Connessione la piattaforma di intelligence per le minacce in Microsoft Sentinel con l'API degli indicatori di caricamento

  • Articolo
  • Si applica a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Molte organizzazioni usano soluzioni TIP (Threat Intelligence Platform) per aggregare feed di indicatori di minaccia da varie origini. Dal feed aggregato, i dati vengono curati per l'applicazione a soluzioni di sicurezza come dispositivi di rete, soluzioni EDR/XDR o SIEM come Microsoft Sentinel. Il connettore dati dell'API Per il caricamento degli indicatori di Intelligence per le minacce consente di usare queste soluzioni per importare gli indicatori di minaccia in Microsoft Sentinel. Questo connettore dati usa l'API degli indicatori di caricamento di Sentinel per inserire indicatori di intelligence sulle minacce in Microsoft Sentinel. Per altre informazioni, vedere Intelligence per le minacce.

Percorso di importazione di Intelligence per le minacce

Importante

L'API degli indicatori di caricamento di Microsoft Sentinel e il connettore dati dell'API Degli indicatori di caricamento di Intelligence per le minacce sono disponibili in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per altre condizioni legali applicabili alle funzionalità di Azure disponibili in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud degli Stati Uniti per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.

Vedere anche: Connessione microsoft Sentinel ai feed di intelligence sulle minacce STIX/TAXII

Prerequisiti

  • Per installare, aggiornare ed eliminare contenuti o soluzioni autonomi nell'hub del contenuto, è necessario il ruolo Collaboratore di Microsoft Sentinel a livello di gruppo di risorse.
  • Per archiviare gli indicatori delle minacce, è necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro di Microsoft Sentinel.
  • È necessario essere in grado di registrare un'applicazione Microsoft Entra.
  • All'applicazione Microsoft Entra deve essere concesso il ruolo di collaboratore di Microsoft Sentinel a livello di area di lavoro.

Istruzioni

Seguire questa procedura per importare gli indicatori di minaccia in Microsoft Sentinel dalla soluzione integrata TIP o intelligence per le minacce personalizzata:

  1. Registrare un'applicazione Microsoft Entra e registrarne l'ID applicazione.
  2. Generare e registrare un segreto client per l'applicazione Microsoft Entra.
  3. Assegnare all'applicazione Microsoft Entra il ruolo collaboratore di Microsoft Sentinel o un equivalente.
  4. Abilitare il connettore dati dell'API di caricamento di Intelligence per le minacce in Microsoft Sentinel.
  5. Configurare la soluzione TIP o l'applicazione personalizzata.

Registrare un'applicazione Microsoft Entra

Le autorizzazioni predefinite del ruolo utente consentono agli utenti di creare registrazioni dell'applicazione. Se questa impostazione è stata impostata su No, sarà necessaria l'autorizzazione per gestire le applicazioni in Microsoft Entra ID. Uno dei seguenti ruoli di Microsoft Entra include le autorizzazioni necessarie:

  • Amministratore applicazioni
  • Sviluppatore applicazione
  • Amministratore applicazione cloud

Per altre informazioni sulla registrazione dell'applicazione Microsoft Entra, vedere Registrare un'applicazione.

Dopo aver registrato l'applicazione, registrarne l'ID applicazione (client) dalla scheda Panoramica dell'applicazione.

Generare e registrare il segreto client

Ora che l'applicazione è stata registrata, generare e registrare un segreto client.

Screenshot che mostra la generazione di segreti client.

Per altre informazioni sulla generazione di un segreto client, vedere Aggiungere un segreto client.

Assegnare un ruolo all'applicazione

L'API degli indicatori di caricamento inserisce gli indicatori di minaccia a livello di area di lavoro e consente un ruolo con privilegi minimi del collaboratore di Microsoft Sentinel.

  1. Dal portale di Azure passare alle aree di lavoro Log Analytics.

  2. Seleziona Controllo di accesso (IAM).

  3. Seleziona Aggiungi>Aggiungi assegnazione ruolo.

  4. Nella scheda Ruolo selezionare il ruolo >Collaboratore di Microsoft Sentinel Avanti.

  5. Nella scheda Membri selezionare Assegna accesso a>Utente, gruppo o entità servizio.

  6. Selezionare i membri. Per impostazione predefinita, le applicazioni Microsoft Entra non vengono visualizzate nelle opzioni disponibili. Per trovare l'applicazione, cercarla in base al nome. Screenshot che mostra il ruolo collaboratore di Microsoft Sentinel assegnato all'applicazione a livello di area di lavoro.

  7. Selezionare>Rivedi e assegna.

Per altre informazioni sull'assegnazione di ruoli alle applicazioni, vedere Assegnare un ruolo all'applicazione.

Abilitare il connettore dati api degli indicatori di caricamento di Intelligence per le minacce in Microsoft Sentinel

Abilitare il connettore dati dell'API Per il caricamento degli indicatori di Intelligence per le minacce per consentire a Microsoft Sentinel di ricevere gli indicatori di minaccia inviati dalla soluzione TIP o personalizzata. Questi indicatori sono disponibili per l'area di lavoro di Microsoft Sentinel configurata.

  1. Per Microsoft Sentinel nella portale di Azure, in Gestione contenuto selezionare Hub contenuto.
    Per Microsoft Sentinel nel portale di Defender selezionare Hub del contenuto di Gestione>contenuto di Microsoft Sentinel>.

  2. Trovare e selezionare la soluzione Intelligence per le minacce.

  3. Selezionare il pulsante Installa/Aggiorna.

Per altre informazioni su come gestire i componenti della soluzione, vedere Individuare e distribuire contenuti predefiniti.

  1. Il connettore dati è ora visibile nei Connessione or di dati di configurazione>. Aprire la pagina del connettore dati per altre informazioni sulla configurazione dell'applicazione con questa API.

    Screenshot che mostra la pagina dei connettori dati con il connettore dati dell'API di caricamento elencato.

Configurare la soluzione TIP o l'applicazione personalizzata

Le informazioni di configurazione seguenti richieste dall'API degli indicatori di caricamento:

  • ID applicazione (client)
  • Segreto client
  • ID area di lavoro di Microsoft Sentinel

Immettere questi valori nella configurazione della soluzione INTEGRATA TIP o personalizzata, se necessario.

  1. Inviare gli indicatori all'API di caricamento di Microsoft Sentinel. Per altre informazioni sull'API degli indicatori di caricamento, vedere il documento di riferimento sull'API degli indicatori di caricamento di Microsoft Sentinel.

  2. Entro pochi minuti, gli indicatori di minaccia devono iniziare a passare all'area di lavoro di Microsoft Sentinel. Trovare i nuovi indicatori nel pannello Intelligence per le minacce, accessibile dal menu di spostamento di Microsoft Sentinel.

  3. Lo stato del connettore dati riflette lo stato Connessione e il grafico Dati ricevuti viene aggiornato dopo che gli indicatori vengono inviati correttamente.

    Screenshot che mostra il connettore dati dell'API degli indicatori di caricamento nello stato connesso.

Contenuto correlato

In questo documento si è appreso come connettere la piattaforma di intelligence per le minacce a Microsoft Sentinel. Per altre informazioni sull'uso degli indicatori di minaccia in Microsoft Sentinel, vedere gli articoli seguenti.