Freigeben über

Verbinden Ihrer Threat Intelligence-Plattform mit Microsoft Sentinel mithilfe der Uploadindikatoren-API

  • Artikel
  • Gilt für::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Viele Organisationen verwenden Threat Intelligence-Plattformlösungen (TIP), um Bedrohungsindikatorenfeeds aus verschiedenen Quellen zu aggregieren. Aus dem aggregierten Feed werden die Daten für Sicherheitslösungen wie Netzwerkgeräte, EDR/XDR-Lösungen oder SIEMs wie Microsoft Sentinel kuratiert. Mit der Uploadindikatoren-API der Threat Intelligence können Sie diese Lösungen zum Importieren von Bedrohungsindikatoren in Microsoft Sentinel verwenden. Die Uploadindikatoren-API erfasst Bedrohungserkennungsindikatoren in Microsoft Sentinel, ohne dass der Datenconnector benötigt wird. Der Datenconnector spiegelt nur die Anweisungen zum Herstellen einer Verbindung mit dem API-Endpunkt dar, die in diesem Artikel beschrieben sind, und das ergänzende API-Referenzdokument der Microsoft Sentinel-Uploadindikatoren-API.

Importpfad für Threat Intelligence

Weitere Informationen zur Bedrohungserkennung finden Sie unter Threat Intelligence.

Wichtig

Die Microsoft Sentinel Threat Intelligence Upload Indicators API befindet sich in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Microsoft Sentinel ist jetzt in der Microsoft Unified Security Operations Platform im Microsoft Defender-Portal allgemein verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Siehe auch: Herstellen einer Verbindung zwischen Microsoft Sentinel und STIX-/TAXII-Threat Intelligence-Feeds

Voraussetzungen

  • Um eigenständige Inhalte oder Lösungen aus dem Inhaltshub installieren, aktualisieren oder löschen zu können, müssen Sie auf Ressourcengruppenebene über die Rolle Microsoft Sentinel-Mitwirkender verfügen. Denken Sie daran, dass Sie den Datenconnector nicht installieren müssen, um den API-Endpunkt zu verwenden.
  • Sie benötigen Lese- und Schreibberechtigungen für den Microsoft Azure Sentinel-Arbeitsbereich, um Ihre Bedrohungsindikatoren zu speichern.
  • Sie müssen in der Lage sein, eine Microsoft Entra-Anwendung zu registrieren.
  • Der Microsoft Entra-Anwendung muss die Rolle „Microsoft Sentinel-Mitwirkender“ auf Arbeitsbereichsebene gewährt werden.

Anweisungen

Führen Sie die folgenden Schritte aus, um Bedrohungsindikatoren aus Ihrer integrierten TIP- oder einer benutzerdefinierten Threat Intelligence-Lösung in Microsoft Sentinel zu importieren:

  1. Registrieren Sie eine Microsoft Entra-Anwendung, und notieren Sie ihre Anwendungs-ID.
  2. Generieren Sie einen geheimen Clientschlüssels für Ihre Microsoft Entra-Anwendung, und notieren Sie diesen.
  3. Weisen Sie Ihrer Microsoft Entra-Anwendung die Rolle „Microsoft Sentinel-Mitwirkender“ oder eine gleichwertige Rolle zu.
  4. Konfigurieren Sie Ihre TIP-Lösung oder Ihre benutzerdefinierte Anwendung.

Registrieren einer Microsoft Entra-Anwendung

Mit den Standardberechtigungen für Benutzerrollen können Benutzer Anwendungsregistrierungen erstellen. Wenn diese Einstellung auf Nein umgestellt wurde, benötigen Sie die Berechtigung zum Verwalten von Anwendungen in Microsoft Entra ID. Die folgenden Microsoft Entra-Rollen verfügen über die erforderlichen Berechtigungen:

  • Anwendungsadministrator
  • Anwendungsentwickler
  • Cloudanwendungsadministrator

Weitere Informationen zum Registrieren Ihrer Microsoft Entra-Anwendung finden Sie unter Registrieren einer Anwendung.

Nachdem Sie Ihre Anwendung registriert haben, zeichnen Sie ihre Anwendungs-ID (Client) von der Registerkarte Übersicht der Anwendung auf.

Generieren und Aufzeichnen eines geheimen Clientschlüssels

Nachdem Ihre Anwendung nun registriert wurde, generieren Sie einen geheimen Clientschlüssel, und zeichnen Sie ihn auf.

Screenshot der Generierung eines geheimen Clientschlüssels.

Weitere Informationen zum Generieren eines geheimen Clientschlüssels finden Sie unter Hinzufügen eines geheimen Clientschlüssels.

Zuweisen einer Rolle zur Anwendung

Die Uploadindikatoren-API erfasst Bedrohungsindikatoren auf Arbeitsbereichsebene und lässt eine Rolle mit geringsten Berechtigungen von „Microsoft Sentinel-Mitwirkender“ zu.

  1. Wechseln Sie im Azure-Portal zu „Log Analytics-Arbeitsbereiche“.

  2. Wählen Sie die Option Zugriffssteuerung (IAM) aus.

  3. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen.

  4. Wählen Sie auf der Registerkarte Rolle die Rolle Microsoft Sentinel-Mitwirkender und dann Weiter aus.

  5. Wählen Sie auf der Registerkarte Mitglieder die Option Zugriff zuweisen zu aus und dann Benutzer, Gruppe oder Dienstprinzipal.

  6. Wählen Sie Mitglieder aus. Microsoft Entra-Anwendungen werden standardmäßig nicht in den verfügbaren Optionen angezeigt. Um Ihre Anwendung zu finden, suchen Sie nach ihrem Namen. Screenshot der Rolle „Microsoft Sentinel-Mitwirkender“, die der Anwendung auf Arbeitsbereichsebene zugewiesen wurde.

  7. Wählen Sie Auswählen>Überprüfen und zuweisen aus.

Weitere Informationen zum Zuweisen von Rollen zu Anwendungen finden Sie unter Zuweisen einer Rolle zur Anwendung.

Installieren Sie den Datenconnector für die Uploadindikatoren-API der Threat Intelligence in Microsoft Sentinel (optional)

Installieren Sie den API-Datenconnector zum Hochladen von Bedrohungserkennungsindikatoren, um die API-Verbindungsanweisungen aus Ihrem Microsoft Sentinel-Arbeitsbereich anzuzeigen.

  1. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Inhaltsverwaltung die Option Inhaltshub aus.
    Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Content Management> Content Hub aus.

  2. Suchen Sie die Threat Intelligence-Lösung, und wählen Sie sie aus.

  3. Wählen Sie die Schaltfläche Installieren/Aktualisieren aus.

Weitere Informationen zum Verwalten der Lösungskomponenten finden Sie unter Ermitteln und Bereitstellen von standardmäßig vorhandenen Inhalten.

  1. Der Datenconnector ist jetzt auf der Seite Konfiguration>Datenconnectors sichtbar. Öffnen Sie die Seite „Datenconnector“, um weitere Informationen zum Konfigurieren Ihrer Anwendung mit dieser API zu erhalten.

    Screenshot der Seite „Datenconnectors“ mit aufgelistetem Datenconnector für die Upload-API.

Konfigurieren Ihrer TIP-Lösung oder Ihrer benutzerdefinierten Anwendung

Die folgenden Konfigurationsinformationen, die für die Uploadindikatoren-API erforderlich sind:

  • Anwendungs-ID (Client)
  • Geheimer Clientschlüssel
  • Microsoft Sentinel-Arbeitsbereichs-ID

Geben Sie diese Werte bei Bedarf in die Konfiguration Ihres integrierten TIP oder Ihrer benutzerdefinierten Lösung ein.

  1. Übermitteln Sie die Indikatoren an die Upload-API von Microsoft Sentinel. Weitere Informationen zur Uploadindikatoren-API finden Sie im Referenzdokument Uploadindikatoren-API von Microsoft Sentinel.

  2. Nach einigen Minuten sollten die Bedrohungsindikatoren in Ihren Microsoft Sentinel-Arbeitsbereich fließen. Sie finden die neuen Indikatoren auf dem Blatt Threat Intelligence, auf das Sie über das Navigationsmenü von Microsoft Sentinel zugreifen können.

  3. Der Datenconnectorstatus gibt den Status Verbunden wieder, und das Diagramm Empfangene Daten wird aktualisiert, sobald die Indikatoren erfolgreich übermittelt wurden.

    Screenshot des Datenconnectors für die Uploadindikatoren-API im Zustand „Verbunden“.

Zugehöriger Inhalt

In diesem Artikel haben Sie gelernt, wie Sie Ihre Threat Intelligence-Plattform mit Microsoft Sentinel verbinden. Weitere Informationen zur Verwendung von Bedrohungsindikatoren in Microsoft Sentinel finden Sie in den folgenden Artikeln.