Conectar sua plataforma de inteligência contra ameaças ao Microsoft Sentinel com a API de indicadores de upload

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Muitas organizações usam soluções de plataforma de inteligência contra ameaças (TIP) para agregar feeds de indicadores de ameaças de várias fontes. No feed agregado, os dados são coletados para serem aplicados a soluções de segurança, como dispositivos de rede, soluções EDR/XDR ou SIEMs, como o Microsoft Sentinel. A API de indicadores de upload da inteligência contra ameaças permite que você use essas soluções para importar indicadores de ameaças para o Microsoft Sentinel. A API de indicadores de upload ingere indicadores de inteligência contra ameaças no Microsoft Sentinel sem a necessidade do conector de dados. O conector de dados espelha apenas as instruções para se conectar ao ponto de extremidade da API detalhado neste artigo e o documento de referência de API suplementar API de indicadores de upload do Microsoft Sentinel.

Para obter mais informações sobre inteligência contra ameaças, consulte Inteligência contra Ameaças.

Importante

A API de Indicadores de Upload de Inteligência contra Ameaças do Microsoft Sentinel está em versão prévia. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

O Microsoft Sentinel está disponível como parte da plataforma de operações de segurança unificada no portal do Microsoft Defender. O Microsoft Sentinel no portal do Defender agora tem suporte para uso em produção. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Confira também: Conectar o Microsoft Sentinel aos feeds de inteligência contra ameaças STIX/TAXII

Pré-requisitos

• Para instalar, atualizar e excluir conteúdo autônomo e soluções no hub de conteúdo, você precisa da função Colaborador do Microsoft Sentinel no nível do grupo de recursos. Tenha em mente que você não precisa instalar o conector de dados para usar o ponto de extremidade da API.
• Você precisa ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel para armazenar seus indicadores de ameaça.
• Você deve ser capaz de registrar um aplicativo do Microsoft Entra.
• O aplicativo Microsoft Entra deve receber a função de colaborador do Microsoft Sentinel no nível do workspace.

Instruções

Siga estas etapas para importar os indicadores de ameaças da sua TIP integrada ou solução personalizada de inteligência contra ameaças para o Microsoft Sentinel:

1. Registre um aplicativo do Microsoft Entra e registre sua ID do aplicativo.
2. Gere e registre um segredo do cliente para seu aplicativo Microsoft Entra.
3. Atribua ao aplicativo Microsoft Entra a função de colaborador do Microsoft Sentinel ou equivalente.
4. Configure sua solução TIP ou aplicativo personalizado.

Registrar um aplicativo do Microsoft Entra

As permissões de função de usuário padrão permitem que os usuários criem registros de aplicativo. Se essa configuração tiver sido alterada para Não, você precisará de permissão para gerenciar aplicativos na ID do Microsoft Entra. Qualquer uma das seguintes funções do Microsoft Entra inclui as permissões necessárias:

• Administrador de aplicativos
• Desenvolvedor de aplicativo
• Administrador de aplicativos de nuvem

Para obter mais informações sobre como registrar seu aplicativo Microsoft Entra, consulte Registrar um aplicativo.

Depois de registrar seu aplicativo, registre sua ID do Aplicativo (cliente) na guia Visão geral do aplicativo.

Gerar e registrar o segredo do cliente

Agora que seu aplicativo foi registrado, gere e registre um segredo do cliente.

Para obter mais informações sobre como gerar um segredo do cliente, confira Adicionar um segredo do cliente.

Atribuir uma função ao aplicativo

A API de indicadores de upload ingere indicadores de ameaça no nível do workspace e permite uma função de privilégio mínimo de colaborador do Microsoft Sentinel.

1. No portal do Azure, vá para workspaces do Log Analytics.

2. Selecione IAM (Controle de acesso) .

3. Selecione Adicionar>Adicionar atribuição de função.

4. Na guia Função, selecione a função Colaborador do Microsoft Sentinel>Avançar.

5. Na guia Membros, selecione Atribuir acesso a>Usuário, grupo ou entidade de serviço.

6. Selecionar membros. Por padrão, os aplicativos do Microsoft Entra não são exibidos nas opções disponíveis. Para encontrar seu aplicativo, procure-o pelo nome.

7. Selecione>Examinar + atribuir.

Para obter mais informações sobre como atribuir funções a aplicativos, confira Atribuir uma função ao aplicativo.

Instalar o conector de dados da API de indicadores de upload da Inteligência Contra Ameaças no Microsoft Sentinel (opcional)

Instale o conector de dados da API de indicadores de Upload de Inteligência contra Ameaças para ver as instruções de conexão de API do seu workspace do Microsoft Sentinel.

1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione o Hub de conteúdo.
   Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de conteúdo>Hub de conteúdo.

2. Localize e selecione a solução de Inteligência contra Ameaças.

3. Selecionar o botão Instalar/Atualizar.

Para obter mais informações sobre como gerenciar os componentes da solução, veja Descobrir e implantar conteúdo pronto para uso.

1. O conector de dados agora está visível em Configuração>Conectores de Dados. Abra a página do conector de dados para encontrar mais informações sobre como configurar seu aplicativo com esta API.

   

Configure sua solução TIP ou aplicativo personalizado

As seguintes informações de configuração exigidas pela API de indicadores de upload:

• ID do aplicativo (cliente)
• Segredo do cliente
• ID do espaço de trabalho do Microsoft Sentinel

Insira esses valores na configuração da TIP integrada ou da solução personalizado quando exigido.

1. Envie os indicadores para a API de upload do Microsoft Sentinel. Para saber mais sobre a API de indicadores de upload, confira o documento de referência API de indicadores de upload do Microsoft Sentinel.

2. Em alguns minutos, os indicadores de ameaça começarão a aparecer no workspace do Microsoft Sentinel. Encontre os novos indicadores na folha Inteligência contra ameaças, acessível no menu de navegação do Microsoft Sentinel.

3. O status do conector de dados reflete o status Conectado e o grafo Dados recebidos é atualizado assim que os indicadores são enviados com êxito.

   

Conteúdo relacionado

Neste documento, você aprendeu a conectar a plataforma de inteligência contra ameaças ao Microsoft Sentinel. Para saber mais sobre como usar indicadores de ameaça no Microsoft Sentinel, confira os artigos a seguir.

• Entenda a inteligência contra ameaças.
• Trabalhar com indicadores de ameaça ao longo de toda a experiência do Microsoft Sentinel.
• Introdução à detecção de ameaças com regras de análise internas ou personalizadas no Microsoft Sentinel.