Share via

Menyambungkan platform inteligensi ancaman Anda ke Microsoft Azure Sentinel

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Catatan

Konektor data ini berada di jalur untuk penghentian. Detail lebih lanjut akan diterbitkan pada garis waktu yang tepat. Gunakan konektor data API indikator unggahan inteligensi ancaman baru untuk solusi baru ke depannya. Untuk informasi selengkapnya, lihat Koneksi platform inteligensi ancaman Anda ke Microsoft Sentinel dengan API indikator unggahan.

Banyak organisasi menggunakan solusi platform inteligensi ancaman (TIP) untuk menggabungkan umpan indikator ancaman dari berbagai sumber. Dari umpan agregat, data dikumpulkan untuk diterapkan ke solusi keamanan seperti perangkat jaringan, solusi EDR/XDR, atau SIEM seperti Microsoft Sentinel. Konektor data Platform Inteligensi Ancaman memungkinkan Anda menggunakan solusi ini untuk mengimpor indikator ancaman ke Microsoft Azure Sentinel.

Karena konektor data TIP berfungsi dengan Microsoft Graph Security tiIndicators API untuk mencapai hal ini, Anda dapat menggunakan konektor untuk mengirim indikator ke Microsoft Azure Sentinel (dan ke solusi keamanan Microsoft lainnya seperti Microsoft Defender XDR) dari platform inteligensi ancaman kustom lainnya yang dapat berkomunikasi dengan API tersebut.

Jalur impor inteligensi ancaman

Pelajari lebih lanjut tentang Inteligensi Ancaman di Microsoft Azure Sentinel, dan khususnya tentang produk platform inteligensi ancaman yang dapat diintegrasikan dengan Microsoft Azure Sentinel.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Penting

Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Prasyarat

  • Untuk menginstal, memperbarui, dan menghapus konten atau solusi mandiri di hub konten, Anda memerlukan peran Kontributor Microsoft Azure Sentinel di tingkat grup sumber daya.
  • Anda harus memiliki peran Administrator global atau Administrator keamanan Microsoft Entra untuk memberikan izin ke produk TIP Anda atau ke aplikasi kustom lainnya yang menggunakan integrasi langsung dengan MICROSOFT Graph Security tiIndicators API.
  • Anda harus memiliki izin membaca dan menulis ke ruang kerja Microsoft Azure Sentinel untuk menyimpan indikator ancaman Anda.

Petunjuk

Ikuti langkah-langkah ini untuk mengimpor indikator ancaman ke Microsoft Azure Sentinel dari TIP terintegrasi atau solusi inteligensi ancaman kustom Anda:

  1. Mendapatkan ID Aplikasi dan Rahasia Klien dari ID Microsoft Entra Anda
  2. Masukkan informasi ini ke dalam solusi TIP atau aplikasi kustom Anda
  3. Mengaktifkan konektor data Platform Inteligensi Ancaman di Microsoft Sentinel

Mendaftar untuk ID Aplikasi dan rahasia Klien dari ID Microsoft Entra Anda

Apakah Anda bekerja dengan TIP atau dengan solusi khusus, tiIndicators API memerlukan beberapa informasi dasar untuk memungkinkan Anda memberikan umpan dan mengirimkan indikator ancaman. Tiga informasi yang Anda perlukan adalah:

  • Aplikasi (ID klien)
  • ID (tenant) direktori
  • Rahasia Klien

Anda bisa mendapatkan informasi ini dari ID Microsoft Entra Anda melalui proses yang disebut Pendaftaran Aplikasi yang mencakup tiga langkah berikut:

  • Mendaftarkan aplikasi dengan ID Microsoft Entra
  • Tentukan izin yang diperlukan oleh aplikasi untuk menyambungkan ke Microsoft Graph API tiIndikator dan kirim indikator ancaman
  • Dapatkan persetujuan dari organisasi Anda untuk memberikan izin ini pada aplikasi ini.

Mendaftarkan aplikasi dengan ID Microsoft Entra

  1. Dari portal Azure, navigasikan ke layanan ID Microsoft Entra.

  2. Pilih Pendaftaran Aplikasi dari menu dan pilih Pendaftaran baru.

  3. Pilih nama untuk pendaftaran aplikasi Anda, pilih tombol radio Penyewa tunggal, dan pilih Pendaftaran.

    Daftarkan aplikasi

  4. Dari layar yang dihasilkan, salin nilai ID Aplikasi (klien) dan nilai ID Direktori (penyewa). Ini adalah dua informasi pertama yang anda perlukan nanti untuk mengonfigurasi TIP atau solusi kustom anda untuk mengirim indikator ancaman ke Microsoft Azure Sentinel. Yang ketiga, Rahasia klien, datang kemudian.

Tentukan izin yang diperlukan oleh aplikasi

  1. Kembali ke halaman utama layanan ID Microsoft Entra.

  2. Pilih Registrasi Aplikasi dari menu dan pilih aplikasi yang baru terdaftar.

  3. Pilih Izin API dari menu dan klik tombol Tambahkan izin.

  4. Pada halaman Pilih API, pilih API Microsoft Graph, lalu pilih dari daftar izin Microsoft Graph.

  5. Saat diminta "Jenis izin apa yang diperlukan aplikasi Anda?" pilih Izin aplikasi. Ini adalah jenis izin yang digunakan oleh aplikasi yang mengautentikasi dengan ID Aplikasi dan Rahasia Aplikasi (Kunci API).

  6. Pilih ThreatIndicators.ReadWrite.OwnedBy dan pilih Tambahkan izin untuk menambahkan izin ini ke daftar izin aplikasi Anda.

    Menentukan izin

  1. Untuk mendapatkan persetujuan, Anda memerlukan Administrator Global Microsoft Entra untuk memilih tombol Berikan persetujuan admin untuk penyewa Anda di halaman izin API aplikasi Anda. Jika Anda tidak memiliki peran Administrator Global di akun Anda, tombol ini tidak akan tersedia, dan Anda harus meminta Administrator Global dari organisasi Anda untuk melakukan langkah ini.

    Memberikan persetujuan

  2. Setelah persetujuan diberikan ke aplikasi Anda, Anda akan melihat tanda centang hijau di bawah Status.

Sekarang setelah aplikasi Anda terdaftar dan izin telah diberikan, Anda bisa mendapatkan hal terakhir di daftar Anda - rahasia klien untuk aplikasi Anda.

  1. Kembali ke halaman utama layanan ID Microsoft Entra.

  2. Pilih Registrasi Aplikasi dari menu dan pilih aplikasi yang baru terdaftar.

  3. Pilih Sertifikat & rahasia dari menu dan klik tombol Rahasia klien baru untuk menerima rahasia (kunci API) untuk aplikasi Anda.

    Mendapatkan rahasia klien

  4. Klik tombol Tambahkan dan salin rahasia klien.

    Penting

    Anda harus salin rahasia klien sebelum meninggalkan layar ini. Anda tidak dapat mengambil rahasia ini lagi jika Anda meninggalkan halaman ini. Anda akan memerlukan nilai ini saat mengonfigurasi TIP atau solusi kustom Anda.

Masukkan informasi ini ke dalam solusi TIP atau aplikasi kustom Anda

Anda sekarang memiliki ketiga informasi yang Anda butuhkan untuk mengonfigurasi TIP atau solusi kustom Anda untuk mengirim indikator ancaman ke Microsoft Azure Sentinel.

  • Aplikasi (ID klien)
  • ID (tenant) direktori
  • Rahasia Klien

  1. Masukkan nilai ini dalam konfigurasi TIP terintegrasi atau solusi kustom jika diperlukan.

  2. Untuk produk target, tentukan Azure Sentinel. (Menentukan "Microsoft Sentinel" akan mengakibatkan kesalahan.)

  3. Untuk tindakan, tentukan pemberitahuan.

Setelah konfigurasi ini selesai, indikator ancaman akan dikirim dari TIP atau solusi kustom Anda, melalui API Indikator Microsoft Graph, yang ditargetkan pada Microsoft Azure Sentinel.

Mengaktifkan konektor data Platform Inteligensi Ancaman di Microsoft Sentinel

Langkah terakhir dalam proses integrasi adalah mengaktifkan konektor data Platform Inteligensi Ancaman di Microsoft Azure Sentinel. Mengaktifkan konektor adalah hal yang memungkinkan Microsoft Azure Sentinel untuk menerima indikator ancaman yang dikirim dari TIP atau solusi kustom Anda. Indikator ini akan tersedia untuk semua ruang kerja Microsoft Azure Sentinel untuk organisasi Anda. Ikuti langkah-langkah berikut untuk mengaktifkan konektor data Platform Inteligensi Ancaman untuk setiap ruang kerja:

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen konten, pilih Hub konten.
    Untuk Microsoft Azure Sentinel di portal Defender, pilih hub Konten manajemen>Konten Microsoft Sentinel>.

  2. Temukan dan pilih solusi Inteligensi Ancaman.

  3. Pilih tombol Instal/Perbarui .

Untuk informasi selengkapnya tentang cara mengelola komponen solusi, lihat Menemukan dan menyebarkan konten di luar kotak.

  1. Untuk mengonfigurasi konektor data TIP, pilih Konektor Data Konfigurasi>.

  2. Temukan dan pilih tombol Halaman konektor >data Platform Inteligensi Ancaman Buka konektor.

    Cuplikan layar menampilkan halaman konektor data dengan konektor data TIP tercantum.

  3. Karena Anda telah menyelesaikan pendaftaran aplikasi dan mengonfigurasi TIP atau solusi kustom Untuk mengirim indikator ancaman, satu-satunya langkah tersisa adalah memilih tombol Koneksi.

Dalam beberapa menit, indikator ancaman harus mulai mengalir ke ruang kerja Microsoft Sentinel ini. Anda dapat menemukan indikator baru di bilah Inteligensi Ancaman, dapat diakses dari menu navigasi Microsoft Azure Sentinel.

Konten terkait

Dalam dokumen ini, Anda belajar cara menghubungkan platform inteligensi ancaman Anda ke Microsoft Azure Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut.