Bagikan melalui

Koneksi platform inteligensi ancaman Anda ke Microsoft Azure Sentinel dengan API indikator unggahan

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Banyak organisasi menggunakan solusi platform inteligensi ancaman (TIP) untuk menggabungkan umpan indikator ancaman dari berbagai sumber. Dari umpan agregat, data dikumpulkan untuk diterapkan ke solusi keamanan seperti perangkat jaringan, solusi EDR/XDR, atau SIEM seperti Microsoft Sentinel. Konektor data THREAT Intelligence Upload Indicators API memungkinkan Anda menggunakan solusi ini untuk mengimpor indikator ancaman ke Microsoft Azure Sentinel. Konektor data ini menggunakan API indikator unggahan Sentinel untuk menyerap indikator inteligensi ancaman ke Microsoft Sentinel. Untuk informasi selengkapnya, lihat Inteligensi Ancaman.

Jalur impor inteligensi ancaman

Penting

API indikator unggahan Microsoft Azure Sentinel dan konektor data API Indikator Unggahan Inteligensi Ancaman berada dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Microsoft Azure Sentinel tersedia sebagai bagian dari platform operasi keamanan terpadu di portal Pertahanan Microsoft. Microsoft Sentinel di portal Defender sekarang didukung untuk penggunaan produksi. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.

Lihat juga: Menyambungkan Microsoft Azure Sentinel ke umpan inteligensi ancaman STIX/TAXII

Prasyarat

  • Untuk menginstal, memperbarui, dan menghapus konten atau solusi mandiri di hub konten, Anda memerlukan peran Kontributor Microsoft Azure Sentinel di tingkat grup sumber daya.
  • Anda harus memiliki izin membaca dan menulis ke ruang kerja Microsoft Azure Sentinel untuk menyimpan indikator ancaman Anda.
  • Anda harus dapat mendaftarkan aplikasi Microsoft Entra.
  • Aplikasi Microsoft Entra harus diberikan peran kontributor Microsoft Azure Sentinel di tingkat ruang kerja.

Petunjuk

Ikuti langkah-langkah ini untuk mengimpor indikator ancaman ke Microsoft Azure Sentinel dari TIP terintegrasi atau solusi inteligensi ancaman kustom Anda:

  1. Daftarkan aplikasi Microsoft Entra dan rekam ID aplikasinya.
  2. Buat dan rekam rahasia klien untuk aplikasi Microsoft Entra Anda.
  3. Tetapkan aplikasi Microsoft Entra Anda peran kontributor Microsoft Sentinel atau yang setara.
  4. Aktifkan konektor data API unggah Inteligensi Ancaman di Microsoft Azure Sentinel.
  5. Konfigurasikan solusi TIP atau aplikasi kustom Anda.

Mendaftarkan aplikasi Microsoft Entra

Izin peran pengguna default memungkinkan pengguna membuat pendaftaran aplikasi. Jika pengaturan ini telah dialihkan ke Tidak, Anda memerlukan izin untuk mengelola aplikasi di ID Microsoft Entra. Salah satu peran Microsoft Entra berikut ini menyertakan izin yang diperlukan:

  • Administrator aplikasi
  • Pengembang aplikasi
  • Administrator aplikasi cloud

Untuk informasi selengkapnya tentang mendaftarkan aplikasi Microsoft Entra Anda, lihat Mendaftarkan aplikasi.

Setelah Mendaftarkan aplikasi, rekam ID Aplikasi (klien) dari tab Gambaran Umum aplikasi.

Membuat dan merekam rahasia klien

Sekarang setelah aplikasi Anda didaftarkan, hasilkan, dan rekam rahasia klien.

Cuplikan layar memperlihatkan pembuatan rahasia klien.

Untuk informasi selengkapnya tentang membuat rahasia klien, lihat Menambahkan rahasia klien.

Menetapkan peran ke aplikasi

API indikator unggahan menyerap indikator ancaman di tingkat ruang kerja dan memungkinkan peran hak istimewa paling sedikit dari kontributor Microsoft Azure Sentinel.

  1. Dari portal Azure, buka ruang kerja Analitik Log.

  2. Pilih Kontrol Akses (IAM) .

  3. Pilih Tambahkan Tambahkan>penetapan peran.

  4. Di tab Peran, pilih peran> Kontributor Microsoft Sentinel Berikutnya.

  5. Pada tab Anggota , pilih Tetapkan akses ke>Pengguna, grup, atau perwakilan layanan.

  6. Pilih anggota. Secara default, aplikasi Microsoft Entra tidak ditampilkan dalam opsi yang tersedia. Untuk menemukan aplikasi Anda, cari berdasarkan nama. Cuplikan layar memperlihatkan peran kontributor Microsoft Azure Sentinel yang ditetapkan ke aplikasi di tingkat ruang kerja.

  7. Pilih>Tinjau + tetapkan.

Untuk informasi selengkapnya tentang menetapkan peran ke aplikasi, lihat Menetapkan peran ke aplikasi.

Mengaktifkan konektor data API indikator unggahan Inteligensi Ancaman di Microsoft Azure Sentinel

Aktifkan konektor data API Indikator Unggahan Inteligensi Ancaman untuk memungkinkan Microsoft Sentinel menerima indikator ancaman yang dikirim dari TIP atau solusi kustom Anda. Indikator ini tersedia untuk ruang kerja Microsoft Azure Sentinel yang Anda konfigurasi.

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen konten, pilih Hub konten.
    Untuk Microsoft Azure Sentinel di portal Defender, pilih hub Konten manajemen>Konten Microsoft Sentinel>.

  2. Temukan dan pilih solusi Inteligensi Ancaman.

  3. Pilih tombol Instal/Perbarui .

Untuk informasi selengkapnya tentang cara mengelola komponen solusi, lihat Menemukan dan menyebarkan konten di luar kotak.

  1. Konektor data sekarang terlihat di Koneksi or Data Konfigurasi>. Buka halaman konektor data untuk menemukan informasi selengkapnya tentang mengonfigurasi aplikasi Anda dengan API ini.

    Cuplikan layar menampilkan halaman konektor data dengan konektor unggah data API yang tercantum.

Mengonfigurasi solusi TIP atau aplikasi kustom Anda

Informasi konfigurasi berikut yang diperlukan oleh API indikator unggahan:

  • Aplikasi (ID klien)
  • Rahasia Klien
  • ID ruang kerja Microsoft Azure Sentinel

Masukkan nilai ini dalam konfigurasi TIP terintegrasi atau solusi kustom jika diperlukan.

  1. Kirim indikator ke API unggahan Microsoft Azure Sentinel. Untuk mempelajari selengkapnya tentang API indikator unggahan, lihat dokumen referensi API indikator unggahan Microsoft Azure Sentinel.

  2. Dalam beberapa menit, indikator ancaman harus mulai mengalir ke ruang kerja Microsoft Azure Sentinel Anda. Temukan indikator baru di bilah Inteligensi ancaman, yang dapat diakses dari menu navigasi Microsoft Azure Sentinel.

  3. Status konektor data mencerminkan status yang Koneksi dan grafik Data yang diterima diperbarui setelah indikator berhasil dikirimkan.

    Cuplikan layar memperlihatkan konektor data API indikator unggahan dalam status tersambung.

Konten terkait

Dalam dokumen ini, Anda belajar cara menghubungkan platform inteligensi ancaman Anda ke Microsoft Azure Sentinel. Untuk mempelajari selengkapnya tentang menggunakan indikator ancaman di Microsoft Azure Sentinel, lihat artikel berikut ini.