Conexión de la plataforma de inteligencia sobre amenazas a Microsoft Sentinel con la API de indicadores de carga

• Se aplica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Muchas organizaciones usan soluciones de plataforma de inteligencia sobre amenazas (TIP) para agregar fuentes de indicadores de amenazas de diversos orígenes. Desde la fuente agregada, los datos son mantenidos para aplicarse a soluciones de seguridad como dispositivos de red, soluciones EDR/XDR o SIEM, como Microsoft Sentinel. La API de indicadores de carga de Inteligencia sobre amenazas permite usar estas soluciones para importar indicadores de amenazas en Microsoft Sentinel. Este conector de datos usa la API de indicadores de carga de Sentinel para ingerir indicadores de inteligencia sobre amenazas en Microsoft Sentinel. Para más información, consulte Inteligencia sobre amenazas.

Importante

La API de indicadores de carga de Microsoft Sentinel y el conector de datos de la API de indicadores de carga de inteligencia sobre amenazas están en VERSIÓN PRELIMINAR. Consulte Términos de uso complementarios para las Versiones preliminares de Microsoft Azure para conocer los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Nota:

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Vea también: Conexión de Microsoft Sentinel a las fuentes de inteligencia sobre amenazas STIX/TAXII

Requisitos previos

• Para instalar, actualizar y eliminar soluciones o contenido independiente en el centro de contenidos, se necesita el rol de Colaborador de Microsoft Sentinel en el nivel de grupo de recursos.
• Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel para almacenar los indicadores de amenazas.
• Debe poder registrar una aplicación de Microsoft Entra.
• A la aplicación de Microsoft Entra se le debe conceder el rol de colaborador de Microsoft Sentinel en el nivel de área de trabajo.

Instrucciones

Siga estos pasos para importar indicadores de amenazas a Microsoft Sentinel desde su TIP integrada o solución de inteligencia sobre amenazas personalizada:

1. Registre una aplicación de Microsoft Entra y registre su identificador de aplicación.
2. Genere y registre un secreto de cliente para la aplicación de Microsoft Entra.
3. Asigne a la aplicación de Microsoft Entra el rol de colaborador de Microsoft Sentinel o equivalente.
4. Habilite el conector de datos de la API de carga de Inteligencia sobre amenazas en Microsoft Sentinel.
5. Configure la solución TIP o la aplicación personalizada.

Registro de una aplicación de Microsoft Entra

Los permisos de rol de usuario predeterminados permiten a los usuarios crear registros de aplicaciones. Si esta configuración se ha cambiado a No, necesitará permiso para administrar aplicaciones en Microsoft Entra ID. Cualquiera de los siguientes roles de Microsoft Entra incluye los permisos necesarios:

• Administrador de aplicaciones
• Desarrollador de aplicaciones
• Administrador de aplicaciones en la nube

Para más información sobre cómo registrar la aplicación de Microsoft Entra, consulte Registrar una aplicación.

Una vez que haya registrado la aplicación, registre su identificador de aplicación (cliente) en la pestaña Información general de la aplicación.

Generación y registro del secreto de cliente

Ahora que la aplicación se ha registrado, genere y registre un secreto de cliente.

Para obtener más información sobre cómo generar un secreto de cliente, consulte Agregar un secreto de cliente.

Asignación de un rol a la aplicación

La API de indicadores de carga ingiere indicadores de amenazas en el nivel de área de trabajo y permite un rol con privilegios mínimos de colaborador de Microsoft Sentinel.

1. Desde Azure Portal, vaya a las áreas de trabajo de Log Analytics.

2. Seleccione Access Control (IAM) .

3. Seleccione Agregar>Agregar asignación de roles.

4. En la pestaña Rol, seleccione el rol Colaborador de Microsoft Sentinel>Siguiente.

5. En la pestaña Miembros, seleccione Asignar acceso a> y Usuario, grupo, o entidad de servicio.

6. Seleccionar miembros. De manera predeterminada, las aplicaciones de Microsoft Entra no se muestran en las opciones disponibles. Para encontrar la aplicación, búsquela por su nombre.

7. Seleccione>Revisar y asignar.

Para obtener más información sobre cómo asignar roles a las aplicaciones, consulte Asignar un rol a la aplicación.

Habilitación del conector de datos de API de indicadores de carga de Inteligencia sobre amenazas en Microsoft Sentinel

Habilite el conector de datos de la API de indicadores de carga de inteligencia sobre amenazas para permitir que Microsoft Sentinel reciba indicadores de amenazas enviados desde su TIP o la solución personalizada. Estos indicadores están disponibles para el área de trabajo de Microsoft Sentinel que configure.

1. Para Microsoft Sentinel en Azure Portal, en Administración de contenido, seleccione Centro de contenido.
   Para Microsoft Sentinel en Portal Defender, seleccione Microsoft Sentinel>Administración de contenido>Centro de contenido.

2. Busque y seleccione la solución de inteligencia sobre amenazas.

3. Seleccione el botón Instalar o actualizar.

Para obtener más información sobre cómo administrar los componentes de la solución, consulte Detección e implementación de contenido de forma lista para su uso.

1. El conector de datos ahora está visible en Configuración>Conectores de datos. Abra la página del conector de datos para obtener más información sobre cómo configurar la aplicación en esta API.

   

Configure la solución TIP o la aplicación personalizada

La API de indicadores de carga requiere esta información de configuración:

• Id. de aplicación (cliente)
• Secreto del cliente
• ID de trabajo de Microsoft Sentinel

Escriba estos valores en la configuración de su TIP integrada o solución personalizada cuando sea necesario.

1. Envíe los indicadores a la API de carga de Microsoft Sentinel. Para más información sobre la API de indicadores de carga, consulte el documento de referencia API de indicadores de carga de Microsoft Sentinel.

2. En cuestión de minutos, los indicadores de amenazas deberían empezar a fluir en su área de trabajo de Microsoft Sentinel. Encuentre los nuevos indicadores en la hoja Inteligencia sobre amenazas, a la que se puede acceder desde el menú de navegación de Microsoft Sentinel.

3. El estado del conector de datos refleja el estado Conectado y el gráfico Datos recibidos se actualiza una vez que los indicadores se envían correctamente.

   

Contenido relacionado

En este documento, ha aprendido a conectar su plataforma de inteligencia sobre amenazas a Microsoft Sentinel. Para más información sobre el uso de indicadores de amenazas en Microsoft Sentinel, consulte los siguientes artículos.

• Información sobre la inteligencia sobre amenazas.
• Trabaje con indicadores de amenazas a lo largo de la experiencia de Microsoft Sentinel.
• Comenzar con la detección de amenazas con reglas de análisis integradas o personalizadas en Microsoft Sentinel.