Partilhar via

Conecte sua plataforma de inteligência de ameaças ao Microsoft Sentinel

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nota

Este conector de dados está em um caminho para descontinuação. Mais informações serão publicadas no cronograma exato. Use o novo conector de dados da API Threat Intelligence Upload Indicators para novas soluções no futuro. Para obter mais informações, consulte Conectar sua plataforma de inteligência de ameaças ao Microsoft Sentinel com a API de indicadores de carregamento.

Muitas organizações usam soluções de plataforma de inteligência de ameaças (TIP) para agregar feeds de indicadores de ameaças de várias fontes. A partir do feed agregado, os dados são selecionados para serem aplicados a soluções de segurança, como dispositivos de rede, soluções EDR/XDR ou soluções de gerenciamento de eventos e informações de segurança (SIEM), como o Microsoft Sentinel. Usando o conector de dados TIP, você pode usar essas soluções para importar indicadores de ameaça para o Microsoft Sentinel.

Como o conector de dados TIP funciona com a API tiIndicators do Microsoft Graph Security para realizar esse processo, você pode usar o conector para enviar indicadores para o Microsoft Sentinel (e para outras soluções de segurança da Microsoft, como o Defender XDR) a partir de qualquer outra TIP personalizada que possa se comunicar com essa API.

Captura de tela que mostra o caminho de importação de informações sobre ameaças.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Saiba mais sobre inteligência contra ameaças no Microsoft Sentinel e, especificamente, sobre os produtos TIP que você pode integrar ao Microsoft Sentinel.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

  • Para instalar, atualizar e excluir conteúdo ou soluções autônomas no hub de conteúdo, você precisa da função de Colaborador do Microsoft Sentinel no nível do grupo de recursos.
  • Para conceder permissões ao seu produto TIP ou a qualquer outro aplicativo personalizado que use integração direta com a API de indicadores do Microsoft Graph TI, você deve ter a função de administrador de segurança Microsoft Entra ou as permissões equivalentes.
  • Para armazenar seus indicadores de ameaça, você deve ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel.

Instruções

Para importar indicadores de ameaças para o Microsoft Sentinel a partir da sua TIP integrada ou da solução personalizada de informações sobre ameaças, siga estes passos:

  1. Obtenha uma ID de aplicativo e segredo do cliente da ID do Microsoft Entra.
  2. Insira essas informações em sua solução TIP ou aplicativo personalizado.
  3. Habilite o conector de dados TIP no Microsoft Sentinel.

Inscreva-se para obter uma ID de aplicativo e segredo do cliente da ID do Microsoft Entra

Se você está trabalhando com uma TIP ou uma solução personalizada, a API tiIndicators requer algumas informações básicas para permitir que você conecte seu feed a ele e envie indicadores de ameaça. As três informações de que necessita são:

  • ID da aplicação (cliente)
  • ID do Diretório (inquilino)
  • Segredo do cliente

Você pode obter essas informações do Microsoft Entra ID por meio do registro do aplicativo, que inclui as três etapas a seguir:

  • Registre um aplicativo com o Microsoft Entra ID.
  • Especifique as permissões exigidas pelo aplicativo para se conectar à API tiIndicators do Microsoft Graph e enviar indicadores de ameaça.
  • Obtenha o consentimento da sua organização para conceder estas permissões a esta aplicação.

Registar uma aplicação com o Microsoft Entra ID

  1. No portal do Azure, vá para Microsoft Entra ID.

  2. No menu, selecione Registos de Aplicações e, em seguida, selecione Novo registo.

  3. Escolha um nome para o registro do aplicativo, selecione Locatário único e, em seguida, selecione Registrar.

    Captura de ecrã que mostra o registo de uma aplicação.

  4. Na tela que se abre, copie os valores de ID do aplicativo (cliente) e ID do diretório (locatário). Você precisará dessas duas informações posteriormente para configurar sua TIP ou solução personalizada para enviar indicadores de ameaça ao Microsoft Sentinel. A terceira informação que você precisa, o segredo do cliente, vem depois.

Especifique as permissões exigidas pelo aplicativo

  1. Volte para a página principal do Microsoft Entra ID.

  2. No menu, selecione Registos de Aplicações e, em seguida, selecione a sua aplicação recém-registada.

  3. No menu, selecione Permissões>de API Adicionar uma permissão.

  4. Na página Selecionar uma API, selecione a API do Microsoft Graph. Em seguida, escolha em uma lista de permissões do Microsoft Graph.

  5. No prompt Que tipo de permissões seu aplicativo exige?, selecione Permissões do aplicativo. Essa permissão é o tipo usado por aplicativos que se autenticam com ID de aplicativo e segredos de aplicativo (chaves de API).

  6. Selecione ThreatIndicators.ReadWrite.OwnedBy e, em seguida, selecione Adicionar permissões para adicionar essa permissão à lista de permissões do seu aplicativo.

    Captura de tela que mostra a especificação de permissões.

  1. Para conceder o consentimento, é necessário um papel privilegiado. Para obter mais informações, consulte Conceder consentimento de administrador de todo o locatário para um aplicativo.

    Captura de ecrã que mostra a concessão de consentimento.

  2. Depois que o consentimento for concedido ao seu aplicativo, você verá uma marca de seleção verde em Status.

Depois que seu aplicativo for registrado e as permissões forem concedidas, você precisará obter um segredo do cliente para seu aplicativo.

  1. Volte para a página principal do Microsoft Entra ID.

  2. No menu, selecione Registos de Aplicações e, em seguida, selecione a sua aplicação recém-registada.

  3. No menu, selecione Certificados & segredos. Em seguida, selecione Novo segredo do cliente para receber um segredo (chave de API) para seu aplicativo.

    Captura de tela que mostra como obter um segredo do cliente.

  4. Selecione Adicionar e copie o segredo do cliente.

    Importante

    Você deve copiar o segredo do cliente antes de sair desta tela. Você não pode recuperar esse segredo novamente se sair desta página. Você precisa desse valor ao configurar sua TIP ou solução personalizada.

Insira essas informações em sua solução TIP ou aplicativo personalizado

Agora você tem todas as três informações necessárias para configurar sua TIP ou solução personalizada para enviar indicadores de ameaça ao Microsoft Sentinel:

  • ID da aplicação (cliente)
  • ID do Diretório (inquilino)
  • Segredo do cliente

Insira esses valores na configuração de sua TIP integrada ou solução personalizada, quando necessário.

  1. Para o produto de destino, especifique o Azure Sentinel. (Especificando O Microsoft Sentinel resulta em um erro.)

  2. Para a ação, especifique alert.

Após a conclusão da configuração, os indicadores de ameaça são enviados da sua TIP ou solução personalizada, por meio da API tiIndicators do Microsoft Graph, direcionada ao Microsoft Sentinel.

Habilite o conector de dados TIP no Microsoft Sentinel

A última etapa no processo de integração é habilitar o conector de dados TIP no Microsoft Sentinel. Habilitar o conector é o que permite que o Microsoft Sentinel receba os indicadores de ameaça enviados de sua TIP ou solução personalizada. Esses indicadores estão disponíveis para todos os espaços de trabalho do Microsoft Sentinel para sua organização. Para habilitar o conector de dados TIP para cada espaço de trabalho, siga estas etapas:

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione Hub de conteúdo.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Content management>Content hub.

  2. Encontre e selecione a solução Threat Intelligence .

  3. Selecione o botão Instalar/Atualizar .

    Para obter mais informações sobre como gerenciar os componentes da solução, consulte Descobrir e implantar conteúdo pronto para uso.

  4. Para configurar o conector de dados TIP, selecione Conectores de dados de configuração>.

  5. Localize e selecione o conector de dados das Plataformas de Inteligência de Ameaças e, em seguida, selecione Abrir página do conector.

    Captura de tela que mostra a página Conectores de dados com o conector de dados das Plataformas de Inteligência de Ameaças listado.

  6. Como você já concluiu o registro do aplicativo e configurou sua TIP ou solução personalizada para enviar indicadores de ameaça, a única etapa restante é selecionar Conectar.

Dentro de alguns minutos, os indicadores de ameaça devem começar a fluir para este espaço de trabalho do Microsoft Sentinel. Você pode encontrar os novos indicadores no painel Inteligência de ameaças, que você pode acessar no menu Microsoft Sentinel.

Conteúdos relacionados

Neste artigo, você aprendeu como conectar sua TIP ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos: