fenyegetésfelderítési platform Csatlakozás a Microsoft Sentinelhez

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Feljegyzés

Ez az adatösszekötő az elavulás útvonalán található. További részletek a pontos idővonalon lesznek közzétéve. Az új fenyegetésintelligencia-feltöltési mutatók API-adatösszekötő használatával új megoldásokat hozhat létre. További információ: Csatlakozás a fenyegetésfelderítési platformot a Microsoft Sentinelnek a feltöltési jelzők API-val.

Számos szervezet a fenyegetésfelderítési platform (TIP) megoldásait használja a különböző forrásokból származó fenyegetésmutató-hírcsatornák összesítéséhez. Az összesített hírcsatornából az adatok olyan biztonsági megoldásokra lesznek összeválogatva, mint a hálózati eszközök, a Végponti észlelés és reagálás/XDR-megoldások vagy az olyan SIEM-ek, mint a Microsoft Sentinel. A fenyegetésintelligencia-platformok adatösszekötője lehetővé teszi, hogy ezekkel a megoldásokkal fenyegetésjelzőket importáljon a Microsoft Sentinelbe.

Mivel a TIP adatösszekötő együttműködik a Microsoft Graph Security tiIndicators API-val ennek érdekében, az összekötővel mutatókat küldhet a Microsoft Sentinelnek (és más Microsoft biztonsági megoldásoknak, például a Microsoft Defender XDR-nek) bármely más egyéni fenyegetésfelderítési platformról, amely képes kommunikálni az adott API-val.

Fenyegetésintelligencia importálási útvonala

További információ a Microsoft Sentinel fenyegetésintelligencia-funkcióiról, valamint a Microsoft Sentinellel integrálható fenyegetésfelderítési platform termékeiről.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

  • Az önálló tartalmak vagy megoldások tartalomközpontban való telepítéséhez, frissítéséhez és törléséhez az erőforráscsoport szintjén a Microsoft Sentinel közreműködői szerepkörre van szükség.
  • A TIP-termékhez vagy bármely más egyéni alkalmazáshoz, amely a Microsoft Graph Security tiIndicators API-val való közvetlen integrációt használja, a globális rendszergazdai vagy biztonsági rendszergazdai Microsoft Entra szerepkörrel kell rendelkeznie.
  • A fenyegetésjelzők tárolásához olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.

Utasítások

Az alábbi lépéseket követve importálhat fenyegetésjelzőket a Microsoft Sentinelbe az integrált TIPP- vagy egyéni fenyegetésfelderítési megoldásból:

  1. Alkalmazásazonosító és ügyfélkód beszerzése a Microsoft Entra-azonosítóból
  2. Adja meg ezeket az adatokat a TIP-megoldásba vagy az egyéni alkalmazásba
  3. A Fenyegetésfelderítési platformok adatösszekötő engedélyezése a Microsoft Sentinelben

Regisztráljon egy alkalmazásazonosítóra és egy titkos ügyfélkódra a Microsoft Entra-azonosítóból

Akár TIP-vel, akár egyéni megoldással dolgozik, a tiIndicators API-hoz alapvető információkra van szükség, amelyek lehetővé teszik a hírcsatorna csatlakoztatását és fenyegetésjelzők küldését. A három szükséges információ:

  • Alkalmazás (ügyfél) azonosítója
  • Címtár (bérlő) azonosítója
  • Titkos ügyfélkód

Ezeket az információkat a Microsoft Entra-azonosítóból egy alkalmazásregisztráció nevű folyamaton keresztül szerezheti be, amely az alábbi három lépést tartalmazza:

  • Alkalmazás regisztrálása a Microsoft Entra-azonosítóval
  • Adja meg az alkalmazás által a Microsoft Graph tiIndicators API-hoz való csatlakozáshoz és a fenyegetésjelzők küldéséhez szükséges engedélyeket
  • Kérje meg a szervezet hozzájárulását, hogy megadja ezeket az engedélyeket az alkalmazásnak.

Alkalmazás regisztrálása a Microsoft Entra-azonosítóval

  1. Az Azure Portalon lépjen a Microsoft Entra ID szolgáltatáshoz.

  2. Válassza az Alkalmazásregisztrációk lehetőséget a menüben, és válassza az Új regisztráció lehetőséget.

  3. Válasszon nevet az alkalmazásregisztrációnak, válassza az Egybérlős választógombot, és válassza a Regisztráció lehetőséget.

    Egy alkalmazás regisztrálása

  4. Az eredményként kapott képernyőn másolja ki az alkalmazás (ügyfél) azonosítóját és a címtár (bérlő) azonosítóját. Ez az első két információ, amelyre később szüksége lesz a TIPP vagy az egyéni megoldás konfigurálásához, hogy fenyegetésjelzőket küldjön a Microsoft Sentinelnek. A harmadik, az ügyfél titkos kódja, később jön.

Adja meg az alkalmazás által igényelt engedélyeket

  1. Térjen vissza a Microsoft Entra ID szolgáltatás főoldalára.

  2. Válassza az Alkalmazásregisztrációk lehetőséget a menüben, és válassza ki az újonnan regisztrált alkalmazást.

  3. Válassza ki az API-engedélyeket a menüből, és válassza az Engedély hozzáadása gombot.

  4. Az API kiválasztása lapon válassza ki a Microsoft Graph API-t, majd válasszon a Microsoft Graph-engedélyek listájából.

  5. A "Milyen típusú engedélyeket igényel az alkalmazás?" kérdésnél válassza az Alkalmazásengedélyek lehetőséget. Ez az alkalmazásazonosítóval és alkalmazástitkokkal (API-kulcsokkal) hitelesítő alkalmazások által használt engedélyek típusa.

  6. Válassza a ThreatIndicators.ReadWrite.OwnedBy lehetőséget, és válassza az Engedélyek hozzáadása lehetőséget, hogy hozzáadja ezt az engedélyt az alkalmazás engedélylistájához.

    Engedélyek megadása

  1. A hozzájárulás beszerzéséhez egy Microsoft Entra Global Rendszergazda istratorra van szüksége ahhoz, hogy az alkalmazás API-engedélyoldalán válassza a bérlői hozzájárulás megadása gombot. Ha nem rendelkezik a globális Rendszergazda istrator szerepkörrel a fiókjában, ez a gomb nem lesz elérhető, és a lépés végrehajtásához meg kell kérnie egy globális Rendszergazda istratort a szervezettől.

    Hozzájárulás megadása

  2. Miután megadta az alkalmazásnak a hozzájárulást, egy zöld pipa jelenik meg az Állapot területen.

Most, hogy az alkalmazás regisztrálva lett, és az engedélyek meg lettek adva, az utolsó dolgot is megkaphatja a listában – az alkalmazás ügyféltitkát.

  1. Térjen vissza a Microsoft Entra ID szolgáltatás főoldalára.

  2. Válassza az Alkalmazásregisztrációk lehetőséget a menüben, és válassza ki az újonnan regisztrált alkalmazást.

  3. A menüben válassza a Tanúsítványok > titkos kulcsok lehetőséget, majd az Új ügyfélkód gombot az alkalmazás titkos kulcsának (API-kulcs) fogadásához.

    Titkos ügyfélkód lekérése

  4. Válassza a Hozzáadás gombot, és másolja ki az ügyfél titkos kulcsát.

    Fontos

    A képernyő elhagyása előtt ki kell másolnia az ügyfél titkos kulcsát . Ezt a titkos kulcsot nem lehet újból lekérni, ha erről a lapról navigál. Erre az értékre a TIPP vagy az egyéni megoldás konfigurálásakor lesz szüksége.

Adja meg ezeket az adatokat a TIP-megoldásba vagy az egyéni alkalmazásba

Most már mind a három információval rendelkezik, amelyet a TIPP vagy az egyéni megoldás konfigurálásához kell beállítania, hogy fenyegetésjelzőket küldjön a Microsoft Sentinelnek.

  • Alkalmazás (ügyfél) azonosítója
  • Címtár (bérlő) azonosítója
  • Titkos ügyfélkód

  1. Szükség esetén adja meg ezeket az értékeket az integrált TIPP vagy egyéni megoldás konfigurációjában.

  2. A céltermékhez adja meg az Azure Sentinelt. (A "Microsoft Sentinel" megadása hibát eredményez.)

  3. A művelethez adja meg a riasztást.

A konfiguráció befejezése után a fenyegetésjelzőket a RENDSZER a Microsoft Sentinelre célzott Microsoft Graph tiIndicators API-n keresztül küldi el a TIP-ből vagy az egyéni megoldásból.

A Fenyegetésfelderítési platformok adatösszekötő engedélyezése a Microsoft Sentinelben

Az integrációs folyamat utolsó lépése a Fenyegetésintelligencia-platformok adatösszekötőjének engedélyezése a Microsoft Sentinelben. Az összekötő engedélyezése lehetővé teszi, hogy a Microsoft Sentinel megkapja a TIP-ből vagy egyéni megoldásból küldött fenyegetésjelzőket. Ezek a mutatók a szervezet összes Microsoft Sentinel-munkaterületén elérhetők lesznek. Az alábbi lépéseket követve engedélyezheti a Fenyegetésintelligencia-platformok adatösszekötőt az egyes munkaterületekhez:

  1. Az Azure PortalOn a Microsoft Sentinel esetében a Tartalomkezelés területen válassza a Content Hub lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Tartalomkezelési>tartalomközpontot.

  2. Keresse meg és válassza ki a fenyegetésfelderítési megoldást.

  3. Válassza a Telepítés/frissítés gombot.

A megoldásösszetevők kezelésével kapcsolatos további információkért tekintse meg a beépített tartalmak felderítését és üzembe helyezését ismertető cikket.

  1. A TIP-adatösszekötő konfigurálásához válassza a Konfigurációs>adatösszekötők lehetőséget.

  2. Keresse meg és válassza ki a Fenyegetésfelderítési platformok adatösszekötő >open connector page button (Összekötő megnyitása) gombot.

    Képernyőkép az adatösszekötők lapjáról, amelyen a TIP adatösszekötő szerepel.

  3. Mivel már elvégezte az alkalmazásregisztrációt, és konfigurálta a TIPP-t vagy az egyéni megoldást a fenyegetésjelzők küldésére, az egyetlen lépés a Csatlakozás gomb kiválasztása.

Néhány percen belül a fenyegetésjelzőknek el kell indulnia ebbe a Microsoft Sentinel-munkaterületbe. Az új jelzőket a Fenyegetésintelligencia panelen találja, amely a Microsoft Sentinel navigációs menüjéből érhető el.

Kapcsolódó tartalom

Ebben a dokumentumban megtanulta, hogyan csatlakoztathatja fenyegetésfelderítési platformját a Microsoft Sentinelhez. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben.