Menyambungkan platform inteligensi ancaman Anda ke Microsoft Azure Sentinel
Catatan
Konektor data ini berada di jalur untuk penghentian. Informasi lebih lanjut akan diterbitkan pada garis waktu yang tepat. Gunakan konektor data THREAT Intelligence Upload Indicators API baru untuk solusi baru ke depannya. Untuk informasi selengkapnya, lihat Menyambungkan platform inteligensi ancaman Anda ke Microsoft Azure Sentinel dengan API Unggah Indikator.
Banyak organisasi menggunakan solusi platform inteligensi ancaman (TIP) untuk menggabungkan umpan indikator ancaman dari berbagai sumber. Dari umpan agregat, data dikumpulkan untuk diterapkan ke solusi keamanan seperti perangkat jaringan, solusi EDR/XDR, atau solusi informasi keamanan dan manajemen peristiwa (SIEM) seperti Microsoft Sentinel. Dengan menggunakan konektor data TIP, Anda dapat menggunakan solusi ini untuk mengimpor indikator ancaman ke Microsoft Azure Sentinel.
Karena konektor data TIP bekerja dengan Microsoft Graph Security tiIndicators API untuk menyelesaikan proses ini, Anda dapat menggunakan konektor untuk mengirim indikator ke Microsoft Azure Sentinel (dan ke solusi keamanan Microsoft lainnya seperti Defender XDR) dari TIP kustom lainnya yang dapat berkomunikasi dengan API tersebut.
Catatan
Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.
Pelajari selengkapnya tentang inteligensi ancaman di Microsoft Azure Sentinel, dan khususnya tentang produk TIP yang dapat Anda integrasikan dengan Microsoft Sentinel.
Penting
Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Prasyarat
- Untuk menginstal, memperbarui, dan menghapus konten atau solusi mandiri di hub Konten, Anda memerlukan peran Kontributor Microsoft Azure Sentinel di tingkat grup sumber daya.
- Untuk memberikan izin ke produk TIP Anda atau aplikasi kustom lainnya yang menggunakan integrasi langsung dengan Microsoft Graph TI Indicators API, Anda harus memiliki peran Microsoft Entra Administrator Keamanan atau izin yang setara.
- Untuk menyimpan indikator ancaman, Anda harus memiliki izin baca dan tulis ke ruang kerja Microsoft Azure Sentinel.
Petunjuk
Untuk mengimpor indikator ancaman ke Microsoft Azure Sentinel dari TIP terintegrasi atau solusi inteligensi ancaman kustom Anda, ikuti langkah-langkah berikut:
- Dapatkan ID aplikasi dan rahasia klien dari ID Microsoft Entra.
- Masukkan informasi ini ke dalam solusi TIP atau aplikasi kustom Anda.
- Aktifkan konektor data TIP di Microsoft Azure Sentinel.
Mendaftar untuk ID aplikasi dan rahasia klien dari ID Microsoft Entra
Baik Anda bekerja dengan TIP atau solusi kustom, API tiIndicators memerlukan beberapa informasi dasar untuk memungkinkan Anda menghubungkan umpan Anda ke dalamnya dan mengirimkannya indikator ancaman. Tiga informasi yang Anda perlukan adalah:
- Aplikasi (ID klien)
- ID (tenant) direktori
- Rahasia Klien
Anda bisa mendapatkan informasi ini dari ID Microsoft Entra melalui pendaftaran aplikasi, yang mencakup tiga langkah berikut:
- Daftarkan aplikasi dengan ID Microsoft Entra.
- Tentukan izin yang diperlukan oleh aplikasi untuk menyambungkan ke Microsoft Graph tiIndicators API dan mengirim indikator ancaman.
- Dapatkan persetujuan dari organisasi Anda untuk memberikan izin ini pada aplikasi ini.
Mendaftarkan aplikasi dengan ID Microsoft Entra
Di portal Azure, buka ID Microsoft Entra.
Pada menu, pilih Pendaftaran Aplikasi, lalu pilih Pendaftaran baru.
Pilih nama untuk pendaftaran aplikasi Anda, pilih Penyewa tunggal, lalu pilih Daftar.
Pada layar yang terbuka, salin nilai ID Aplikasi (klien) dan ID Direktori (penyewa). Anda memerlukan dua informasi ini nanti untuk mengonfigurasi TIP atau solusi kustom Anda untuk mengirim indikator ancaman ke Microsoft Azure Sentinel. Bagian ketiga dari informasi yang Anda butuhkan, rahasia klien, datang nanti.
Tentukan izin yang diperlukan oleh aplikasi
Kembali ke halaman utama ID Microsoft Entra.
Pada menu, pilih Pendaftaran Aplikasi, lalu pilih aplikasi Anda yang baru terdaftar.
Pada menu, pilih Izin>API Tambahkan izin.
Pada halaman Pilih API , pilih Microsoft Graph API. Lalu pilih dari daftar izin Microsoft Graph.
Pada perintah Jenis izin apa yang diperlukan aplikasi Anda?, pilih Izin aplikasi. Izin ini adalah jenis yang digunakan oleh aplikasi yang mengautentikasi dengan ID aplikasi dan rahasia aplikasi (kunci API).
Pilih ThreatIndicators.ReadWrite.OwnedBy, lalu pilih Tambahkan izin untuk menambahkan izin ini ke daftar izin aplikasi Anda.
Dapatkan persetujuan dari organisasi Anda untuk memberikan izin ini
Untuk memberikan persetujuan, diperlukan peran istimewa. Untuk informasi selengkapnya, lihat Memberikan persetujuan admin di seluruh penyewa untuk aplikasi.
Setelah persetujuan diberikan ke aplikasi, Anda akan melihat tanda centang hijau di bawah Status.
Setelah aplikasi Anda terdaftar dan izin diberikan, Anda perlu mendapatkan rahasia klien untuk aplikasi Anda.
Kembali ke halaman utama ID Microsoft Entra.
Pada menu, pilih Pendaftaran Aplikasi, lalu pilih aplikasi Anda yang baru terdaftar.
Pada menu, pilih Sertifikat & rahasia. Lalu pilih Rahasia klien baru untuk menerima rahasia (kunci API) untuk aplikasi Anda.
Pilih Tambahkan, lalu salin rahasia klien.
Penting
Anda harus menyalin rahasia klien sebelum meninggalkan layar ini. Anda tidak dapat mengambil rahasia ini lagi jika Anda pergi dari halaman ini. Anda memerlukan nilai ini saat mengonfigurasi TIP atau solusi kustom.
Masukkan informasi ini ke dalam solusi TIP atau aplikasi kustom Anda
Anda sekarang memiliki ketiga informasi yang Anda butuhkan untuk mengonfigurasi TIP atau solusi kustom Anda untuk mengirim indikator ancaman ke Microsoft Azure Sentinel:
- Aplikasi (ID klien)
- ID (tenant) direktori
- Rahasia Klien
Masukkan nilai ini dalam konfigurasi TIP terintegrasi atau solusi kustom jika diperlukan.
Untuk produk target, tentukan Azure Sentinel. (Menentukan Microsoft Azure Sentinel menghasilkan kesalahan.)
Untuk tindakan, tentukan pemberitahuan.
Setelah konfigurasi selesai, indikator ancaman dikirim dari TIP atau solusi kustom Anda, melalui Microsoft Graph tiIndicators API, yang ditargetkan di Microsoft Sentinel.
Mengaktifkan konektor data TIP di Microsoft Azure Sentinel
Langkah terakhir dalam proses integrasi adalah mengaktifkan konektor data TIP di Microsoft Azure Sentinel. Mengaktifkan konektor adalah hal yang memungkinkan Microsoft Azure Sentinel untuk menerima indikator ancaman yang dikirim dari TIP atau solusi kustom Anda. Indikator ini tersedia untuk semua ruang kerja Microsoft Azure Sentinel untuk organisasi Anda. Untuk mengaktifkan konektor data TIP untuk setiap ruang kerja, ikuti langkah-langkah berikut:
Untuk Microsoft Azure Sentinel di portal Azure, di bawah Manajemen konten, pilih Hub konten.
Untuk Microsoft Azure Sentinel di portal Defender, pilih hub Konten manajemen>Konten Microsoft Sentinel>.Temukan dan pilih solusi Inteligensi Ancaman.
Pilih tombol
Instal/Perbarui .Untuk informasi selengkapnya tentang cara mengelola komponen solusi, lihat Menemukan dan menyebarkan konten di luar kotak.
Untuk mengonfigurasi konektor data TIP, pilih Konektor Data Konfigurasi>.
Temukan dan pilih konektor data Platform Inteligensi Ancaman, lalu pilih Buka halaman konektor.
Karena Anda sudah menyelesaikan pendaftaran aplikasi dan mengonfigurasi TIP atau solusi kustom untuk mengirim indikator ancaman, satu-satunya langkah yang tersisa adalah memilih Sambungkan.
Dalam beberapa menit, indikator ancaman harus mulai mengalir ke ruang kerja Microsoft Sentinel ini. Anda dapat menemukan indikator baru di panel Inteligensi ancaman, yang dapat Anda akses dari menu Microsoft Azure Sentinel.
Konten terkait
Dalam artikel ini, Anda mempelajari cara menyambungkan TIP Anda ke Microsoft Azure Sentinel. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut: