Verbinden Ihrer Threat Intelligence-Plattform mit Microsoft Sentinel

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Hinweis

Dieser Datenconnector befindet sich in einem Pfad für veraltete Funktionen. Weitere Details werden auf der genauen Zeitskala veröffentlicht. Verwenden Sie den neuen Datenconnector „Threat Intelligence – Uploadindikatoren-API“ für neue Lösungen in der Zukunft. Weiter Informationen finden Sie unter Verbinden Ihrer Threat Intelligence-Plattform mit Microsoft Sentinel mithilfe der Uploadindikatoren-API.

Viele Organisationen verwenden Threat Intelligence-Plattformlösungen (TIP), um Bedrohungsindikatorenfeeds aus verschiedenen Quellen zu aggregieren. Aus dem aggregierten Feed werden die Daten für Sicherheitslösungen wie Netzwerkgeräte, EDR/XDR-Lösungen oder SIEMs wie Microsoft Sentinel kuratiert. Mit dem Datenconnector für Threat Intelligence-Plattformen können Sie diese Lösungen zum Importieren von Bedrohungsindikatoren in Microsoft Sentinel verwenden.

Da der TIP-Datenconnector zu diesem Zweck mit der tiIndicators-API von Microsoft Graph Security arbeitet, können Sie den Connector verwenden, um von jeder benutzerdefinierten Threat Intelligence-Plattform, die mit dieser API kommunizieren kann, Indikatoren an Microsoft Sentinel (und andere Microsoft-Sicherheitslösungen wie Microsoft Defender XDR) zu übermitteln.

Importpfad für Threat Intelligence

Erfahren Sie mehr über Threat Intelligence in Microsoft Sentinel und insbesondere über die Threat Intelligence-Plattformprodukte , die in Microsoft Sentinel integriert werden können.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Wichtig

Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die einheitlichen Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

  • Um eigenständige Inhalte oder Lösungen aus dem Inhaltshub installieren, aktualisieren oder löschen zu können, müssen Sie auf Ressourcengruppenebene über die Rolle Microsoft Sentinel-Mitwirkender verfügen.
  • Sie benötigen entweder die Microsoft Entra-Rolle Globaler Administrator oder Sicherheitsadministrator, um Berechtigungen für Ihr TIP-Produkt oder eine andere benutzerdefinierte Anwendung zu erteilen, die die direkte Integration mit der tiIndicators-API von Microsoft Graph-Sicherheit verwendet.
  • Sie benötigen Lese- und Schreibberechtigungen für den Microsoft Sentinel-Arbeitsbereich, um Ihre Bedrohungsindikatoren zu speichern.

Anweisungen

Führen Sie die folgenden Schritte aus, um Bedrohungsindikatoren aus Ihrer integrierten TIP- oder einer benutzerdefinierten Threat Intelligence-Lösung in Microsoft Sentinel zu importieren:

  1. Abrufen einer Anwendungs-ID und eines geheimen Clientschlüssels aus Microsoft Entra ID
  2. Einfügen dieser Informationen in Ihre TIP-Lösung oder benutzerdefinierte Anwendung
  3. Aktivieren des Datenconnectors „Threat Intelligence-Plattformen“ in Microsoft Sentinel

Registrieren für eine Anwendungs-ID und einen geheimen Clientschlüssel aus Microsoft Entra ID

Unabhängig davon, ob Sie eine TIP- oder eine benutzerdefinierte Lösung verwenden, benötigt die tiIndicators-API einige grundlegende Informationen, um Ihnen zu erlauben, eine Verbindung Ihres Feeds mit ihr herzustellen und ihr Bedrohungsindikatoren zu senden. Sie benötigen die folgenden drei Informationen:

  • Anwendungs-ID (Client)
  • Verzeichnis-ID (Mandant)
  • Geheimer Clientschlüssel

Sie erhalten diese Informationen von Ihrer Microsoft Entra ID-Instanz über einen Prozess namens App-Registrierung, der die folgenden drei Schritte umfasst:

  • Sie registrieren eine App mit Microsoft Entra ID
  • Gewähren der von der App benötigten Berechtigungen zum Verbinden mit der Microsoft Graph-API tiIndicators und zum Senden von Bedrohungsindikatoren
  • Abrufen der Einwilligung von Ihrer Organisation für das Gewähren dieser Berechtigungen für diese Anwendung.

Registrieren einer Anwendung mit Microsoft Entra ID

  1. Navigieren Sie im Azure-Portal zum Dienst Microsoft Entra ID.

  2. Wählen Sie die Menüoption App-Registrierungen und dann Neue Registrierung aus.

  3. Wählen Sie einen Namen für die Anwendungsregistrierung aus, aktivieren Sie das Optionsfeld Einzelner Mandant, und wählen Sie dann Registrieren aus.

    Registrieren einer Anwendung

  4. Kopieren Sie auf dem angezeigten Bildschirm die Werte für Anwendungs-ID (Client) und Verzeichnis-ID (Mandant) . Dies sind die ersten beiden Informationen, die Sie später benötigen, um Ihre TIP- oder benutzerdefinierte Lösung zum Senden von Bedrohungsindikatoren an Microsoft Sentinel zu konfigurieren. Die dritte, der Geheime Clientschlüssel, kommt später.

Gewähren der von der Anwendung benötigten Berechtigungen

  1. Gehen Sie zurück zur Hauptseite des Diensts Microsoft Entra ID.

  2. Wählen Sie die Menüoption App-Registrierungen und dann Ihre neu registrierte App aus.

  3. Wählen Sie die Menüoption API-Berechtigungen aus, und klicken Sie auf die Schaltfläche Berechtigung hinzufügen.

  4. Wählen Sie auf der Seite API auswählen die Microsoft Graph-API aus, um dann in einer Liste mit Microsoft Graph-Berechtigungen Ihre Auswahl zu treffen.

  5. Whlen Sie an der Eingabeaufforderung „Welche Art von Berechtigungen sind für Ihre Anwendung erforderlich?“ die Anwendungsberechtigungen aus. Dies ist der Berechtigungstyp, der von Anwendungen verwendet wird, die sich mit der App-ID und App-Geheimnissen (API-Schlüssel) authentifizieren.

  6. Wählen Sie ThreatIndicators.ReadWrite.OwnedBy und dann Berechtigung hinzufügen aus, um diese Berechtigung der Liste der Berechtigungen Ihrer App hinzuzufügen.

    Angeben von Berechtigungen

  1. Um eine Einwilligung zu erhalten, muss ein globaler Administrator bzw. eine globale Administratorin in Microsoft Entra die Schaltfläche Administratoreinwilligung für Ihren Mandanten auf der Seite API-Berechtigungen Ihrer App auswählen. Wenn Sie nicht über die Rolle „Globaler Administrator“ für Ihr Konto verfügen, ist diese Schaltfläche nicht verfügbar, und Sie müssen einen globalen Administrator Ihrer Organisation bitten, diesen Schritt auszuführen.

    Zustimmung erteilen

  2. Nachdem die Einwilligung für Ihre App erteilt wurde, wird unter Status ein grünes Häkchen angezeigt.

Nachdem Ihre App registriert wurde und die Berechtigungen erteilt wurden, können Sie die letzte Anforderung auf Ihrer Liste erfüllen: einen geheimen Clientschlüssel für Ihre App abzurufen.

  1. Gehen Sie zurück zur Hauptseite des Diensts Microsoft Entra ID.

  2. Wählen Sie die Menüoption App-Registrierungen und dann Ihre neu registrierte App aus.

  3. Wählen Sie im Menü Zertifikate & Geheimnisse aus, und klicken Sie auf die Schaltfläche Neuer geheimer Clientschlüssel, um ein Geheimnis (API-Schlüssel) für Ihre App zu erhalten.

    Abrufen des geheimen Clientschlüssels

  4. Klicken Sie auf die Schaltfläche Hinzufügen, und kopieren Sie den geheimen Clientschlüssel.

    Wichtig

    Sie müssen den geheimen Clientschlüssel kopieren, bevor Sie diesen Bildschirm verlassen. Sie können dieses Geheimnis nicht erneut abrufen, wenn Sie diese Seite verlassen. Sie benötigen diesen Wert, wenn Sie Ihre TIP- oder benutzerdefinierte Lösung konfigurieren.

Einfügen dieser Informationen in Ihre TIP-Lösung oder benutzerdefinierte Anwendung

Sie verfügen nun über die drei erforderlichen Informationen, die Sie benötigen, um Ihre TIP- oder Ihre benutzerdefinierte Lösung zum Senden von Bedrohungsindikatoren an Microsoft Sentinel zu konfigurieren.

  • Anwendungs-ID (Client)
  • Verzeichnis-ID (Mandant)
  • Geheimer Clientschlüssel

  1. Geben Sie diese Werte bei Bedarf in die Konfiguration Ihres integrierten TIP oder Ihrer benutzerdefinierten Lösung ein.

  2. Geben Sie für das Zielprodukt Azure Sentinel an. (Die Angabe von „Microsoft Sentinel“ führt zu einem Fehler.)

  3. Geben Sie für die Aktion Warnung an.

Sobald diese Konfiguration abgeschlossen ist, werden Bedrohungsindikatoren von Ihrer TIP- oder benutzerdefinierten Lösung über die Microsoft Graph tiIndicators-API an Microsoft Sentinel gesendet.

Aktivieren des Datenconnectors „Threat Intelligence-Plattformen“ in Microsoft Sentinel

Der letzte Schritt im Integrationsprozess besteht darin, den Threat Intelligence-Plattformen-Datenconnector in Microsoft Sentinel zu aktivieren. Die Aktivierung des Connectors ermöglicht Microsoft Sentinel, die von Ihrer TIP- oder benutzerdefinierten Lösung gesendeten Bedrohungsindikatoren zu empfangen. Diese Indikatoren stehen dann in allen Microsoft Sentinel-Arbeitsbereichen für Ihre Organisation zur Verfügung. Führen Sie die folgenden Schritte aus, um den Datenconnector „Threat Intelligence-Plattformen“ für alle Arbeitsbereiche zu aktivieren:

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Inhaltsverwaltung die Option Inhaltshub aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Content Management> Content Hub aus.

  2. Suchen Sie die Threat Intelligence-Lösung, und wählen Sie sie aus.

  3. Wählen Sie die Schaltfläche Installieren/Aktualisieren aus.

Weitere Informationen zum Verwalten der Lösungskomponenten finden Sie unter Ermitteln und Bereitstellen von standardmäßig vorhandenen Inhalten.

  1. Wählen Sie zum Konfigurieren des TIP-Datenconnectors das Menü Konfiguration>Datenconnectors aus.

  2. Suchen Sie die Schaltfläche Threat Intelligence-Plattformen Datenconnector>Connectorseite öffnen, und wählen Sie sie aus.

    Screenshot: Seite „Datenconnectors“, auf der der TIP-Datenconnector aufgelistet ist

  3. Da Sie die App-Registrierung bereits abgeschlossen und Ihre TIP- oder benutzerdefinierte Lösung bereits für das Senden von Bedrohungsindikatoren konfiguriert haben, müssen Sie nur noch die Schaltfläche Verbinden auswählen.

Nach einigen Minuten sollten die Bedrohungsindikatoren in den Microsoft Sentinel-Arbeitsbereich fließen. Sie finden die neuen Indikatoren auf dem Blatt Threat Intelligence, auf das Sie über das Hauptmenü von Microsoft Sentinel Zugriff haben.

Zugehöriger Inhalt

In diesem Artikel haben Sie gelernt, wie Sie Ihre Threat Intelligence-Plattform mit Microsoft Sentinel verbinden. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln.