Conecte sua plataforma de inteligência de ameaças ao Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nota

Este conector de dados está em um caminho para descontinuação. Mais detalhes serão publicados no cronograma preciso. Use o novo conector de dados API de indicadores de upload de inteligência de ameaças para novas soluções no futuro. Para obter mais informações, consulte Conectar sua plataforma de inteligência de ameaças ao Microsoft Sentinel com a API de indicadores de carregamento.

Muitas organizações usam soluções de plataforma de inteligência de ameaças (TIP) para agregar feeds de indicadores de ameaças de várias fontes. A partir do feed agregado, os dados são selecionados para serem aplicados a soluções de segurança, como dispositivos de rede, soluções EDR/XDR ou SIEMs, como o Microsoft Sentinel. O conector de dados das Plataformas de Inteligência de Ameaças permite que você use essas soluções para importar indicadores de ameaça para o Microsoft Sentinel.

Como o conector de dados TIP funciona com a API tiIndicators do Microsoft Graph Security para fazer isso, você pode usar o conector para enviar indicadores para o Microsoft Sentinel (e para outras soluções de segurança da Microsoft, como o Microsoft Defender XDR) de qualquer outra plataforma personalizada de inteligência de ameaças que possa se comunicar com essa API.

Saiba mais sobre o Threat Intelligence no Microsoft Sentinel e, especificamente, sobre os produtos de plataforma de inteligência de ameaças que podem ser integrados ao Microsoft Sentinel.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Importante

O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

• Para instalar, atualizar e excluir conteúdo ou soluções autônomas no hub de conteúdo, você precisa da função de Colaborador do Microsoft Sentinel no nível do grupo de recursos.
• Você deve ter as funções de administrador global ou administrador de segurança Microsoft Entra para conceder permissões ao seu produto TIP ou a qualquer outro aplicativo personalizado que use integração direta com a API tiIndicators do Microsoft Graph Security.
• Você deve ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel para armazenar seus indicadores de ameaça.

Instruções

Siga estas etapas para importar indicadores de ameaças para o Microsoft Sentinel a partir de sua TIP integrada ou solução personalizada de inteligência de ameaças:

1. Obter uma ID de Aplicativo e um Segredo do Cliente da sua ID do Microsoft Entra
2. Insira essas informações em sua solução TIP ou aplicativo personalizado
3. Habilite o conector de dados das Plataformas de Inteligência de Ameaças no Microsoft Sentinel

Inscreva-se para obter uma ID do aplicativo e segredo do cliente da sua ID do Microsoft Entra

Se você estiver trabalhando com uma TIP ou com uma solução personalizada, a API tiIndicators requer algumas informações básicas para permitir que você conecte seu feed a ele e envie indicadores de ameaça. As três informações de que necessita são:

• ID da aplicação (cliente)
• ID do Diretório (inquilino)
• Segredo do cliente

Você pode obter essas informações de sua ID do Microsoft Entra por meio de um processo chamado Registro de Aplicativo , que inclui as três etapas a seguir:

• Registar uma aplicação com o Microsoft Entra ID
• Especifique as permissões exigidas pelo aplicativo para se conectar à API tiIndicators do Microsoft Graph e enviar indicadores de ameaça
• Obtenha o consentimento da sua organização para conceder estas permissões a esta aplicação.

Registar uma aplicação com o Microsoft Entra ID

1. No portal do Azure, navegue até o serviço Microsoft Entra ID .

2. Selecione Registros de aplicativos no menu e selecione Novo registro.

3. Escolha um nome para o registro do seu aplicativo, selecione o botão de opção Locatário único e selecione Registrar.

   

4. Na tela resultante, copie os valores de ID do aplicativo (cliente) e ID do diretório (locatário). Estas são as duas primeiras informações de que você precisará mais tarde para configurar sua TIP ou solução personalizada para enviar indicadores de ameaça ao Microsoft Sentinel. O terceiro, o segredo do cliente, vem depois.

Especifique as permissões exigidas pelo aplicativo

1. Volte à página principal do serviço Microsoft Entra ID .

2. Selecione Registros de aplicativos no menu e selecione seu aplicativo recém-registrado.

3. Selecione Permissões de API no menu e selecione o botão Adicionar uma permissão .

4. Na página Selecionar uma API, selecione a API do Microsoft Graph e escolha em uma lista de permissões do Microsoft Graph.

5. No prompt "Que tipo de permissões seu aplicativo exige?", selecione Permissões do aplicativo. Este é o tipo de permissões usadas por aplicativos que se autenticam com ID de aplicativo e segredos de aplicativo (chaves de API).

6. Selecione ThreatIndicators.ReadWrite.OwnedBy e selecione Adicionar permissões para adicionar essa permissão à lista de permissões do seu aplicativo.

   

Obtenha o consentimento da sua organização para conceder estas permissões

1. Para obter consentimento, você precisa de um Administrador Global do Microsoft Entra para selecionar o botão Conceder consentimento de administrador para seu locatário na página de permissões de API do seu aplicativo. Se não tiver a função de Administrador Global na sua conta, este botão não estará disponível e terá de pedir a um Administrador Global da sua organização para executar este passo.

   

2. Depois que o consentimento for concedido ao seu aplicativo, você verá uma marca de seleção verde em Status.

Agora que seu aplicativo foi registrado e as permissões foram concedidas, você pode obter a última coisa em sua lista - um segredo de cliente para seu aplicativo.

1. Volte à página principal do serviço Microsoft Entra ID .

2. Selecione Registros de aplicativos no menu e selecione seu aplicativo recém-registrado.

3. Selecione Certificados & segredos no menu e selecione o botão Novo segredo do cliente para receber um segredo (chave de API) para seu aplicativo.

   

4. Selecione o botão Adicionar e copie o segredo do cliente.

   Importante

   Você deve copiar o segredo do cliente antes de sair desta tela. Não é possível recuperar este segredo novamente se navegar para fora desta página. Você precisará desse valor ao configurar sua TIP ou solução personalizada.

Insira essas informações em sua solução TIP ou aplicativo personalizado

Agora você tem todas as três informações necessárias para configurar sua TIP ou solução personalizada para enviar indicadores de ameaça ao Microsoft Sentinel.

• ID da aplicação (cliente)
• ID do Diretório (inquilino)
• Segredo do cliente

1. Insira esses valores na configuração de sua TIP integrada ou solução personalizada, quando necessário.

2. Para o produto de destino, especifique o Azure Sentinel. (Especificar "Microsoft Sentinel" resultará em um erro.)

3. Para a ação, especifique alert.

Quando esta configuração estiver concluída, os indicadores de ameaça serão enviados a partir da sua TIP ou solução personalizada, através da API tiIndicators do Microsoft Graph, direcionada para o Microsoft Sentinel.

Habilite o conector de dados das Plataformas de Inteligência de Ameaças no Microsoft Sentinel

A última etapa no processo de integração é habilitar o conector de dados das Plataformas de Inteligência de Ameaças no Microsoft Sentinel. Habilitar o conector é o que permite que o Microsoft Sentinel receba os indicadores de ameaça enviados de sua TIP ou solução personalizada. Esses indicadores estarão disponíveis para todos os espaços de trabalho do Microsoft Sentinel para sua organização. Siga estas etapas para habilitar o conector de dados das Plataformas de Inteligência de Ameaças para cada espaço de trabalho:

1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione Hub de conteúdo.
   Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Content management>Content hub.

2. Encontre e selecione a solução Threat Intelligence .

3. Selecione o botão Instalar/Atualizar .

Para obter mais informações sobre como gerenciar os componentes da solução, consulte Descobrir e implantar conteúdo pronto para uso.

1. Para configurar o conector de dados TIP, selecione Conectores de dados de configuração>.

2. Localize e selecione o botão da página Abrir conector >de dados das Plataformas de Inteligência de Ameaças.

   

3. Como você já concluiu o registro do aplicativo e configurou sua TIP ou solução personalizada para enviar indicadores de ameaça, o único passo restante é selecionar o botão Conectar .

Dentro de alguns minutos, os indicadores de ameaça devem começar a fluir para este espaço de trabalho do Microsoft Sentinel. Você pode encontrar os novos indicadores na folha Inteligência de ameaças, acessível no menu de navegação do Microsoft Sentinel.

Conteúdos relacionados

Neste documento, você aprendeu como conectar sua plataforma de inteligência de ameaças ao Microsoft Sentinel. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos.

• Saiba como obter visibilidade dos seus dados e potenciais ameaças.
• Comece a detetar ameaças com o Microsoft Sentinel.