Microsoft Sentinel 用 Threat Intelligence Upload Indicators API (プレビュー) コネクタ
Microsoft Sentinel は、Threat Connect、Palo Alto Networks MineMeld、MISP、その他の統合アプリケーションなど、脅威インテリジェンス プラットフォーム (TIP) から脅威インテリジェンスを取り込むデータ プレーン API を提供します。 脅威インジケーターには、IP アドレス、ドメイン、URL、ファイル ハッシュ、メール アドレスを含めることができます。
コネクタの属性
| コネクタ属性 | 説明 |
|---|---|
| Log Analytics テーブル | ThreatIntelligenceIndicator |
| データ収集ルールのサポート | 現在、サポートされていません |
| サポートしているもの | Microsoft Corporation |
クエリのサンプル
すべての Threat Intelligence API インジケーター
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
ベンダーのインストール手順
次のいずれかの方法で脅威インテリジェンス データ ソースを Microsoft Sentinel に接続できます。
Threat Connect、Palo Alto Networks MineMeld、MISP など、統合された脅威インテリジェンス プラットフォーム (TIP) を使用する。
Microsoft Sentinel データ プレーン API を別のアプリケーションから直接呼び出す。
こちらの手順に従って脅威インテリジェンスに接続します。
Microsoft Entra アクセス トークンを取得する
API に要求を送信するには、Microsoft Entra アクセス トークンを取得する必要があります。 「MSAL を使用してユーザーの Microsoft Entra トークンを取得する」というページの指示に従うことができます。
- 注意: 適切なスコープ値を指定して、Microsoft Entra アクセス トークンを要求してください。
インジケーターは、Upload Indicators API を呼び出すことで送信できます。 API の詳細については、こちらをクリックしてください。
HTTP method: POST
Endpoint: https://sentinelus.azure-api.net/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01
WorkspaceID: the workspace that the indicators are uploaded to.
Header Value 1: "Authorization" = "Bearer [AAD Access Token from step 1]"
Header Value 2: "Content-Type" = "application/json"
Body: The body is a JSON object containing an array of indicators in STIX format.'title : 2. Send indicators to Sentinel'
次のステップ
詳細については、Azure Marketplace の関連ソリューションに関するページを参照してください。