Conector da API de Indicadores de Upload de Inteligência contra Ameaças (pré-visualização) para o Microsoft Sentinel
O Microsoft Sentinel oferece uma API de plano de dados para trazer inteligência contra ameaças de sua Plataforma de Inteligência contra Ameaças (TIP, em inglês), como Threat Connect, Palo Alto Networks MineMeld, MISP ou outros aplicativos integrados. Os indicadores de ameaça podem incluir endereços IP, domínios, URLs, hashes de arquivo e endereços de e-mail. Para obter mais informações, confira a Documentação do Microsoft Sentinel.
Este é um conteúdo gerado automaticamente. Para alterações, entre em contato com o provedor da solução.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | ThreatIntelligenceIndicator |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
Todos os indicadores de APIs de Inteligência contra Ameaças
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
Instruções de instalação do fornecedor
Você pode conectar sua fontes de dados de inteligência contra ameaças ao Microsoft Sentinel:
Usando uma Plataforma integrada de Inteligência contra Ameaças (TIP, em inglês), como Threat Connect, Palo Alto Networks MineMeld, MISP e outros.
Chamar a API do plano de dados do Microsoft Sentinel diretamente de outro aplicativo.
- Observação: o "Status" do conector não aparecerá como "Conectado" aqui, porque os dados são ingeridos por meio de uma chamada de API.
Siga estas etapas para se conectar à inteligência contra ameaças:
- Obter Token de Acesso Microsoft Entra ID
[concat('Para enviar solicitações às APIs, você precisa adquirir o token de acesso do Azure Active Directory. Você pode seguir as instruções nessa página: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- Aviso: solicite o token de acesso do AAD com o valor de escopo: “, variables(“management”), “.default”)]
- Enviar indicadores para o Sentinel
Você pode enviar indicadores chamando nossa API de Indicadores de Upload. Para obter mais informações sobre API, clique aqui.
Método HTTP: POST
Ponto de extremidade:
https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01
WorkspaceID: o workspace para o qual os indicadores são carregados.
Valor do cabeçalho 1: "Autorização" = "Portador [Token de acesso do Microsoft Entra ID da etapa 1]"
Valor do cabeçalho 2: "Content-Type" = "application/json"
Corpo: O corpo é um objeto JSON que contém uma matriz de indicadores no formato STIX.
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.