Connettere la piattaforma di intelligence sulle minacce a Microsoft Sentinel con l'API degli indicatori di caricamento

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Molte organizzazioni usano soluzioni della piattaforma di intelligence sulle minacce (TIP) per aggregare feed di indicatori di minaccia da varie origini. Dal feed aggregato, i dati vengono curati per l'applicazione a soluzioni di sicurezza come dispositivi di rete, soluzioni EDR/XDR o soluzioni di informazioni di sicurezza e gestione degli eventi, ad esempio Microsoft Sentinel. Usando l'API di caricamento degli indicatori di intelligence sulle minacce, è possibile importare indicatori di minaccia in Microsoft Sentinel.

L'API degli indicatori di caricamento inserisce gli indicatori di intelligence sulle minacce in Microsoft Sentinel senza la necessità del connettore dati. Il connettore dati rispecchia solo le istruzioni per la connessione all'endpoint API descritto in questo articolo e il documento di riferimento dell'API API degli indicatori di caricamento di Microsoft Sentinel.

Per altre informazioni sull'intelligence sulle minacce, vedere Intelligence sulle minacce.

Importante

L'API degli indicatori di caricamento di Intelligence sulle minacce di Microsoft Sentinel è disponibile in anteprima. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Per ulteriori informazioni, vedere Connettere Microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.

Prerequisiti

• Per installare, aggiornare ed eliminare contenuti o soluzioni autonomi nell'hub dei contenuti, è necessario il ruolo di Collaboratore di Microsoft Sentinel a livello di gruppo di risorse. Non è necessario installare il connettore dati per usare l'endpoint API.
• Per archiviare gli indicatori delle minacce, è necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel.
• È necessario essere in grado di registrare un'applicazione di Microsoft Entra.
• All'applicazione di Microsoft Entra deve essere concesso il ruolo di collaboratore di Microsoft Sentinel a livello di area di lavoro.

Istruzioni

Seguire questa procedura per importare gli indicatori di minaccia in Microsoft Sentinel dalla propria soluzione TIP integrata o di intelligence sulle minacce personalizzata:

1. Registrare un'applicazione di Microsoft Entra quindi registrarne l'ID applicazione.
2. Generare e registrare un segreto client per l'applicazione di Microsoft Entra.
3. Assegnare all'applicazione di Microsoft Entra il ruolo di collaboratore di Microsoft Sentinel o un equivalente.
4. Configurare la soluzione TIP o l'applicazione personalizzata.

Registrare un'applicazione Microsoft Entra

Le autorizzazioni del ruolo utente predefinito consentono agli utenti di creare registrazioni delle applicazioni. Se questo parametro è stato impostato su No, sarà necessaria l'autorizzazione per gestire le applicazioni in Microsoft Entra. Tutti i seguenti ruoli di Microsoft Entra includono le autorizzazioni necessarie:

• Amministratore applicazioni
• Sviluppatore di applicazioni
• Amministratore applicazione cloud

Per altre informazioni sulla registrazione dell'applicazione di Microsoft Entra, vedere Registrare un'applicazione.

Dopo aver registrato l'applicazione, registrarne l'ID applicazione (client) dalla scheda Panoramicadell'applicazione.

Generare e registrare un segreto client

Ora che l'applicazione è stata registrata, generare e registrare un segreto client.

Per altre informazioni sulla generazione di un segreto client, vedere Aggiungere un segreto client.

Assegnare un ruolo all'applicazione

L'API degli indicatori di caricamento inserisce gli indicatori di minaccia a livello di area di lavoro e consente un ruolo con privilegi minimi di collaboratore di Microsoft Sentinel.

1. Dal portale di Azure, passare alle aree di lavoro di Log Analytics.

2. Seleziona Controllo di accesso (IAM).

3. Seleziona Aggiungi>Aggiungi assegnazione ruolo.

4. Nella scheda Ruolo, selezionare il ruolo collaboratore di Microsoft Sentinel quindi selezionare Avanti.

5. Nella scheda Membri, selezionare Assegna accesso a>Utente, gruppo o entità servizio.

6. Selezionare membri. Per impostazione predefinita, le applicazioni Microsoft Entra non vengono visualizzate nelle opzioni disponibili. Per trovare l'applicazione, cercarla in base al nome.

   

7. Seleziona Rivedi + assegna.

Per altre informazioni sull'assegnazione di ruoli alle applicazioni, vedere Assegnare un ruolo all'applicazione.

Installare l'API degli indicatori di caricamento di Intelligence sulle minacce in Microsoft Sentinel (facoltativo)

Installare il connettore dati dell'API degli indicatori di caricamento di intelligence sulle minacce per vedere le istruzioni di connessione dell'API dall'area di lavoro di Microsoft Sentinel.

1. Per Microsoft Sentinel, nel portale di Azure, in Gestione dei contenuti selezionare Hub dei contenuti.
   Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione dei contenuti>Hub contenuti.

2. Trovare e selezionare la soluzione Threat Intelligence.

3. Selezionare il pulsante Installa/Aggiorna.

   Per altre informazioni su come gestire i componenti della soluzione, vedere Individuare e distribuire contenuti predefiniti.

4. Il connettore dati è ora visibile in Configurazione>Connettori dati. Aprire la pagina del connettore dati per altre informazioni su come configurare l'applicazione con questa API.

   

Configurare la soluzione della piattaforma di intelligence per le minacce o nell'applicazione personalizzata

Le informazioni di configurazione seguenti sono richieste dall'API degli indicatori di caricamento:

• ID applicazione (client)
• Segreto client
• ID dell'area di lavoro di Microsoft Sentinel

Immettere questi valori nella configurazione della soluzione personalizzata o TIP integrata secondo necessità.

1. Inviare gli indicatori all'API degli indicatori di caricamento di Microsoft Sentinel. Per altre informazioni sull'API degli indicatori di caricamento, vedere API degli indicatori di caricamento di Microsoft Sentinel.

2. Entro pochi minuti, gli indicatori di minaccia devono iniziare a passare all'area di lavoro di Microsoft Sentinel. È possibile trovare i nuovi indicatori nel riquadro Intelligence sulle minacce, accessibile dal menu di Microsoft Sentinel.

3. Lo stato del connettore dati riflette lo stato Connesso. Il grafico Dati ricevuti viene aggiornato dopo l'invio degli indicatori.

   

Contenuto correlato

In questo articolo si è appreso come connettere il TIP a Microsoft Sentinel. Per altre informazioni sull'uso degli indicatori di minacce in Microsoft Sentinel, vedere gli articoli seguenti:

• Comprendere l'intelligence sulle minacce.
• Lavorare con gli indicatori di minacce in tutta l'esperienza di Microsoft Sentinel.
• Introduzione al rilevamento delle minacce con regole di analisi predefinite o personalizzate in Microsoft Sentinel.