A fenyegetésfelderítési platform Csatlakozás a Microsoft Sentinelbe a feltöltési mutatók API-val

  • Cikk
  • A következőre érvényes::
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Számos szervezet a fenyegetésfelderítési platform (TIP) megoldásait használja a különböző forrásokból származó fenyegetésmutató-hírcsatornák összesítéséhez. Az összesített hírcsatornából az adatok olyan biztonsági megoldásokra lesznek összeválogatva, mint a hálózati eszközök, a Végponti észlelés és reagálás/XDR-megoldások vagy az olyan SIEM-ek, mint a Microsoft Sentinel. A Threat Intelligence Upload Indicators API adatösszekötője lehetővé teszi, hogy ezekkel a megoldásokkal fenyegetésjelzőket importáljon a Microsoft Sentinelbe. Ez az adatösszekötő a Sentinel upload indicators API-t használja a fenyegetésintelligencia-jelzők Microsoft Sentinelbe való betöltéséhez. További információ: Fenyegetésfelderítés.

Fenyegetésintelligencia importálási útvonala

Fontos

A Microsoft Sentinel upload indicators API és Threat Intelligence Upload Indicators API-adatösszekötő előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

Lásd még: Csatlakozás Microsoft Sentinelt a STIX/TAXII fenyegetésfelderítési hírcsatornákhoz

Előfeltételek

  • Az önálló tartalmak vagy megoldások tartalomközpontban való telepítéséhez, frissítéséhez és törléséhez az erőforráscsoport szintjén a Microsoft Sentinel közreműködői szerepkörre van szükség.
  • A fenyegetésjelzők tárolásához olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.
  • Regisztrálnia kell egy Microsoft Entra-alkalmazást.
  • A Microsoft Entra alkalmazásnak a munkaterület szintjén meg kell adni a Microsoft Sentinel közreműködői szerepkört.

Utasítások

Az alábbi lépéseket követve importálhat fenyegetésjelzőket a Microsoft Sentinelbe az integrált TIPP- vagy egyéni fenyegetésfelderítési megoldásból:

  1. Regisztráljon egy Microsoft Entra-alkalmazást, és rögzítse annak alkalmazásazonosítóját.
  2. Hozzon létre és rögzítsen egy ügyfélkulcsot a Microsoft Entra-alkalmazáshoz.
  3. Rendelje hozzá a Microsoft Entra-alkalmazást a Microsoft Sentinel közreműködői szerepköréhez vagy azzal egyenértékűhez.
  4. Engedélyezze a threat intelligence upload API-adatösszekötőt a Microsoft Sentinelben.
  5. A TIP-megoldás vagy az egyéni alkalmazás konfigurálása.

Microsoft Entra-alkalmazás regisztrálása

Az alapértelmezett felhasználói szerepkör-engedélyek lehetővé teszik, hogy a felhasználók alkalmazásregisztrációkat hozzanak létre. Ha ezt a beállítást Nem értékre váltotta, engedélyre van szüksége az alkalmazások Microsoft Entra-azonosítóban való kezeléséhez. Az alábbi Microsoft Entra-szerepkörök bármelyike tartalmazza a szükséges engedélyeket:

  • Alkalmazás-rendszergazda
  • Alkalmazásfejlesztő
  • Felhőalkalmazás-rendszergazda

A Microsoft Entra-alkalmazás regisztrálásával kapcsolatos további információkért lásd : Alkalmazás regisztrálása.

Miután regisztrálta az alkalmazást, rögzítse az alkalmazás (ügyfél) azonosítóját az alkalmazás Áttekintés lapján.

Titkos ügyfélkód létrehozása és rögzítése

Most, hogy az alkalmazás regisztrálva lett, hozzon létre és rögzítsen egy titkos ügyfélkulcsot.

Képernyőkép az ügyfél titkos kódjának generálásról.

Az ügyfélkód létrehozásával kapcsolatos további információkért lásd: Ügyféltitkos hozzáadása.

Szerepkör hozzárendelése az alkalmazáshoz

A feltöltési mutatók API-ja a munkaterület szintjén tölti be a fenyegetésjelzőket, és lehetővé teszi a Microsoft Sentinel-közreműködő minimális jogosultsági szerepkörét.

  1. Az Azure Portalon lépjen a Log Analytics-munkaterületekre.

  2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  3. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget>.

  4. A Szerepkör lapon válassza a Következő Microsoft Sentinel közreműködői szerepkört>.

  5. A Tagok lapon válassza a Hozzáférés hozzárendelése felhasználóhoz, csoporthoz>vagy szolgáltatásnévhez lehetőséget.

  6. Válassza ki a tagokat. Alapértelmezés szerint a Microsoft Entra-alkalmazások nem jelennek meg az elérhető lehetőségek között. Az alkalmazás megkereséséhez keressen rá név szerint. Képernyőkép az alkalmazáshoz hozzárendelt Microsoft Sentinel közreműködői szerepkörről a munkaterület szintjén.

  7. Válassza a>Véleményezés + hozzárendelés lehetőséget.

További információ a szerepkörök alkalmazásokhoz való hozzárendeléséről: Szerepkör hozzárendelése az alkalmazáshoz.

A Fenyegetésintelligencia-feltöltési mutatók API-adatösszekötőjének engedélyezése a Microsoft Sentinelben

Engedélyezze a Threat Intelligence Upload Indicators API-adatösszekötőt , hogy a Microsoft Sentinel fogadni tudja a TIPP-ből vagy egyéni megoldásból küldött fenyegetésjelzőket. Ezek a mutatók a konfigurált Microsoft Sentinel-munkaterületen érhetők el.

  1. Az Azure PortalOn a Microsoft Sentinel esetében a Tartalomkezelés területen válassza a Content Hub lehetőséget.
    Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Tartalomkezelési>tartalomközpontot.

  2. Keresse meg és válassza ki a fenyegetésfelderítési megoldást.

  3. Válassza a Telepítés/frissítés gombot.

A megoldásösszetevők kezelésével kapcsolatos további információkért tekintse meg a beépített tartalmak felderítését és üzembe helyezését ismertető cikket.

  1. Az adatösszekötő mostantól látható a Configuration>Data Csatlakozás orsban. Az adatösszekötő oldalának megnyitásával további információt talál az alkalmazás ezzel az API-val való konfigurálásáról.

    Képernyőkép az adatösszekötők oldalról a feltöltési API-adatösszekötővel.

A TIP-megoldás vagy az egyéni alkalmazás konfigurálása

A feltöltési mutatók API-jának következő konfigurációs adatai:

  • Alkalmazás (ügyfél) azonosítója
  • Titkos ügyfélkód
  • Microsoft Sentinel-munkaterület azonosítója

Szükség esetén adja meg ezeket az értékeket az integrált TIPP vagy egyéni megoldás konfigurációjában.

  1. Küldje el a mutatókat a Microsoft Sentinel upload API-nak. A feltöltési mutatók API-val kapcsolatos további információkért tekintse meg a Microsoft Sentinel upload indicators API referenciadokumentumát.

  2. Néhány percen belül a fenyegetésjelzőknek meg kell kezdődnie a Microsoft Sentinel-munkaterületre való átvitelnek. Keresse meg az új jelzőket a Fenyegetésintelligencia panelen, amely a Microsoft Sentinel navigációs menüjéből érhető el.

  3. Az adatösszekötő állapota a Csatlakozás állapotot tükrözi, és a kapott adatok gráfja a mutatók sikeres elküldése után frissül.

    Képernyőkép a feltöltési mutatók API-adatösszekötőről a csatlakoztatott állapotban.

Kapcsolódó tartalom

Ebben a dokumentumban megtanulta, hogyan csatlakoztathatja fenyegetésfelderítési platformját a Microsoft Sentinelhez. Ha többet szeretne megtudni a fenyegetésjelzők Microsoft Sentinelben való használatáról, tekintse meg az alábbi cikkeket.