Connettere la piattaforma di intelligence sulle minacce a Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nota

Questo connettore dati è destinato a essere deprecato. Verranno pubblicati altri dettagli sulle tempistiche precise. Usare il nuovo connettore dati di API degli indicatori di caricamento di intelligence sulle minacce per le nuove soluzioni. Per altre informazioni, vedere Connettere la piattaforma di intelligence sulle minacce a Microsoft Sentinel con l'API degli indicatori di caricamento.

Molte organizzazioni usano soluzioni della piattaforma di intelligence sulle minacce (TIP) per aggregare feed di indicatori di minaccia da varie origini. Dal feed aggregato, i dati vengono curati per essere applicati a soluzioni di sicurezza come dispositivi di rete, soluzioni EDR/XDR o SIEM come Microsoft Sentinel. Il connettore dati delle piattaforme di intelligence sulle minacce consente di usare queste soluzioni per importare gli indicatori di minaccia in Microsoft Sentinel.

Poiché il connettore dati TIP funziona con l'API tiIndicators di Microsoft Graph Security, è possibile usare il connettore per inviare indicatori a Microsoft Sentinel (e ad altre soluzioni di sicurezza Microsoft, come Microsoft Defender XDR) da qualsiasi altra piattaforma di intelligence sulle minacce personalizzata in grado di comunicare con tale API.

Altre informazioni su Intelligence sulle minacce in Microsoft Sentinel e in particolare sui prodotti della piattaforma di intelligence sulle minacce che possono essere integrati con Microsoft Sentinel.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender, nella piattaforma operativa di sicurezza unificata. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

• Per installare, aggiornare ed eliminare contenuti o soluzioni autonomi nell'hub dei contenuti, è necessario il ruolo di Collaboratore di Microsoft Sentinel a livello di gruppo di risorse.
• Per concedere le autorizzazioni al prodotto TIP o a qualsiasi altra applicazione personalizzata che usa l'integrazione diretta con l'API tiIndicators di Microsoft Graph Security, è necessario disporre dei ruoli di Amministratore globale o Amministratore della protezione di Microsoft Entra.
• Per archiviare gli indicatori delle minacce, è necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel.

Istruzioni

Seguire questa procedura per importare gli indicatori di minaccia in Microsoft Sentinel dalla propria soluzione TIP integrata o di intelligence sulle minacce personalizzata:

1. Ottenere un ID applicazione e un segreto client da Microsoft Entra ID
2. Inserire queste informazioni nella soluzione TIP o nell'applicazione personalizzata.
3. Abilitare il connettore dati della piattaforma di intelligence sulle minacce in Microsoft Sentinel

Iscriversi per ottenere un ID applicazione e un segreto client da Microsoft Entra ID.

Sia che si stia lavorando con una soluzione personalizzata o TIP, l'API tiIndicators richiede alcune informazioni di base per consentire di connettere il feed e di inviare a esso gli indicatori di minaccia. Le tre informazioni necessarie sono:

• ID applicazione (client)
• ID della directory (tenant)
• Segreto client

È possibile ottenere queste informazioni da Microsoft Entra ID tramite un processo denominato Registrazione app che include i tre passaggi seguenti:

• Registrare un'app con Microsoft Entra ID
• Specificare le autorizzazioni richieste dall'app per connettersi all'API tiIndicators di Microsoft Graph e inviare indicatori di minaccia
• Ottenere il consenso dell'organizzazione per concedere queste autorizzazioni a questa applicazione.

Registrare un'applicazione con Microsoft Entra ID

1. Dal portale di Azure passare al servizio Microsoft Entra ID.

2. Selezionare Registrazioni app dal menu, quindi Nuova registrazione.

3. Scegliere un nome per la registrazione dell'applicazione, selezionare il pulsante di opzione Tenant singolo e selezionare Registra.

   

4. Nella schermata successiva, prendere nota dei valori ID applicazione (client) e ID directory (tenant). Queste sono le prime due informazioni necessarie in un secondo momento per configurare la soluzione TIP o personalizzata per inviare indicatori di minaccia a Microsoft Sentinel. Il terzo, il segreto client, viene in seguito.

Specificare le autorizzazioni richieste dall'applicazione

1. Tornare alla pagina principale del servizio Microsoft Entra ID.

2. Selezionare Registrazioni app dal menu, quindi selezionare l'app appena registrata.

3. Selezionare Autorizzazioni API dal menu e selezionare il pulsante Aggiungi un'autorizzazione.

4. Nella pagina Seleziona un'API, selezionare l'API di Microsoft Graph, quindi scegliere da un elenco di autorizzazioni di Microsoft Graph.

5. Al prompt "Quale tipo di autorizzazioni richiede l'applicazione?", selezionare Autorizzazioni del'applicazione. Questo è il tipo di autorizzazioni usate dalle applicazioni che eseguono l'autenticazione con l'ID app e i segreti dell'app (chiavi API).

6. Selezionare ThreatIndicators.ReadWrite.OwnedBy e selezionare Aggiungi autorizzazioni per aggiungere questa autorizzazione all'elenco di autorizzazioni dell'app.

   

Ottenere il consenso dell'organizzazione per concedere queste autorizzazioni

1. Per ottenere il consenso, è necessario un amministratore globale di Microsoft Entra per selezionare il pulsante Concedi consenso amministratore per il tenant nella pagina delle autorizzazioni API dell'app. Se non si ha il ruolo di amministratore globale nell'account, questo pulsante non sarà disponibile e sarà necessario chiedere a un amministratore globale dell'organizzazione di eseguire questo passaggio.

   

2. Dopo che il consenso è stato concesso all'app, sotto Stato è visualizzato un segno di spunta.

Ora che l'app è stata registrata e le autorizzazioni sono state concesse, è possibile ottenere l'ultimo elemento nell'elenco, ovvero un segreto client per l'app.

1. Tornare alla pagina principale del servizio Microsoft Entra ID.

2. Selezionare Registrazioni app dal menu, quindi selezionare l'app appena registrata.

3. Selezionare Certificati e segreti dal menu e selezionare il pulsante Nuovo segreto client per ricevere un segreto (chiave API) per l'app.

   

4. Selezionare il pulsante Aggiungi e copiare il segreto client.

   Importante

   È necessario copiare il segreto client prima di uscire da questa schermata. Non è possibile recuperare nuovamente il segreto se si esce da questa pagina. Questo valore sarà necessario quando si configura la soluzione TIP o personalizzata.

Inserire queste informazioni nella soluzione TIP o nell'applicazione personalizzata.

A questo punto si dispone di tutte le informazioni necessarie per configurare la soluzione TIP o personalizzata per inviare indicatori di minaccia a Microsoft Sentinel.

• ID applicazione (client)
• ID della directory (tenant)
• Segreto client

1. Immettere questi valori nella configurazione della soluzione personalizzata o TIP integrata secondo necessità.

2. Per il prodotto di destinazione, specificare Azure Sentinel. (Se si specifica "Microsoft Sentinel", verrà generato un errore.)

3. Per l'azione, specificare avviso.

Al termine di questa configurazione, gli indicatori di minaccia verranno inviati dalla soluzione TIP o personalizzata, tramite l'API tiIndicators di Microsoft Graph, destinata a Microsoft Sentinel.

Abilitare il connettore dati della piattaforma di intelligence sulle minacce in Microsoft Sentinel

L'ultimo passaggio del processo di integrazione consiste nell'abilitare il connettore dati delle piattaforme di intelligence sulle minacce in Microsoft Sentinel. L'abilitazione del connettore consente a Microsoft Sentinel di ricevere gli indicatori di minaccia inviati dalla soluzione TIP o personalizzata. Questi indicatori saranno disponibili per tutte le aree di lavoro di Microsoft Sentinel per l'organizzazione. Seguire questa procedura per abilitare il connettore dati delle piattaforme di Intelligence sulle minacce per ogni area di lavoro:

1. Per Microsoft Sentinel, nel portale di Azure, in Gestione dei contenuti selezionare Hub dei contenuti.
   Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione dei contenuti>Hub contenuti.

2. Trovare e selezionare la soluzione Threat Intelligence.

3. Selezionare il pulsante Installa/Aggiorna.

Per altre informazioni su come gestire i componenti della soluzione, vedere Individuare e distribuire contenuti predefiniti.

1. Per configurare il connettore dati TIP, selezionare Configurazione>Connettori dati.

2. Trovare e selezionare il pulsante Apri pagina connettore del connettore dati di Piattaforme di intelligence sulle minacce.

   

3. Dopo aver completato la registrazione dell'app e configurato la soluzione TIP o personalizzata per inviare indicatori di minaccia, l'unico passaggio rimasto consiste nel selezionare il pulsante Connetti.

Entro pochi minuti, gli indicatori di minaccia dovrebbero iniziare a essere trasmessi in questa area di lavoro di Microsoft Sentinel. È possibile trovare i nuovi indicatori nel pannello Intelligence sulle minacce, accessibile dal menu di spostamento di Microsoft Sentinel.

Contenuto correlato

In questo documento si è appreso come connettere la piattaforma di intelligence sulle minacce a Microsoft Sentinel. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti.

• Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
• Iniziare a rilevare minacce con Microsoft Sentinel.