fenyegetésfelderítési platform Csatlakozás a Microsoft Sentinelhez
Feljegyzés
Ez az adatösszekötő az elavulás útvonalán található. További részletek a pontos idővonalon lesznek közzétéve. Az új fenyegetésintelligencia-feltöltési mutatók API-adatösszekötő használatával új megoldásokat hozhat létre. További információ: Csatlakozás a fenyegetésfelderítési platformot a Microsoft Sentinelnek a feltöltési jelzők API-val.
Számos szervezet a fenyegetésfelderítési platform (TIP) megoldásait használja a különböző forrásokból származó fenyegetésmutató-hírcsatornák összesítéséhez. Az összesített hírcsatornából az adatok olyan biztonsági megoldásokra lesznek összeválogatva, mint a hálózati eszközök, a Végponti észlelés és reagálás/XDR-megoldások vagy az olyan SIEM-ek, mint a Microsoft Sentinel. A fenyegetésintelligencia-platformok adatösszekötője lehetővé teszi, hogy ezekkel a megoldásokkal fenyegetésjelzőket importáljon a Microsoft Sentinelbe.
Mivel a TIP adatösszekötő együttműködik a Microsoft Graph Security tiIndicators API-val ennek érdekében, az összekötővel mutatókat küldhet a Microsoft Sentinelnek (és más Microsoft biztonsági megoldásoknak, például a Microsoft Defender XDR-nek) bármely más egyéni fenyegetésfelderítési platformról, amely képes kommunikálni az adott API-val.
További információ a Microsoft Sentinel fenyegetésintelligencia-funkcióiról, valamint a Microsoft Sentinellel integrálható fenyegetésfelderítési platform termékeiről.
Feljegyzés
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Előfeltételek
- Az önálló tartalmak vagy megoldások tartalomközpontban való telepítéséhez, frissítéséhez és törléséhez az erőforráscsoport szintjén a Microsoft Sentinel közreműködői szerepkörre van szükség.
- A TIP-termékhez vagy bármely más egyéni alkalmazáshoz, amely a Microsoft Graph Security tiIndicators API-val való közvetlen integrációt használja, a globális rendszergazdai vagy biztonsági rendszergazdai Microsoft Entra szerepkörrel kell rendelkeznie.
- A fenyegetésjelzők tárolásához olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.
Utasítások
Az alábbi lépéseket követve importálhat fenyegetésjelzőket a Microsoft Sentinelbe az integrált TIPP- vagy egyéni fenyegetésfelderítési megoldásból:
- Alkalmazásazonosító és ügyfélkód beszerzése a Microsoft Entra-azonosítóból
- Adja meg ezeket az adatokat a TIP-megoldásba vagy az egyéni alkalmazásba
- A Fenyegetésfelderítési platformok adatösszekötő engedélyezése a Microsoft Sentinelben
Regisztráljon egy alkalmazásazonosítóra és egy titkos ügyfélkódra a Microsoft Entra-azonosítóból
Akár TIP-vel, akár egyéni megoldással dolgozik, a tiIndicators API-hoz alapvető információkra van szükség, amelyek lehetővé teszik a hírcsatorna csatlakoztatását és fenyegetésjelzők küldését. A három szükséges információ:
- Alkalmazás (ügyfél) azonosítója
- Címtár (bérlő) azonosítója
- Titkos ügyfélkód
Ezeket az információkat a Microsoft Entra-azonosítóból egy alkalmazásregisztráció nevű folyamaton keresztül szerezheti be, amely az alábbi három lépést tartalmazza:
- Alkalmazás regisztrálása a Microsoft Entra-azonosítóval
- Adja meg az alkalmazás által a Microsoft Graph tiIndicators API-hoz való csatlakozáshoz és a fenyegetésjelzők küldéséhez szükséges engedélyeket
- Kérje meg a szervezet hozzájárulását, hogy megadja ezeket az engedélyeket az alkalmazásnak.
Alkalmazás regisztrálása a Microsoft Entra-azonosítóval
Az Azure Portalon lépjen a Microsoft Entra ID szolgáltatáshoz.
Válassza az Alkalmazásregisztrációk lehetőséget a menüben, és válassza az Új regisztráció lehetőséget.
Válasszon nevet az alkalmazásregisztrációnak, válassza az Egybérlős választógombot, és válassza a Regisztráció lehetőséget.
Az eredményként kapott képernyőn másolja ki az alkalmazás (ügyfél) azonosítóját és a címtár (bérlő) azonosítóját. Ez az első két információ, amelyre később szüksége lesz a TIPP vagy az egyéni megoldás konfigurálásához, hogy fenyegetésjelzőket küldjön a Microsoft Sentinelnek. A harmadik, az ügyfél titkos kódja, később jön.
Adja meg az alkalmazás által igényelt engedélyeket
Térjen vissza a Microsoft Entra ID szolgáltatás főoldalára.
Válassza az Alkalmazásregisztrációk lehetőséget a menüben, és válassza ki az újonnan regisztrált alkalmazást.
Válassza ki az API-engedélyeket a menüből, és válassza az Engedély hozzáadása gombot.
Az API kiválasztása lapon válassza ki a Microsoft Graph API-t, majd válasszon a Microsoft Graph-engedélyek listájából.
A "Milyen típusú engedélyeket igényel az alkalmazás?" kérdésnél válassza az Alkalmazásengedélyek lehetőséget. Ez az alkalmazásazonosítóval és alkalmazástitkokkal (API-kulcsokkal) hitelesítő alkalmazások által használt engedélyek típusa.
Válassza a ThreatIndicators.ReadWrite.OwnedBy lehetőséget, és válassza az Engedélyek hozzáadása lehetőséget, hogy hozzáadja ezt az engedélyt az alkalmazás engedélylistájához.
Hozzájárulás kérése a szervezettől ezeknek az engedélyeknek a megadásához
A hozzájárulás beszerzéséhez egy Microsoft Entra Global Rendszergazda istratorra van szüksége ahhoz, hogy az alkalmazás API-engedélyoldalán válassza a bérlői hozzájárulás megadása gombot. Ha nem rendelkezik a globális Rendszergazda istrator szerepkörrel a fiókjában, ez a gomb nem lesz elérhető, és a lépés végrehajtásához meg kell kérnie egy globális Rendszergazda istratort a szervezettől.
Miután megadta az alkalmazásnak a hozzájárulást, egy zöld pipa jelenik meg az Állapot területen.
Most, hogy az alkalmazás regisztrálva lett, és az engedélyek meg lettek adva, az utolsó dolgot is megkaphatja a listában – az alkalmazás ügyféltitkát.
Térjen vissza a Microsoft Entra ID szolgáltatás főoldalára.
Válassza az Alkalmazásregisztrációk lehetőséget a menüben, és válassza ki az újonnan regisztrált alkalmazást.
A menüben válassza a Tanúsítványok > titkos kulcsok lehetőséget, majd az Új ügyfélkód gombot az alkalmazás titkos kulcsának (API-kulcs) fogadásához.
Válassza a Hozzáadás gombot, és másolja ki az ügyfél titkos kulcsát.
Fontos
A képernyő elhagyása előtt ki kell másolnia az ügyfél titkos kulcsát . Ezt a titkos kulcsot nem lehet újból lekérni, ha erről a lapról navigál. Erre az értékre a TIPP vagy az egyéni megoldás konfigurálásakor lesz szüksége.
Adja meg ezeket az adatokat a TIP-megoldásba vagy az egyéni alkalmazásba
Most már mind a három információval rendelkezik, amelyet a TIPP vagy az egyéni megoldás konfigurálásához kell beállítania, hogy fenyegetésjelzőket küldjön a Microsoft Sentinelnek.
- Alkalmazás (ügyfél) azonosítója
- Címtár (bérlő) azonosítója
- Titkos ügyfélkód
Szükség esetén adja meg ezeket az értékeket az integrált TIPP vagy egyéni megoldás konfigurációjában.
A céltermékhez adja meg az Azure Sentinelt. (A "Microsoft Sentinel" megadása hibát eredményez.)
A művelethez adja meg a riasztást.
A konfiguráció befejezése után a fenyegetésjelzőket a RENDSZER a Microsoft Sentinelre célzott Microsoft Graph tiIndicators API-n keresztül küldi el a TIP-ből vagy az egyéni megoldásból.
A Fenyegetésfelderítési platformok adatösszekötő engedélyezése a Microsoft Sentinelben
Az integrációs folyamat utolsó lépése a Fenyegetésintelligencia-platformok adatösszekötőjének engedélyezése a Microsoft Sentinelben. Az összekötő engedélyezése lehetővé teszi, hogy a Microsoft Sentinel megkapja a TIP-ből vagy egyéni megoldásból küldött fenyegetésjelzőket. Ezek a mutatók a szervezet összes Microsoft Sentinel-munkaterületén elérhetők lesznek. Az alábbi lépéseket követve engedélyezheti a Fenyegetésintelligencia-platformok adatösszekötőt az egyes munkaterületekhez:
Az Azure PortalOn a Microsoft Sentinel esetében a Tartalomkezelés területen válassza a Content Hub lehetőséget.
Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Tartalomkezelési>tartalomközpontot.Keresse meg és válassza ki a fenyegetésfelderítési megoldást.
Válassza a Telepítés/frissítés gombot.
A megoldásösszetevők kezelésével kapcsolatos további információkért tekintse meg a beépített tartalmak felderítését és üzembe helyezését ismertető cikket.
A TIP-adatösszekötő konfigurálásához válassza a Konfigurációs>adatösszekötők lehetőséget.
Keresse meg és válassza ki a Fenyegetésfelderítési platformok adatösszekötő >open connector page button (Összekötő megnyitása) gombot.
Mivel már elvégezte az alkalmazásregisztrációt, és konfigurálta a TIPP-t vagy az egyéni megoldást a fenyegetésjelzők küldésére, az egyetlen lépés a Csatlakozás gomb kiválasztása.
Néhány percen belül a fenyegetésjelzőknek el kell indulnia ebbe a Microsoft Sentinel-munkaterületbe. Az új jelzőket a Fenyegetésintelligencia panelen találja, amely a Microsoft Sentinel navigációs menüjéből érhető el.
Kapcsolódó tartalom
Ebben a dokumentumban megtanulta, hogyan csatlakoztathatja fenyegetésfelderítési platformját a Microsoft Sentinelhez. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben.
- Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
- Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.