Connettere il connettore delle piattaforme di intelligence sulle minacce

Completato

Microsoft Sentinel si integra con le origini dati dell'API Microsoft Graph Security per consentire il monitoraggio, l'invio di avvisi e la ricerca tramite l'intelligence sulle minacce. Usare questo connettore per inviare gli indicatori delle minacce a Microsoft Sentinel dalla piattaforma di intelligence sulle minacce (TIP), ad esempio Threat Connect, Palo Alto Networks MindMeld, MISP o altre applicazioni integrate. Gli indicatori delle minacce possono includere indirizzi IP, domini, URL e hash di file.

Connettere Microsoft Sentinel alla piattaforma di intelligence sulle minacce

1. Registrare un'applicazione in Microsoft Entra ID per ottenere un ID applicazione, un segreto dell'applicazione e un ID tenant di Microsoft Entra. Questi valori sono necessari per la configurazione del prodotto piattaforma di intelligence sulle minacce integrato o dell'app che usa l'integrazione diretta con l'API tiIndicators di Microsoft Graph Security.

2. Configurare le autorizzazioni dell'API per l'applicazione registrata: aggiungere l'autorizzazione dell'applicazione Microsoft Graph ThreatIndicators.ReadWrite.OwnedBy all'applicazione registrata.

3. Chiedere all'amministratore del tenant di Microsoft Entra di concedere il consenso per l'applicazione registrata per l'organizzazione. Dal portale di Azure: Microsoft Entra ID>Registrazioni app>nome app>Visualizzare autorizzazioni API>Concedere il consenso amministratore per il nome del tenant.

4. Configurare il prodotto piattaforma di intelligence sulle minacce o l'app che usa l'integrazione diretta con l'API tiIndicators di Microsoft Graph Security per inviare gli indicatori a Microsoft Sentinel specificando quanto segue:

   • Valori per l'ID, il segreto e l'ID tenant dell'applicazione registrata.

   • Per il prodotto di destinazione, specificare Microsoft Sentinel.

   • Per l'azione, specificare Avviso.

5. Nel portale di Azure passare ad Microsoft Sentinel > Connettori dati e quindi selezionare il connettore Piattaforme di intelligence sulle minacce (anteprima).

6. Selezionare Apri la pagina del connettore e quindi Connetti.

7. Per visualizzare gli indicatori delle minacce importati in Microsoft Sentinel, passare a Microsoft Sentinel Logs > SecurityInsights (Log di Microsoft Sentinel > SecurityInsights), quindi espandere ThreatIntelligenceIndicator.