Connettere la piattaforma di intelligence sulle minacce a Microsoft Sentinel con l'API degli indicatori di caricamento.
Molte organizzazioni usano soluzioni della piattaforma di intelligence sulle minacce (TIP) per aggregare feed di indicatori di minaccia da varie origini. Dal feed aggregato, i dati vengono curati per essere applicati a soluzioni di sicurezza come dispositivi di rete, soluzioni EDR/XDR o SIEM come Microsoft Sentinel. L'API degli indicatori di caricamento di intelligence sulle minacce consente di usare queste soluzioni per importare gli indicatori di minaccia in Microsoft Sentinel. L'API degli indicatori di caricamento inserisce gli indicatori di intelligence sulle minacce in Microsoft Sentinel senza la necessità del connettore dati. Il connettore dati rispecchia solo le istruzioni per la connessione all'endpoint API descritto in questo articolo e il documento di riferimento supplementare sulle API degli indicatori di caricamento di Microsoft Sentinel.
Per altre informazioni sull'intelligence sulle minacce, vedere Intelligence sulle minacce.
Importante
L'API degli indicatori di caricamento di Intelligence sulle minacce di Microsoft Sentinel è disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.
Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender, nella piattaforma operativa di sicurezza unificata. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.
Vedere anche: Connettere Microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII
Prerequisiti
- Per installare, aggiornare ed eliminare contenuti o soluzioni autonomi nell'hub dei contenuti, è necessario il ruolo di Collaboratore di Microsoft Sentinel a livello di gruppo di risorse. Tenere presente che non è necessario installare il connettore dati per usare l'endpoint API.
- Per archiviare gli indicatori delle minacce, è necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel.
- È necessario essere in grado di registrare un'applicazione di Microsoft Entra.
- All'applicazione di Microsoft Entra deve essere concesso il ruolo di collaboratore di Microsoft Sentinel a livello di area di lavoro.
Istruzioni
Seguire questa procedura per importare gli indicatori di minaccia in Microsoft Sentinel dalla propria soluzione TIP integrata o di intelligence sulle minacce personalizzata:
- Registrare un'applicazione di Microsoft Entra e registrarne l'ID applicazione.
- Generare e registrare un segreto client per l'applicazione di Microsoft Entra.
- Assegnare all'applicazione di Microsoft Entra il ruolo di collaboratore di Microsoft Sentinel o un equivalente.
- Configurare la soluzione TIP o l'applicazione personalizzata.
Registrare un'applicazione Microsoft Entra
Le autorizzazioni del ruolo utente predefinito consentono agli utenti di creare registrazioni delle applicazioni. Se questo parametro è stato impostato su No, sarà necessaria l'autorizzazione per gestire le applicazioni in Microsoft Entra ID. Tutti i seguenti ruoli di Microsoft Entra includono le autorizzazioni necessarie:
- Amministratore applicazioni
- Sviluppatore applicazione
- Amministratore applicazione cloud
Per altre informazioni sulla registrazione dell'applicazione di Microsoft Entra, vedere Registrare un'applicazione.
Dopo aver registrato l'applicazione, registrarne l'ID applicazione (client) dalla scheda Panoramicadell'applicazione.
Generare e registrare il segreto client
Ora che l'applicazione è stata registrata, generare e registrare un segreto client.
Per altre informazioni sulla generazione di un segreto client, vedere Aggiungere un segreto client.
Assegnare un ruolo all'applicazione
L'API degli indicatori di caricamento inserisce gli indicatori di minaccia a livello di area di lavoro e consente un ruolo con privilegi minimi di collaboratore di Microsoft Sentinel.
Dal portale di Azure, passare alle aree di lavoro di Log Analytics.
Seleziona Controllo di accesso (IAM).
Seleziona Aggiungi>Aggiungi assegnazione ruolo.
Nella scheda Ruolo, selezionare il ruolo collaboratore di Microsoft Sentinel >Avanti.
Nella scheda Membri, selezionare Assegna accesso a>Utente, gruppo o entità servizio.
Selezionare membri. Per impostazione predefinita, le applicazioni Microsoft Entra non vengono visualizzate nelle opzioni disponibili. Per trovare l'applicazione, cercarla in base al nome.
Selezionare>Rivedi+ assegna.
Per altre informazioni sull'assegnazione di ruoli alle applicazioni, vedere Assegnare un ruolo all'applicazione.
installare l'API degli indicatori di caricamento di Intelligence sulle minacce in Microsoft Sentinel (facoltativo)
Installare il connettore dati dell'API degli indicatori di caricamento di intelligence sulle minacce per vedere le istruzioni di connessione dell'API dall'area di lavoro di Microsoft Sentinel.
Per Microsoft Sentinel, nel portale di Azure, in Gestione dei contenuti selezionare Hub dei contenuti.
Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel>Gestione dei contenuti>Hub contenuti.Trovare e selezionare la soluzione Threat Intelligence.
Selezionare il pulsante Installa/Aggiorna.
Per altre informazioni su come gestire i componenti della soluzione, vedere Individuare e distribuire contenuti predefiniti.
Il connettore dati è ora visibile in Configurazione>Connettori dati. Aprire la pagina del connettore dati per altre informazioni sulla configurazione dell'applicazione con questa API.
Configurare la soluzione TIP o l'applicazione personalizzata
Le informazioni di configurazione seguenti sono richieste dall'API degli indicatori di caricamento:
- ID applicazione (client)
- Segreto client
- ID dell'area di lavoro di Microsoft Sentinel
Immettere questi valori nella configurazione della soluzione personalizzata o TIP integrata secondo necessità.
Inviare gli indicatori all'API di caricamento di Microsoft Sentinel. Per altre informazioni sull'API degli indicatori di caricamento, vedere il documento di riferimento sull'API degli indicatori di caricamento di Microsoft Sentinel.
Entro pochi minuti, gli indicatori di minaccia devono iniziare a passare all'area di lavoro di Microsoft Sentinel. Trovare i nuovi indicatori nel pannello Intelligence sulle minacce, accessibile dal menu di spostamento di Microsoft Sentinel.
Lo stato del connettore dati riflette lo stato Connesso e il grafico Dati ricevuti viene aggiornato dopo che gli indicatori vengono inviati correttamente.
Contenuto correlato
In questo documento si è appreso come connettere la piattaforma di intelligence sulle minacce a Microsoft Sentinel. Per altre informazioni sull'uso degli indicatori di minacce in Microsoft Sentinel, vedere gli articoli seguenti.
- Comprendere l'intelligence sulle minacce.
- Lavorare con gli indicatori di minacce in tutta l'esperienza di Microsoft Sentinel.
- Introduzione al rilevamento delle minacce con regole di analisi predefinite o personalizzate in Microsoft Sentinel.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per