Połączenie platformę analizy zagrożeń do usługi Microsoft Sentinel przy użyciu interfejsu API wskaźników przekazywania

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Wiele organizacji korzysta z rozwiązań platformy analizy zagrożeń (TIP), aby agregować źródła wskaźników zagrożeń z różnych źródeł. Z zagregowanego źródła danych dane są wyselekcjonowane w celu zastosowania do rozwiązań zabezpieczeń, takich jak urządzenia sieciowe, rozwiązania EDR/XDR lub SIEM, takie jak Microsoft Sentinel. Łącznik danych interfejsu API przekazywania wskaźników analizy zagrożeń umożliwia użycie tych rozwiązań do importowania wskaźników zagrożeń do usługi Microsoft Sentinel. Ten łącznik danych używa interfejsu API przekazywania wskaźników usługi Sentinel do pozyskiwania wskaźników analizy zagrożeń do usługi Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Analiza zagrożeń.

Ścieżka importu analizy zagrożeń

Ważne

Interfejs API przekazywania wskaźników przekazywania usługi Microsoft Sentinel i łącznik danych interfejsu API przekazywania analizy zagrożeń są w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Zobacz również: Połączenie microsoft Sentinel do źródeł danych analizy zagrożeń STIX/TAXII

Wymagania wstępne

  • Aby zainstalować, zaktualizować i usunąć autonomiczną zawartość lub rozwiązania w centrum zawartości, potrzebna jest rola Współautor usługi Microsoft Sentinel na poziomie grupy zasobów.
  • Aby przechowywać wskaźniki zagrożeń, musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.
  • Musisz mieć możliwość zarejestrowania aplikacji Firmy Microsoft Entra.
  • Aplikacja Microsoft Entra musi mieć przypisaną rolę współautora usługi Microsoft Sentinel na poziomie obszaru roboczego.

Instrukcje

Wykonaj następujące kroki, aby zaimportować wskaźniki zagrożeń do usługi Microsoft Sentinel ze zintegrowanego rozwiązania TIP lub niestandardowego rozwiązania do analizy zagrożeń:

  1. Zarejestruj aplikację Microsoft Entra i zarejestruj jej identyfikator aplikacji.
  2. Generowanie i rejestrowanie wpisu tajnego klienta dla aplikacji Microsoft Entra.
  3. Przypisz aplikację Firmy Microsoft Entra rolę współautora usługi Microsoft Sentinel lub jej odpowiednik.
  4. Włącz łącznik danych interfejsu API przekazywania analizy zagrożeń w usłudze Microsoft Sentinel.
  5. Skonfiguruj rozwiązanie TIP lub aplikację niestandardową.

Rejestrowanie aplikacji Firmy Microsoft Entra

Domyślne uprawnienia roli użytkownika umożliwiają użytkownikom tworzenie rejestracji aplikacji. Jeśli to ustawienie zostało przełączone na Nie, musisz mieć uprawnienia do zarządzania aplikacjami w usłudze Microsoft Entra ID. Każda z następujących ról firmy Microsoft Entra obejmuje wymagane uprawnienia:

  • Administrator aplikacji
  • Deweloper aplikacji
  • Administrator aplikacji w chmurze

Aby uzyskać więcej informacji na temat rejestrowania aplikacji Microsoft Entra, zobacz Rejestrowanie aplikacji.

Po zarejestrowaniu aplikacji zapisz identyfikator aplikacji (klienta) na karcie Przegląd aplikacji.

Generowanie i rejestrowanie wpisu tajnego klienta

Teraz, gdy aplikacja została zarejestrowana, wygeneruj i zarejestruj wpis tajny klienta.

Zrzut ekranu przedstawiający generowanie wpisów tajnych klienta.

Aby uzyskać więcej informacji na temat generowania wpisu tajnego klienta, zobacz Dodawanie wpisu tajnego klienta.

Przypisywanie roli do aplikacji

Wskaźniki przekazywania interfejsu API pozyskuje wskaźniki zagrożeń na poziomie obszaru roboczego i zezwalają na najmniej uprzywilejowaną rolę współautora usługi Microsoft Sentinel.

  1. W witrynie Azure Portal przejdź do obszarów roboczych usługi Log Analytics.

  2. Wybierz pozycję Kontrola dostępu (IAM) .

  3. Wybierz pozycję Dodaj>Dodaj przypisanie roli.

  4. Na karcie Rola wybierz rolę> Współautor usługi Microsoft Sentinel Dalej.

  5. Na karcie Członkowie wybierz pozycję Przypisz dostęp do>użytkownika, grupy lub jednostki usługi.

  6. Wybierz członków. Domyślnie aplikacje Firmy Microsoft Entra nie są wyświetlane w dostępnych opcjach. Aby znaleźć aplikację, wyszukaj ją według nazwy. Zrzut ekranu przedstawiający rolę współautora usługi Microsoft Sentinel przypisaną do aplikacji na poziomie obszaru roboczego.

  7. Wybierz pozycję>Przejrzyj i przypisz.

Aby uzyskać więcej informacji na temat przypisywania ról do aplikacji, zobacz Przypisywanie roli do aplikacji.

Włączanie łącznika danych interfejsu API przekazywania analizy zagrożeń w usłudze Microsoft Sentinel

Włącz łącznik danych interfejsu API przekazywania wskaźników analizy zagrożeń, aby umożliwić usłudze Microsoft Sentinel odbieranie wskaźników zagrożeń wysyłanych z rozwiązania TIP lub niestandardowego. Te wskaźniki są dostępne dla skonfigurowanego obszaru roboczego usługi Microsoft Sentinel.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Centrum zawartości zarządzania zawartością>usługi Microsoft Sentinel.>

  2. Znajdź i wybierz rozwiązanie analizy zagrożeń.

  3. Wybierz przycisk Zainstaluj/Aktualizuj.

Aby uzyskać więcej informacji na temat zarządzania składnikami rozwiązania, zobacz Odnajdywanie i wdrażanie gotowej zawartości.

  1. Łącznik danych jest teraz widoczny w Połączenie danych konfiguracji>. Otwórz stronę łącznika danych, aby uzyskać więcej informacji na temat konfigurowania aplikacji przy użyciu tego interfejsu API.

    Zrzut ekranu przedstawiający stronę łączników danych z wyświetlonym łącznikiem przekazywania danych interfejsu API.

Konfigurowanie rozwiązania TIP lub aplikacji niestandardowej

Następujące informacje o konfiguracji wymagane przez interfejs API wskaźników przekazywania:

  • Identyfikator aplikacji (klient)
  • Klucz tajny klienta
  • Identyfikator obszaru roboczego usługi Microsoft Sentinel

Wprowadź te wartości w konfiguracji zintegrowanego rozwiązania TIP lub niestandardowego, jeśli jest to wymagane.

  1. Prześlij wskaźniki do interfejsu API przekazywania usługi Microsoft Sentinel. Aby dowiedzieć się więcej na temat interfejsu API wskaźników przekazywania, zobacz dokument referencyjny Interfejs API wskaźników przekazywania usługi Microsoft Sentinel.

  2. W ciągu kilku minut wskaźniki zagrożeń powinny zacząć przepływać do obszaru roboczego usługi Microsoft Sentinel. Znajdź nowe wskaźniki w bloku Analiza zagrożeń dostępne w menu nawigacji usługi Microsoft Sentinel.

  3. Stan łącznika danych odzwierciedla stan Połączenie, a graf Odebrane dane jest aktualizowany po pomyślnym przesłaniu wskaźników.

    Zrzut ekranu przedstawiający łącznik danych interfejsu API przekazywania wskaźników w stanie połączonym.

Powiązana zawartość

W tym dokumencie przedstawiono sposób łączenia platformy analizy zagrożeń z usługą Microsoft Sentinel. Aby dowiedzieć się więcej na temat używania wskaźników zagrożeń w usłudze Microsoft Sentinel, zobacz następujące artykuły.