benutzerdefinierten Lösung über die Microsoft Graph-API tiIndicators an Microsoft Sentinel gesendet.

Aktivieren des TIP-Datenconnectors in Microsoft Sentinel

Der letzte Schritt im Integrationsprozess besteht darin, den TIP-Datenconnector in Microsoft Sentinel zu aktivieren. Die Aktivierung des Connectors ermöglicht Microsoft Sentinel, die von Ihrer TIP- oder benutzerdefinierten Lösung gesendeten Bedrohungsindikatoren zu empfangen. Diese Indikatoren stehen in allen Microsoft Sentinel-Arbeitsbereichen für Ihre Organisation zur Verfügung. Führen Sie die folgenden Schritte aus, um den TIP-Datenconnector für jeden Arbeitsbereich zu aktivieren:

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter "Inhaltsverwaltung" den Inhaltshub aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Optionen Microsoft Sentinel>Inhaltsverwaltung>Inhaltshub aus.

  2. Suchen sie die Threat Intelligence-Lösung , und wählen Sie sie aus.

  3. Wählen Sie die Schaltfläche "Installieren/Aktualisieren" aus.

    Weitere Informationen zum Verwalten der Lösungskomponenten finden Sie unter Ermitteln und Bereitstellen von sofort einsatzbereiten Inhalten.

  4. Wählen Sie zum Konfigurieren des TIP-Datenconnectors die Optionen Konfiguration>Datenconnectors aus.

  5. Suchen Sie den Datenconnector Threat Intelligence-Plattformen – VERALTET, und wählen Sie ihn und dann Connectorseite öffnen aus.

  6. Da Sie die App-Registrierung bereits abgeschlossen und Ihre TIPP- oder benutzerdefinierte Lösung zum Senden von Bedrohungsindikatoren konfiguriert haben, besteht der einzige Schritt links darin, "Verbinden" auszuwählen.

Nach einigen Minuten sollten die Bedrohungsindikatoren in den Microsoft Sentinel-Arbeitsbereich fließen. Sie finden die neuen Indikatoren im Bereich "Bedrohungserkennung ", auf die Sie über das Microsoft Sentinel-Menü zugreifen können.

Zugehöriger Inhalt

In diesem Artikel haben Sie erfahren, wie Sie Ihr TIP mithilfe einer Methode, die demnächst nicht mehr unterstützt wird, mit Microsoft Sentinel verbinden können. Informationen zum Herstellen einer Verbindung mit Ihrem TIPP mithilfe der empfohlenen Methode finden Sie unter "Verbinden Ihres TIPPs mit der Upload-API".