Udostępnij za pośrednictwem

Łącznik interfejsu API wskaźników przekazywania analizy zagrożeń (wersja zapoznawcza) dla usługi Microsoft Sentinel

  • Artykuł

Usługa Microsoft Sentinel oferuje interfejs API płaszczyzny danych umożliwiający korzystanie z analizy zagrożeń z poziomu platformy analizy zagrożeń (TIP), takich jak Threat Connect, Palo Alto Networks MineMeld, MISP lub inne zintegrowane aplikacje. Wskaźniki zagrożeń mogą obejmować adresy IP, domeny, adresy URL, skróty plików i adresy e-mail. Aby uzyskać więcej informacji, zobacz dokumentację usługi Microsoft Sentinel.

Jest to automatycznie wygenerowana zawartość. W przypadku zmian skontaktuj się z dostawcą rozwiązania.

Atrybuty łącznika

Atrybut łącznika opis
Tabele usługi Log Analytics ThreatIntelligenceIndicator
Obsługa reguł zbierania danych Obecnie nieobsługiwane
Obsługiwane przez Microsoft Corporation

Przykłady zapytań

Wszystkie wskaźniki interfejsów API analizy zagrożeń

ThreatIntelligenceIndicator 
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc

Instrukcje instalacji dostawcy

Źródła danych analizy zagrożeń można połączyć z usługą Microsoft Sentinel, wykonując jedną z następujących czynności:

Korzystanie ze zintegrowanej platformy Threat Intelligence Platform (TIP), takiej jak Threat Connect, Palo Alto Networks MineMeld, MISP i inne.

Wywoływanie interfejsu API płaszczyzny danych usługi Microsoft Sentinel bezpośrednio z innej aplikacji.

  • Uwaga: "Stan" łącznika nie będzie wyświetlany w tym miejscu jako "Połączony", ponieważ dane są pozyskiwane przez wywołanie interfejsu API.

Wykonaj następujące kroki, aby nawiązać połączenie z analizą zagrożeń:

  1. Uzyskiwanie tokenu dostępu identyfikatora entra firmy Microsoft

[concat('Aby wysłać żądanie do interfejsów API, musisz uzyskać token dostępu usługi Azure Active Directory. Instrukcje można wykonać na tej stronie: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token

  • Uwaga: Zażądaj tokenu dostępu usługi AAD z wartością zakresu: ', variables('management'), '.default')]
  1. Wysyłanie wskaźników do usługi Sentinel

Wskaźniki można wysyłać, wywołując interfejs API wskaźników przekazywania. Aby uzyskać więcej informacji na temat interfejsu API, kliknij tutaj.

Metoda HTTP: POST

Punkt końcowy: https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01

WorkspaceID: obszar roboczy, do którego są przekazywane wskaźniki.

Wartość nagłówka 1: "Authorization" = "Bearer [Microsoft Entra ID Access Token from step 1]"

Wartość nagłówka 2: "Content-Type" = "application/json"

Treść: treść jest obiektem JSON zawierającym tablicę wskaźników w formacie STIX.

Następne kroki

Aby uzyskać więcej informacji, przejdź do powiązanego rozwiązania w witrynie Azure Marketplace.