Connessione la piattaforma di intelligence per le minacce a Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nota

Questo connettore dati si trova in un percorso per la deprecazione. Altri dettagli verranno pubblicati sulla sequenza temporale precisa. Usare il nuovo connettore per i dati api degli indicatori di caricamento di intelligence per le minacce per le nuove soluzioni. Per altre informazioni, vedere Connessione piattaforma di intelligence per le minacce in Microsoft Sentinel con l'API degli indicatori di caricamento.

Molte organizzazioni usano soluzioni TIP (Threat Intelligence Platform) per aggregare feed di indicatori di minaccia da varie origini. Dal feed aggregato, i dati vengono curati per l'applicazione a soluzioni di sicurezza come dispositivi di rete, soluzioni EDR/XDR o SIEM come Microsoft Sentinel. Il connettore dati delle piattaforme di intelligence per le minacce consente di usare queste soluzioni per importare gli indicatori di minaccia in Microsoft Sentinel.

Poiché il connettore dati TIP funziona con l'API tiIndicators di Microsoft Graph Security, è possibile usare il connettore per inviare indicatori a Microsoft Sentinel (e ad altre soluzioni di sicurezza Microsoft come Microsoft Defender XDR) da qualsiasi altra piattaforma di intelligence per le minacce personalizzata in grado di comunicare con tale API.

Altre informazioni su Intelligence sulle minacce in Microsoft Sentinel e in particolare sui prodotti della piattaforma di intelligence sulle minacce che possono essere integrati con Microsoft Sentinel.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud degli Stati Uniti per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

• Per installare, aggiornare ed eliminare contenuti o soluzioni autonomi nell'hub del contenuto, è necessario il ruolo Collaboratore di Microsoft Sentinel a livello di gruppo di risorse.
• Per concedere le autorizzazioni al prodotto TIP o a qualsiasi altra applicazione personalizzata che usa l'integrazione diretta con l'API TiIndicators di Microsoft Graph Security, è necessario disporre dei ruoli Amministratore globale o Amministratore della sicurezza Microsoft Entra.
• Per archiviare gli indicatori delle minacce, è necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel.

Istruzioni

Seguire questa procedura per importare gli indicatori di minaccia in Microsoft Sentinel dalla soluzione integrata TIP o intelligence per le minacce personalizzata:

1. Ottenere un ID applicazione e un segreto client dall'ID Microsoft Entra
2. Inserire queste informazioni nella soluzione TIP o nell'applicazione personalizzata
3. Abilitare il connettore dati delle piattaforme di Intelligence sulle minacce in Microsoft Sentinel

Iscriversi per ottenere un ID applicazione e un segreto client dall'ID Microsoft Entra

Sia che si stia lavorando con un suggerimento o con una soluzione personalizzata, l'API tiIndicators richiede alcune informazioni di base per consentire di connettere il feed a esso e di inviarlo indicatori di minaccia. Le tre informazioni necessarie sono:

• ID applicazione (client)
• ID della directory (tenant)
• Segreto client

È possibile ottenere queste informazioni dall'ID Di Microsoft Entra tramite un processo denominato Registrazione app che include i tre passaggi seguenti:

• Registrare un'app con Microsoft Entra ID
• Specificare le autorizzazioni richieste dall'app per connettersi all'API tiIndicators di Microsoft Graph e inviare indicatori di minaccia
• Ottenere il consenso dell'organizzazione per concedere queste autorizzazioni a questa applicazione.

Registrare un'applicazione con Microsoft Entra ID

1. Dal portale di Azure passare al servizio Microsoft Entra ID.

2. Selezionare Registrazioni app dal menu e selezionare Nuova registrazione.

3. Scegliere un nome per la registrazione dell'applicazione, selezionare il pulsante di opzione Tenant singolo e selezionare Registra.

   

4. Nella schermata risultante copiare i valori ID applicazione (client) e ID directory (tenant). Queste sono le prime due informazioni necessarie in un secondo momento per configurare la soluzione TIP o personalizzata per inviare indicatori di minaccia a Microsoft Sentinel. Il terzo, il segreto client, viene in seguito.

Specificare le autorizzazioni richieste dall'applicazione

1. Tornare alla pagina principale del servizio Microsoft Entra ID .

2. Selezionare Registrazioni app dal menu e selezionare l'app appena registrata.

3. Selezionare Autorizzazioni API dal menu e selezionare il pulsante Aggiungi un'autorizzazione.

4. Nella pagina Selezionare un'API selezionare l'API Microsoft Graph e quindi scegliere tra un elenco di autorizzazioni di Microsoft Graph.

5. Al prompt "Quale tipo di autorizzazioni richiede l'applicazione?" selezionare Autorizzazioni applicazione. Questo è il tipo di autorizzazioni usate dalle applicazioni che eseguono l'autenticazione con l'ID app e i segreti dell'app (chiavi API).

6. Selezionare ThreatIndicators.ReadWrite.OwnedBy e selezionare Aggiungi autorizzazioni per aggiungere questa autorizzazione all'elenco di autorizzazioni dell'app.

   

Ottenere il consenso dall'organizzazione per concedere queste autorizzazioni

1. Per ottenere il consenso, è necessario un microsoft Entra Global Amministrazione istrator per selezionare il pulsante Concedi consenso amministratore per il tenant nella pagina autorizzazioni API dell'app. Se non si dispone del ruolo Global Amministrazione istrator nell'account, questo pulsante non sarà disponibile e sarà necessario chiedere a un Amministrazione istrator globale dell'organizzazione di eseguire questo passaggio.

   

2. Dopo aver concesso il consenso all'app, dovrebbe essere visualizzato un segno di spunta verde in Stato.

Ora che l'app è stata registrata e le autorizzazioni sono state concesse, è possibile ottenere l'ultima cosa nell'elenco, ovvero un segreto client per l'app.

1. Tornare alla pagina principale del servizio Microsoft Entra ID .

2. Selezionare Registrazioni app dal menu e selezionare l'app appena registrata.

3. Selezionare Certificati e segreti dal menu e selezionare il pulsante Nuovo segreto client per ricevere un segreto (chiave API) per l'app.

   

4. Selezionare il pulsante Aggiungi e copiare il segreto client.

   Importante

   È necessario copiare il segreto client prima di uscire da questa schermata. Non è possibile recuperare di nuovo il segreto se si esce da questa pagina. Questo valore sarà necessario quando si configura la soluzione TIP o personalizzata.

Inserire queste informazioni nella soluzione TIP o nell'applicazione personalizzata

Sono ora disponibili tutte e tre le informazioni necessarie per configurare la soluzione TIP o personalizzata per inviare indicatori di minaccia a Microsoft Sentinel.

• ID applicazione (client)
• ID della directory (tenant)
• Segreto client

1. Immettere questi valori nella configurazione della soluzione INTEGRATA TIP o personalizzata, se necessario.

2. Per il prodotto di destinazione specificare Azure Sentinel. Se si specifica "Microsoft Sentinel", verrà generato un errore.

3. Per l'azione, specificare l'avviso.

Al termine di questa configurazione, gli indicatori di minaccia verranno inviati dalla soluzione TIP o personalizzata, tramite l'API tiIndicators di Microsoft Graph, destinata a Microsoft Sentinel.

Abilitare il connettore dati delle piattaforme di Intelligence sulle minacce in Microsoft Sentinel

L'ultimo passaggio del processo di integrazione consiste nell'abilitare il connettore dati delle piattaforme di intelligence sulle minacce in Microsoft Sentinel. L'abilitazione del connettore consente a Microsoft Sentinel di ricevere gli indicatori di minaccia inviati dalla soluzione TIP o personalizzata. Questi indicatori saranno disponibili per tutte le aree di lavoro di Microsoft Sentinel per l'organizzazione. Seguire questa procedura per abilitare il connettore dati delle piattaforme di Intelligence per le minacce per ogni area di lavoro:

1. Per Microsoft Sentinel nella portale di Azure, in Gestione contenuto selezionare Hub contenuto.
   Per Microsoft Sentinel nel portale di Defender selezionare Hub del contenuto di Gestione>contenuto di Microsoft Sentinel>.

2. Trovare e selezionare la soluzione Intelligence per le minacce.

3. Selezionare il pulsante Installa/Aggiorna.

Per altre informazioni su come gestire i componenti della soluzione, vedere Individuare e distribuire contenuti predefiniti.

1. Per configurare il connettore dati TIP, selezionare Connettori dati di configurazione>.

2. Trovare e selezionare il pulsante Apri connettore dati delle piattaforme di Intelligence per le minacce Pulsante Apri connettore>.

   

3. Dopo aver completato la registrazione dell'app e configurato la soluzione TIP o personalizzata per inviare indicatori di minaccia, l'unico passaggio a sinistra consiste nel selezionare il pulsante Connessione.

Entro pochi minuti, gli indicatori di minaccia dovrebbero iniziare a fluire in questa area di lavoro di Microsoft Sentinel. È possibile trovare i nuovi indicatori nel pannello Intelligence per le minacce, accessibile dal menu di spostamento di Microsoft Sentinel.

Contenuto correlato

In questo documento si è appreso come connettere la piattaforma di intelligence per le minacce a Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti.

• Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
• Introduzione al rilevamento delle minacce con Microsoft Sentinel.