A fenyegetésfelderítési platform Csatlakozás a Microsoft Sentinelbe a feltöltési mutatók API-val
Számos szervezet a fenyegetésfelderítési platform (TIP) megoldásait használja a különböző forrásokból származó fenyegetésmutató-hírcsatornák összesítéséhez. Az összesített hírcsatornából az adatok olyan biztonsági megoldásokra lesznek összeválogatva, mint a hálózati eszközök, a Végponti észlelés és reagálás/XDR-megoldások vagy az olyan SIEM-ek, mint a Microsoft Sentinel. A Threat Intelligence Upload Indicators API adatösszekötője lehetővé teszi, hogy ezekkel a megoldásokkal fenyegetésjelzőket importáljon a Microsoft Sentinelbe. Ez az adatösszekötő a Sentinel upload indicators API-t használja a fenyegetésintelligencia-jelzők Microsoft Sentinelbe való betöltéséhez. További információ: Fenyegetésfelderítés.
Fontos
A Microsoft Sentinel upload indicators API és Threat Intelligence Upload Indicators API-adatösszekötő előzetes verzióban érhető el. A Microsoft Azure Előzetes verzió kiegészítő használati feltételeiben további jogi feltételeket talál, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Feljegyzés
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.
Lásd még: Csatlakozás Microsoft Sentinelt a STIX/TAXII fenyegetésfelderítési hírcsatornákhoz
Előfeltételek
- Az önálló tartalmak vagy megoldások tartalomközpontban való telepítéséhez, frissítéséhez és törléséhez az erőforráscsoport szintjén a Microsoft Sentinel közreműködői szerepkörre van szükség.
- A fenyegetésjelzők tárolásához olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.
- Regisztrálnia kell egy Microsoft Entra-alkalmazást.
- A Microsoft Entra alkalmazásnak a munkaterület szintjén meg kell adni a Microsoft Sentinel közreműködői szerepkört.
Utasítások
Az alábbi lépéseket követve importálhat fenyegetésjelzőket a Microsoft Sentinelbe az integrált TIPP- vagy egyéni fenyegetésfelderítési megoldásból:
- Regisztráljon egy Microsoft Entra-alkalmazást, és rögzítse annak alkalmazásazonosítóját.
- Hozzon létre és rögzítsen egy ügyfélkulcsot a Microsoft Entra-alkalmazáshoz.
- Rendelje hozzá a Microsoft Entra-alkalmazást a Microsoft Sentinel közreműködői szerepköréhez vagy azzal egyenértékűhez.
- Engedélyezze a threat intelligence upload API-adatösszekötőt a Microsoft Sentinelben.
- A TIP-megoldás vagy az egyéni alkalmazás konfigurálása.
Microsoft Entra-alkalmazás regisztrálása
Az alapértelmezett felhasználói szerepkör-engedélyek lehetővé teszik, hogy a felhasználók alkalmazásregisztrációkat hozzanak létre. Ha ezt a beállítást Nem értékre váltotta, engedélyre van szüksége az alkalmazások Microsoft Entra-azonosítóban való kezeléséhez. Az alábbi Microsoft Entra-szerepkörök bármelyike tartalmazza a szükséges engedélyeket:
- Alkalmazás-rendszergazda
- Alkalmazásfejlesztő
- Felhőalkalmazás-rendszergazda
A Microsoft Entra-alkalmazás regisztrálásával kapcsolatos további információkért lásd : Alkalmazás regisztrálása.
Miután regisztrálta az alkalmazást, rögzítse az alkalmazás (ügyfél) azonosítóját az alkalmazás Áttekintés lapján.
Titkos ügyfélkód létrehozása és rögzítése
Most, hogy az alkalmazás regisztrálva lett, hozzon létre és rögzítsen egy titkos ügyfélkulcsot.
Az ügyfélkód létrehozásával kapcsolatos további információkért lásd: Ügyféltitkos hozzáadása.
Szerepkör hozzárendelése az alkalmazáshoz
A feltöltési mutatók API-ja a munkaterület szintjén tölti be a fenyegetésjelzőket, és lehetővé teszi a Microsoft Sentinel-közreműködő minimális jogosultsági szerepkörét.
Az Azure Portalon lépjen a Log Analytics-munkaterületekre.
Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget>.
A Szerepkör lapon válassza a Következő Microsoft Sentinel közreműködői szerepkört>.
A Tagok lapon válassza a Hozzáférés hozzárendelése felhasználóhoz, csoporthoz>vagy szolgáltatásnévhez lehetőséget.
Válassza ki a tagokat. Alapértelmezés szerint a Microsoft Entra-alkalmazások nem jelennek meg az elérhető lehetőségek között. Az alkalmazás megkereséséhez keressen rá név szerint.
Válassza a>Véleményezés + hozzárendelés lehetőséget.
További információ a szerepkörök alkalmazásokhoz való hozzárendeléséről: Szerepkör hozzárendelése az alkalmazáshoz.
A Fenyegetésintelligencia-feltöltési mutatók API-adatösszekötőjének engedélyezése a Microsoft Sentinelben
Engedélyezze a Threat Intelligence Upload Indicators API-adatösszekötőt , hogy a Microsoft Sentinel fogadni tudja a TIPP-ből vagy egyéni megoldásból küldött fenyegetésjelzőket. Ezek a mutatók a konfigurált Microsoft Sentinel-munkaterületen érhetők el.
Az Azure PortalOn a Microsoft Sentinel esetében a Tartalomkezelés területen válassza a Content Hub lehetőséget.
Microsoft Sentinel esetén a Defender portálon válassza a Microsoft Sentinel>Tartalomkezelési>tartalomközpontot.Keresse meg és válassza ki a fenyegetésfelderítési megoldást.
Válassza a Telepítés/frissítés gombot.
A megoldásösszetevők kezelésével kapcsolatos további információkért tekintse meg a beépített tartalmak felderítését és üzembe helyezését ismertető cikket.
Az adatösszekötő mostantól látható a Configuration>Data Csatlakozás orsban. Az adatösszekötő oldalának megnyitásával további információt talál az alkalmazás ezzel az API-val való konfigurálásáról.
A TIP-megoldás vagy az egyéni alkalmazás konfigurálása
A feltöltési mutatók API-jának következő konfigurációs adatai:
- Alkalmazás (ügyfél) azonosítója
- Titkos ügyfélkód
- Microsoft Sentinel-munkaterület azonosítója
Szükség esetén adja meg ezeket az értékeket az integrált TIPP vagy egyéni megoldás konfigurációjában.
Küldje el a mutatókat a Microsoft Sentinel upload API-nak. A feltöltési mutatók API-val kapcsolatos további információkért tekintse meg a Microsoft Sentinel upload indicators API referenciadokumentumát.
Néhány percen belül a fenyegetésjelzőknek meg kell kezdődnie a Microsoft Sentinel-munkaterületre való átvitelnek. Keresse meg az új jelzőket a Fenyegetésintelligencia panelen, amely a Microsoft Sentinel navigációs menüjéből érhető el.
Az adatösszekötő állapota a Csatlakozás állapotot tükrözi, és a kapott adatok gráfja a mutatók sikeres elküldése után frissül.
Kapcsolódó tartalom
Ebben a dokumentumban megtanulta, hogyan csatlakoztathatja fenyegetésfelderítési platformját a Microsoft Sentinelhez. Ha többet szeretne megtudni a fenyegetésjelzők Microsoft Sentinelben való használatáról, tekintse meg az alábbi cikkeket.
- A fenyegetésintelligencia ismertetése.
- A Fenyegetésjelzők használata a Microsoft Sentinel teljes felületén.
- Ismerkedés a fenyegetések észlelésével a Microsoft Sentinel beépített vagy egyéni elemzési szabályaival.