Verbinding maken uw bedreigingsinformatieplatform naar Microsoft Sentinel met de API voor uploadindicatoren

  • Artikel
  • Van toepassing op:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Veel organisaties gebruiken TIP-oplossingen (Threat Intelligence Platform) om feeds van bedreigingsindicatoren uit verschillende bronnen samen te voegen. Vanuit de geaggregeerde feed worden de gegevens gecureerd om toe te passen op beveiligingsoplossingen zoals netwerkapparaten, EDR-/XDR-oplossingen of SIEM's zoals Microsoft Sentinel. Met de API-gegevensconnector Threat Intelligence Upload Indicators kunt u deze oplossingen gebruiken om bedreigingsindicatoren te importeren in Microsoft Sentinel. Deze gegevensconnector maakt gebruik van de Sentinel-API voor het uploaden van indicatoren voor bedreigingsinformatie in Microsoft Sentinel. Zie Bedreigingsinformatie voor meer informatie.

Importpad voor bedreigingsinformatie

Belangrijk

De API voor uploadindicatoren voor Microsoft Sentinel en de API-gegevensconnector bedreigingsinformatie uploaden zijn beschikbaar in PREVIEW. Zie de aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die bèta, preview of anderszins nog niet beschikbaar zijn.

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Zie ook: Verbinding maken Microsoft Sentinel naar STIX/TAXII-feeds voor bedreigingsinformatie

Vereisten

  • Als u zelfstandige inhoud of oplossingen in de inhoudshub wilt installeren, bijwerken en verwijderen, hebt u de rol Microsoft Sentinel-inzender nodig op het niveau van de resourcegroep.
  • U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte om uw bedreigingsindicatoren op te slaan.
  • U moet een Microsoft Entra-toepassing kunnen registreren.
  • De Microsoft Entra-toepassing moet de rol Microsoft Sentinel-inzender krijgen op werkruimteniveau.

Instructies

Volg deze stappen om bedreigingsindicatoren te importeren in Microsoft Sentinel vanuit uw geïntegreerde TIP of aangepaste oplossing voor bedreigingsinformatie:

  1. Registreer een Microsoft Entra-toepassing en noteer de toepassings-id.
  2. Genereer en noteer een clientgeheim voor uw Microsoft Entra-toepassing.
  3. Wijs uw Microsoft Entra-toepassing de rol van Microsoft Sentinel-inzender of gelijkwaardig toe.
  4. Schakel de API-gegevensconnector voor het uploaden van bedreigingsinformatie in microsoft Sentinel in.
  5. Configureer uw TIP-oplossing of aangepaste toepassing.

Een Microsoft Entra-toepassing registreren

Met de standaardmachtigingen voor gebruikersrollen kunnen gebruikers toepassingsregistraties maken. Als deze instelling is overgeschakeld naar Nee, hebt u toestemming nodig om toepassingen in Microsoft Entra-id te beheren. Een van de volgende Microsoft Entra-rollen omvat de vereiste machtigingen:

  • Toepassingsbeheerder
  • Toepassingsontwikkelaar
  • Cloudtoepassingsbeheerder

Zie Een toepassing registreren voor meer informatie over het registreren van uw Microsoft Entra-toepassing.

Zodra u uw toepassing hebt geregistreerd, registreert u de toepassings-id (client) van het tabblad Overzicht van de toepassing.

Clientgeheim genereren en vastleggen

Nu uw toepassing is geregistreerd, genereert en registreert u een clientgeheim.

Schermopname van het genereren van clientgeheimen.

Zie Een clientgeheim toevoegen voor meer informatie over het genereren van een clientgeheim.

Een rol toewijzen aan de toepassing

De API voor uploadindicatoren neemt bedreigingsindicatoren op werkruimteniveau op en staat een rol met minimale bevoegdheden van Microsoft Sentinel-inzender toe.

  1. Ga vanuit Azure Portal naar Log Analytics-werkruimten.

  2. Klik op Toegangsbeheer (IAM) .

  3. Selecteer Toevoegen>Roltoewijzing toevoegen.

  4. Selecteer op het tabblad Rol de rol >Microsoft Sentinel-inzender Volgende.

  5. Selecteer op het tabblad Leden de optie Toegang toewijzen aan>gebruiker, groep of service-principal.

  6. Selecteer leden. Microsoft Entra-toepassingen worden standaard niet weergegeven in de beschikbare opties. Als u uw toepassing wilt zoeken, zoekt u deze op naam. Schermopname van de rol Microsoft Sentinel-inzender die is toegewezen aan de toepassing op werkruimteniveau.

  7. Selecteer>Beoordelen en toewijzen.

Zie Een rol toewijzen aan de toepassing voor meer informatie over het toewijzen van rollen aan toepassingen.

De API-gegevensconnector voor het uploaden van bedreigingsinformatie inschakelen in Microsoft Sentinel

Schakel de API-gegevensconnector Threat Intelligence Upload Indicators in zodat Microsoft Sentinel bedreigingsindicatoren kan ontvangen die zijn verzonden vanuit uw TIP of aangepaste oplossing. Deze indicatoren zijn beschikbaar voor de Microsoft Sentinel-werkruimte die u configureert.

  1. Voor Microsoft Sentinel in Azure Portal selecteert u onder Inhoudsbeheer de optie Inhoudshub.
    Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Content Management>Content Hub.

  2. Zoek en selecteer de oplossing Bedreigingsinformatie .

  3. Selecteer de knop Installeren/bijwerken .

Zie Out-of-The-Box-inhoud ontdekken en implementeren voor meer informatie over het beheren van de oplossingsonderdelen.

  1. De gegevensconnector is nu zichtbaar in Configuration>Data Verbinding maken ors. Open de pagina gegevensconnector voor meer informatie over het configureren van uw toepassing met deze API.

    Schermopname van de pagina gegevensconnectors met de upload-API-gegevensconnector vermeld.

Uw TIP-oplossing of aangepaste toepassing configureren

De volgende configuratie-informatie die is vereist voor de API voor uploadindicatoren:

  • Client-id van toepassing
  • Clientgeheim
  • Microsoft Sentinel-werkruimte-id

Voer indien nodig deze waarden in in de configuratie van uw geïntegreerde TIP of aangepaste oplossing.

  1. Verzend de indicatoren naar de Upload-API van Microsoft Sentinel. Zie het referentiedocument microsoft Sentinel-api voor uploadindicatoren voor meer informatie over de API voor uploadindicatoren.

  2. Binnen een paar minuten moeten bedreigingsindicatoren beginnen te stromen naar uw Microsoft Sentinel-werkruimte. Zoek de nieuwe indicatoren op de blade Bedreigingsinformatie , die toegankelijk is vanuit het navigatiemenu van Microsoft Sentinel.

  3. De status van de gegevensconnector weerspiegelt de Verbinding maken status en de grafiek Ontvangen gegevens wordt bijgewerkt zodra indicatoren zijn verzonden.

    Schermopname van de API-gegevensconnector voor uploadindicatoren in de verbonden status.

Gerelateerde inhoud

In dit document hebt u geleerd hoe u uw bedreigingsinformatieplatform verbindt met Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over het gebruik van bedreigingsindicatoren in Microsoft Sentinel.