Conecte sua plataforma de inteligência de ameaças ao Microsoft Sentinel com a API de indicadores de carregamento

  • Artigo
  • Aplica-se a:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Muitas organizações usam soluções de plataforma de inteligência de ameaças (TIP) para agregar feeds de indicadores de ameaças de várias fontes. A partir do feed agregado, os dados são selecionados para serem aplicados a soluções de segurança, como dispositivos de rede, soluções EDR/XDR ou SIEMs, como o Microsoft Sentinel. O conector de dados da API Threat Intelligence Upload Indicators permite que você use essas soluções para importar indicadores de ameaça para o Microsoft Sentinel. Esse conector de dados usa a API de indicadores de carregamento do Sentinel para ingerir indicadores de inteligência de ameaças no Microsoft Sentinel. Para obter mais informações, consulte Threat Intelligence.

Caminho de importação de informações sobre ameaças

Importante

A API de indicadores de carregamento do Microsoft Sentinel e o conector de dados da API de Indicadores de Carregamento de Inteligência de Ameaças estão em VISUALIZAÇÃO. Consulte os Termos de Utilização Suplementares das Pré-visualizações do Microsoft Azure para obter os termos legais adicionais que se aplicam às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

O Microsoft Sentinel está disponível como parte da visualização pública da plataforma unificada de operações de segurança no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Consulte também: Conectar o Microsoft Sentinel a feeds de inteligência de ameaças STIX/TAXII

Pré-requisitos

  • Para instalar, atualizar e excluir conteúdo ou soluções autônomas no hub de conteúdo, você precisa da função de Colaborador do Microsoft Sentinel no nível do grupo de recursos.
  • Você deve ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel para armazenar seus indicadores de ameaça.
  • Você deve ser capaz de registrar um aplicativo Microsoft Entra.
  • O aplicativo Microsoft Entra deve receber a função de colaborador do Microsoft Sentinel no nível do espaço de trabalho.

Instruções

Siga estas etapas para importar indicadores de ameaças para o Microsoft Sentinel a partir de sua TIP integrada ou solução personalizada de inteligência de ameaças:

  1. Registre um aplicativo Microsoft Entra e registre sua ID de aplicativo.
  2. Gere e grave um segredo de cliente para seu aplicativo Microsoft Entra.
  3. Atribua ao seu aplicativo Microsoft Entra a função de colaborador do Microsoft Sentinel ou equivalente.
  4. Habilite o conector de dados da API de carregamento do Threat Intelligence no Microsoft Sentinel.
  5. Configure sua solução TIP ou aplicativo personalizado.

Registar uma aplicação Microsoft Entra

As permissões de função de usuário padrão permitem que os usuários criem registros de aplicativos. Se essa configuração tiver sido alterada para Não, você precisará de permissão para gerenciar aplicativos no Microsoft Entra ID. Qualquer uma das seguintes funções do Microsoft Entra inclui as permissões necessárias:

  • Administrador de aplicações
  • Programador de aplicações
  • Administrador de aplicações de cloud

Para obter mais informações sobre como registrar seu aplicativo Microsoft Entra, consulte Registrar um aplicativo.

Depois de registrar seu aplicativo, registre sua ID do aplicativo (cliente) na guia Visão geral do aplicativo.

Gerar e gravar o segredo do cliente

Agora que o seu pedido foi registado, gere e registe um segredo do cliente.

Captura de tela mostrando a geração de segredos do cliente.

Para obter mais informações sobre como gerar um segredo do cliente, consulte Adicionar um segredo do cliente.

Atribuir uma função ao aplicativo

A API de indicadores de carregamento ingere indicadores de ameaça no nível do espaço de trabalho e permite uma função de privilégio mínimo de colaborador do Microsoft Sentinel.

  1. No portal do Azure, vá para espaços de trabalho do Log Analytics.

  2. Selecione Controlo de acesso (IAM) .

  3. Selecione Adicionar>Adicionar atribuição de função.

  4. Na guia Função, selecione a função> de Colaborador do Microsoft Sentinel Avançar.

  5. Na guia Membros, selecione Atribuir acesso a Usuário, grupo ou entidade de>serviço.

  6. Selecione membros. Por padrão, os aplicativos Microsoft Entra não são exibidos nas opções disponíveis. Para encontrar a sua aplicação, pesquise-a pelo nome. Captura de tela mostrando a função de colaborador do Microsoft Sentinel atribuída ao aplicativo no nível do espaço de trabalho.

  7. Selecione>Rever + atribuir.

Para obter mais informações sobre como atribuir funções a aplicativos, consulte Atribuir uma função ao aplicativo.

Habilite o conector de dados da API de indicadores de upload do Threat Intelligence no Microsoft Sentinel

Habilite o conector de dados da API de Indicadores de Carregamento de Inteligência de Ameaças para permitir que o Microsoft Sentinel receba indicadores de ameaça enviados de sua TIP ou solução personalizada. Esses indicadores estão disponíveis para o espaço de trabalho do Microsoft Sentinel que você configurar.

  1. Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione Hub de conteúdo.
    Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Content management>Content hub.

  2. Encontre e selecione a solução Threat Intelligence .

  3. Selecione o botão Instalar/Atualizar .

Para obter mais informações sobre como gerenciar os componentes da solução, consulte Descobrir e implantar conteúdo pronto para uso.

  1. O conector de dados agora está visível em Conectores de dados de configuração>. Abra a página do conector de dados para encontrar mais informações sobre como configurar seu aplicativo com essa API.

    Captura de tela exibindo a página de conectores de dados com o conector de dados da API de carregamento listado.

Configure sua solução TIP ou aplicativo personalizado

As seguintes informações de configuração exigidas pela API de indicadores de upload:

  • ID da aplicação (cliente)
  • Segredo do cliente
  • ID do espaço de trabalho do Microsoft Sentinel

Insira esses valores na configuração de sua TIP integrada ou solução personalizada, quando necessário.

  1. Envie os indicadores para a API de carregamento do Microsoft Sentinel. Para saber mais sobre a API de indicadores de carregamento, consulte o documento de referência API de indicadores de carregamento do Microsoft Sentinel.

  2. Dentro de alguns minutos, os indicadores de ameaça devem começar a fluir para o seu espaço de trabalho do Microsoft Sentinel. Encontre os novos indicadores na folha Inteligência de ameaças, acessível no menu de navegação do Microsoft Sentinel.

  3. O status do conector de dados reflete o status Conectado e o gráfico Dados recebidos é atualizado assim que os indicadores são enviados com êxito.

    Captura de tela mostrando o conector de dados da API de indicadores de upload no estado conectado.

Conteúdos relacionados

Neste documento, você aprendeu como conectar sua plataforma de inteligência de ameaças ao Microsoft Sentinel. Para saber mais sobre como usar indicadores de ameaça no Microsoft Sentinel, consulte os seguintes artigos.