Łączenie platformy analizy zagrożeń z usługą Microsoft Sentinel przy użyciu interfejsu API przekazywania wskaźników
Wiele organizacji korzysta z rozwiązań platformy analizy zagrożeń (TIP), aby agregować źródła wskaźników zagrożeń z różnych źródeł. Z zagregowanego źródła danych dane są wyselekcjonowane w celu zastosowania do rozwiązań zabezpieczeń, takich jak urządzenia sieciowe, rozwiązania EDR/XDR lub rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takie jak Microsoft Sentinel. Korzystając z interfejsu API wskaźników przekazywania analizy zagrożeń, możesz użyć tych rozwiązań do importowania wskaźników zagrożeń do usługi Microsoft Sentinel.
Interfejs API przekazywania wskaźników pozyskuje wskaźniki analizy zagrożeń do usługi Microsoft Sentinel bez potrzeby łącznika danych. Łącznik danych odzwierciedla tylko instrukcje dotyczące nawiązywania połączenia z punktem końcowym interfejsu API opisanym w tym artykule oraz dokument referencyjny interfejsu API przekazywania wskaźników usługi Microsoft Sentinel.
Aby uzyskać więcej informacji na temat analizy zagrożeń, zobacz Analiza zagrożeń.
Ważne
Interfejs API wskaźników przekazywania analizy zagrożeń w usłudze Microsoft Sentinel jest w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać więcej warunków prawnych, które dotyczą funkcji platformy Azure w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Aby uzyskać więcej informacji, zobacz Connect Microsoft Sentinel to STIX/TAXII threat intelligence feeds (Łączenie usługi Microsoft Sentinel z źródłami danych analizy zagrożeń STIX/TAXII).
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.
Wymagania wstępne
- Aby zainstalować, zaktualizować i usunąć autonomiczną zawartość lub rozwiązania w centrum zawartości, potrzebna jest rola Współautor usługi Microsoft Sentinel na poziomie grupy zasobów. Nie musisz instalować łącznika danych, aby używać punktu końcowego interfejsu API.
- Aby przechowywać wskaźniki zagrożeń, musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.
- Musisz mieć możliwość zarejestrowania aplikacji Firmy Microsoft Entra.
- Aplikacja Microsoft Entra musi mieć przypisaną rolę Współautor usługi Microsoft Sentinel na poziomie obszaru roboczego.
Instrukcje
Wykonaj następujące kroki, aby zaimportować wskaźniki zagrożeń do usługi Microsoft Sentinel ze zintegrowanego rozwiązania TIP lub niestandardowego rozwiązania do analizy zagrożeń:
- Zarejestruj aplikację Firmy Microsoft Entra, a następnie zarejestruj swój identyfikator aplikacji.
- Generowanie i rejestrowanie wpisu tajnego klienta dla aplikacji Microsoft Entra.
- Przypisz aplikację Firmy Microsoft Entra rolę Współautor usługi Microsoft Sentinel lub jej odpowiednik.
- Skonfiguruj rozwiązanie TIP lub aplikację niestandardową.
Rejestrowanie aplikacji Firmy Microsoft Entra
Domyślne uprawnienia roli użytkownika umożliwiają użytkownikom tworzenie rejestracji aplikacji. Jeśli to ustawienie zostało przełączone na Nie, potrzebujesz uprawnień do zarządzania aplikacjami w usłudze Microsoft Entra. Każda z następujących ról firmy Microsoft Entra obejmuje wymagane uprawnienia:
- Administrator aplikacji
- Deweloper aplikacji
- Administrator aplikacji w chmurze
Aby uzyskać więcej informacji na temat rejestrowania aplikacji Microsoft Entra, zobacz Rejestrowanie aplikacji.
Po zarejestrowaniu aplikacji zapisz jej identyfikator aplikacji (klienta) na karcie Przegląd aplikacji.
Generowanie i rejestrowanie wpisu tajnego klienta
Teraz, gdy aplikacja jest zarejestrowana, wygeneruj i zarejestruj wpis tajny klienta.
Aby uzyskać więcej informacji na temat generowania wpisu tajnego klienta, zobacz Dodawanie wpisu tajnego klienta.
Przypisywanie roli do aplikacji
Interfejs API przekazywania wskaźników pozyskuje wskaźniki zagrożeń na poziomie obszaru roboczego i umożliwia rolę współautora usługi Microsoft Sentinel z najniższymi uprawnieniami.
W witrynie Azure Portal przejdź do obszarów roboczych usługi Log Analytics.
Wybierz pozycję Kontrola dostępu (IAM) .
Wybierz pozycję Dodaj>Dodaj przypisanie roli.
Na karcie Rola wybierz rolę Współautor usługi Microsoft Sentinel, a następnie wybierz pozycję Dalej.
Na karcie Członkowie wybierz pozycję Przypisz dostęp do>użytkownika, grupy lub jednostki usługi.
Wybierz członków. Domyślnie aplikacje Firmy Microsoft Entra nie są wyświetlane w dostępnych opcjach. Aby znaleźć aplikację, wyszukaj ją według nazwy.
Wybierz Przejrzyj + przypisz.
Aby uzyskać więcej informacji na temat przypisywania ról do aplikacji, zobacz Przypisywanie roli do aplikacji.
Instalowanie łącznika danych interfejsu API przekazywania wskaźników analizy zagrożeń w usłudze Microsoft Sentinel (opcjonalnie)
Zainstaluj łącznik danych interfejsu API przekazywania wskaźników analizy zagrożeń, aby wyświetlić instrukcje dotyczące połączenia interfejsu API z obszaru roboczego usługi Microsoft Sentinel.
W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.
W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Centrum zawartości zarządzania zawartością>usługi Microsoft Sentinel.>Znajdź i wybierz rozwiązanie analizy zagrożeń.
Wybierz przycisk Zainstaluj/Aktualizuj.
Aby uzyskać więcej informacji na temat zarządzania składnikami rozwiązania, zobacz Odnajdywanie i wdrażanie gotowej zawartości.
Łącznik danych jest teraz widoczny w obszarze Łączniki danych konfiguracji>. Otwórz stronę Łączniki danych, aby uzyskać więcej informacji na temat konfigurowania aplikacji przy użyciu tego interfejsu API.
Konfigurowanie rozwiązania platformy analizy zagrożeń lub aplikacji niestandardowej
Następujące informacje o konfiguracji są wymagane przez interfejs API przekazywania wskaźników:
- Identyfikator aplikacji (klient)
- Klucz tajny klienta
- Identyfikator obszaru roboczego usługi Microsoft Sentinel
Wprowadź te wartości w konfiguracji zintegrowanego rozwiązania TIP lub niestandardowego, jeśli jest to wymagane.
Prześlij wskaźniki do interfejsu API przekazywania wskaźników usługi Microsoft Sentinel. Aby dowiedzieć się więcej na temat interfejsu API przekazywania wskaźników, zobacz Interfejs API przekazywania wskaźników usługi Microsoft Sentinel.
W ciągu kilku minut wskaźniki zagrożeń powinny zacząć przepływać do obszaru roboczego usługi Microsoft Sentinel. Znajdź nowe wskaźniki w okienku Analiza zagrożeń, która jest dostępna z menu usługi Microsoft Sentinel.
Stan łącznika danych odzwierciedla stan Połączono . Graf Odebrane dane jest aktualizowany po pomyślnym przesłaniu wskaźników.
Powiązana zawartość
W tym artykule przedstawiono sposób łączenia porad z usługą Microsoft Sentinel. Aby dowiedzieć się więcej na temat używania wskaźników zagrożeń w usłudze Microsoft Sentinel, zobacz następujące artykuły:
- Omówienie analizy zagrożeń.
- Praca ze wskaźnikami zagrożeń w całym środowisku usługi Microsoft Sentinel.
- Rozpocznij wykrywanie zagrożeń za pomocą wbudowanych lub niestandardowych reguł analizy w usłudze Microsoft Sentinel.