Partekatu honen bidez:


Conexión de la plataforma de inteligencia sobre amenazas a Microsoft Sentinel con la API de indicadores de carga

Muchas organizaciones usan soluciones de plataforma de inteligencia sobre amenazas (TIP) para agregar fuentes de indicadores de amenazas de diversos orígenes. Desde la fuente agregada, los datos son mantenidos para aplicarse a soluciones de seguridad como dispositivos de red, soluciones EDR/XDR o Administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel. Mediante la API de indicadores de carga de inteligencia sobre amenazas, puede usar estas soluciones para importar indicadores de amenazas en Microsoft Sentinel.

La API de indicadores de carga ingiere indicadores de inteligencia sobre amenazas en Microsoft Sentinel sin necesidad del conector de datos. El conector de datos solo refleja las instrucciones para conectarse al punto de conexión de API descrito en este artículo y el documento de referencia de API API de indicadores de carga de Microsoft Sentinel.

Recorte de pantalla que muestra la ruta de importación de inteligencia sobre amenazas.

Para obtener más información sobre la inteligencia sobre amenazas, vea Inteligencia sobre amenazas.

Importante

La API de indicadores de carga de inteligencia sobre amenazas de Microsoft Sentinel está en versión preliminar. Consulte los Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer más términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.

Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Para más información, consulte Conexión de Microsoft Sentinel a fuentes de inteligencia sobre amenazas STIX/TAXII.

Nota:

Para obtener información sobre la disponibilidad de características en las nubes de la Administración Pública de Estados Unidos, consulte las tablas de Microsoft Sentinel en Disponibilidad de características en la nube para clientes de la Administración Pública de Estados Unidos.

Requisitos previos

  • Para instalar, actualizar y eliminar contenido independiente o soluciones en el Centro de contenido, necesita el rol Colaborador de Microsoft Sentinel en el nivel de grupo de recursos. No es necesario instalar el conector de datos para usar el punto de conexión de API.
  • Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel para almacenar los indicadores de amenazas.
  • Debe poder registrar una aplicación de Microsoft Entra.
  • La aplicación Microsoft Entra debe tener el rol Colaborador de Microsoft Sentinel en el nivel de área de trabajo.

Instrucciones

Siga estos pasos para importar indicadores de amenazas a Microsoft Sentinel desde su TIP integrada o solución de inteligencia sobre amenazas personalizada:

  1. Registre una aplicación de Microsoft Entra y, a continuación, registre su identificador de aplicación.
  2. Genere y registre un secreto de cliente para la aplicación de Microsoft Entra.
  3. Asigne a la aplicación Microsoft Entra el rol Colaborador de Microsoft Sentinel o el equivalente.
  4. Configure la solución TIP o la aplicación personalizada.

Registro de una aplicación de Microsoft Entra

Los permisos de rol de usuario predeterminados permiten a los usuarios crear registros de aplicaciones. Si esta configuración se cambió a No, necesita permiso para administrar aplicaciones en Microsoft Entra. Cualquiera de los siguientes roles de Microsoft Entra incluye los permisos necesarios:

  • Administrador de aplicaciones
  • Desarrollador de aplicaciones
  • Administrador de aplicaciones en la nube

Para más información sobre cómo registrar la aplicación de Microsoft Entra, consulte Registrar una aplicación.

Después de registrar la aplicación, registre su identificador de aplicación (cliente) desde la pestaña Información general de la aplicación.

Generar y registrar un secreto de cliente

Ahora que la aplicación está registrada, genere y registre un secreto de cliente.

Captura de pantalla que muestra la generación de secretos de cliente.

Para obtener más información sobre cómo generar un secreto de cliente, consulte Agregar un secreto de cliente.

Asignación de un rol a la aplicación

La API de indicadores de carga ingiere indicadores de amenazas en el nivel de área de trabajo y permite un rol con privilegios mínimos del colaborador de Microsoft Sentinel.

  1. En Azure Portal, vaya a Áreas de trabajo de Log Analytics.

  2. Seleccione Access Control (IAM) .

  3. Seleccione Agregar>Agregar asignación de roles.

  4. En la pestaña Rol, seleccione el rol Colaborador de Microsoft Sentinel y, a continuación, seleccione Siguiente.

  5. En la pestaña Miembros, seleccione Asignar acceso a> y Usuario, grupo, o entidad de servicio.

  6. Seleccionar miembros. De manera predeterminada, las aplicaciones de Microsoft Entra no se muestran en las opciones disponibles. Para encontrar la aplicación, búsquela por su nombre.

    Captura de pantalla que muestra el rol Colaborador de Microsoft Sentinel asignado a la aplicación en el nivel de área de trabajo.

  7. Seleccione Revisar y asignar.

Para obtener más información sobre cómo asignar roles a las aplicaciones, consulte Asignar un rol a la aplicación.

Instalar el conector de datos de la API de indicadores de carga de inteligencia de amenazas en Microsoft Sentinel (opcional)

Instale el conector de datos API de indicadores de carga de Inteligencia sobre amenazas para ver las instrucciones de conexión de API del área de trabajo de Microsoft Sentinel.

  1. Para Microsoft Sentinel en Azure Portal, en Administración de contenido, seleccione Centro de contenido.
    Para Microsoft Sentinel en el Portal de Defender, seleccione Microsoft Sentinel>Administración de contenidos >Centro de contenido.

  2. Busque y seleccione la solución de inteligencia sobre amenazas.

  3. Seleccione el botón Instalar o actualizar.

    Para obtener más información sobre cómo administrar los componentes de la solución, consulte Detección e implementación de contenido de forma lista para su uso.

  4. El conector de datos ahora está visible en Configuración>Conectores de datos. Abra la página Conectores de datos para obtener más información sobre cómo configurar la aplicación con esta API.

    Captura de pantalla que muestra la página de Conectores de datos con el conector de datos de API de indicadores de carga listado.

Configure su solución de plataforma de inteligencia de amenazas o aplicación personalizada

La API de indicadores de carga requiere la siguiente información de configuración:

  • Id. de aplicación (cliente)
  • Secreto del cliente
  • ID de trabajo de Microsoft Sentinel

Escriba estos valores en la configuración de su TIP integrada o solución personalizada cuando sea necesario.

  1. Envíe los indicadores a la API de indicadores de carga de Microsoft Sentinel. Para obtener más información sobre la API de indicadores de carga, consulte la API de indicadores de carga de Microsoft Sentinel.

  2. En cuestión de minutos, los indicadores de amenazas deberían empezar a fluir en su área de trabajo de Microsoft Sentinel. Busque los nuevos indicadores en el panel Inteligencia sobre amenazas, al que se puede acceder desde el menú de Microsoft Sentinel.

  3. El estado del conector de datos refleja el estado Conectado. El gráfico de Datos recibidos se actualiza después de que los indicadores se envían correctamente.

    Captura de pantalla que muestra el conector de datos de la API de indicadores de carga en el estado Conectado.

En este artículo, ha aprendido a conectar la TIP a Microsoft Sentinel. Para más información sobre el uso de indicadores de amenazas en Microsoft Sentinel, consulte los siguientes artículos: