Подключение платформы аналитики угроз к Microsoft Sentinel

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Примечание.

Этот соединитель данных находится на пути к отмене. Дополнительные сведения будут опубликованы на точном временная шкала. Используйте новый соединитель данных API индикаторов аналитики угроз для новых решений. Дополнительные сведения см. в статье Подключение платформу аналитики угроз в Microsoft Sentinel с ПОМОЩЬЮ API индикаторов отправки.

Многие организации используют решения платформы аналитики угроз (TIP) для агрегирования веб-каналов индикаторов угроз из различных источников. Из агрегированного веб-канала данные курируются для применения к решениям безопасности, таким как сетевые устройства, решения EDR/XDR или SIEMs, такие как Microsoft Sentinel. Соединитель данных платформ аналитики угроз позволяет применять эти решения для импорта индикаторов угроз в Microsoft Sentinel.

Так как соединитель данных TIP работает с API tiIndicator безопасности Microsoft Graph для этого, соединитель можно использовать для отправки индикаторов в Microsoft Sentinel (и в другие решения по безопасности Майкрософт, например XDR Microsoft Defender), из любой другой пользовательской платформы аналитики угроз, которая может взаимодействовать с этим API.

Путь импорта аналитики угроз

Изучите информацию об аналитике угроз в Microsoft Sentinel, в частности о продуктах платформ аналитики угроз, которые поддерживают интеграцию с Microsoft Sentinel.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

  • Чтобы установить, обновить и удалить автономное содержимое или решения в центре содержимого, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.
  • Для предоставления разрешений продукту TIP или любому другому пользовательскому приложению, использующего прямую интеграцию с API tiIndicator microsoft Graph Security, необходимо иметь роли глобального администратора или администратора безопасности Майкрософт.
  • Также вам нужны разрешения на чтение и запись в рабочей области Microsoft Sentinel для хранения индикаторов угроз.

Instructions

Чтобы импортировать индикаторы угроз в Microsoft Sentinel из интегрированного TIP-решения или пользовательского решения для аналитики угроз, выполните следующие действия:

  1. Получение идентификатора приложения и секрета клиента из идентификатора Microsoft Entra
  2. Введите эту информацию в свое TIP-решение или пользовательское приложение.
  3. Включите соединитель данных Threat Intelligence Platforms в Microsoft Sentinel.

Регистрация для идентификатора приложения и секрета клиента из идентификатора Microsoft Entra

Независимо от того, работаете ли вы с платформой аналитики угроз или с пользовательским решением, API tiIndicators требуется некоторый набор основных сведений, позволяющий подключить веб-канал к этому API и отправлять индикаторы из веб-канала. Вот три элемента информации, которые для этого потребуются:

  • Идентификатор приложения (клиент)
  • Идентификатор каталога (клиента)
  • Секрет клиента

Эти сведения можно получить из идентификатора Microsoft Entra с помощью процесса с именем "Регистрация приложений", который включает следующие три шага:

  • Регистрация приложения с помощью идентификатора Microsoft Entra
  • Указание разрешений, необходимых приложению для подключения к Microsoft Graph API tiIndicators и отправки индикаторов угроз.
  • Получение согласия от своей организации на предоставление приложению этих разрешений.

Регистрация приложения с помощью идентификатора Microsoft Entra

  1. В портал Azure перейдите в службу идентификатора Microsoft Entra.

  2. Выберите в меню Регистрация приложений и нажмите кнопку Новая регистрация.

  3. Выберите имя для регистрации приложения, затем установите переключатель в положение Один клиент и щелкните Зарегистрировать.

    Регистрация приложения

  4. На следующем экране скопируйте значения из полей ИД приложения (клиента) и Идентификатор каталога (клиент). Это первые два элемента информации, которые потребуются позже, чтобы настроить TIP-решение или пользовательское решение для отправки индикаторов угроз в Microsoft Sentinel. Третий элемент, Секрет клиента, мы узнаем позже.

Задание разрешений, необходимых для приложения

  1. Вернитесь на главную страницу службы идентификатора Microsoft Entra ID .

  2. Выберите в меню Регистрация приложений, а затем выберите приложение, которое вы только что зарегистрировали.

  3. Выберите в меню Разрешения API и нажмите кнопку Добавить разрешение.

  4. На странице Выбор API выберите API Microsoft Graph, чтобы получить список разрешений Microsoft Graph, доступных для выбора.

  5. В ответ на запрос "Какие разрешения требуются вашему приложению?" выберите Разрешения приложения. Этот тип разрешений используется приложениями, которые проходят проверку подлинности с помощью идентификатора приложения и секретов приложения (ключей API).

  6. Выберите ThreatIndicators.ReadWrite.OwnedBy и нажмите кнопку Добавить разрешения, чтобы добавить это разрешение в список разрешений вашего приложения.

    Указание разрешений

  1. Чтобы получить согласие, вам потребуется глобальный Администратор istrator Microsoft Entra, чтобы выбрать согласие администратора grant для кнопки клиента на странице разрешений API приложения. Если в вашей учетной записи нет роли глобального администратора, эта кнопка будет недоступна, и вам нужно будет попросить выполнить это действие глобального администратора своей организации.

    Предоставление согласия

  2. Получив согласия для приложения, вы должны увидеть зеленый флажок в разделе Состояние.

Теперь, когда приложение зарегистрировано и разрешения предоставлены, вы можете получить последний необходимый элемент информации: секрет клиента для своего приложения.

  1. Вернитесь на главную страницу службы идентификатора Microsoft Entra ID .

  2. Выберите в меню Регистрация приложений, а затем выберите приложение, которое вы только что зарегистрировали.

  3. В меню выберите Сертификаты и секреты и нажмите кнопку Создать секрет клиента, чтобы получить секрет (ключ API) для приложения.

    Получение секрета клиента

  4. Нажмите кнопку Добавить и скопируйте секрет клиента.

    Внимание

    Необходимо скопировать секрет клиента прямо сейчас, не закрывая эту страницу. После ухода с этой страницы вы не сможете снова получить этот секрет. Это значение потребуется при настройке вашего TIP-решения или пользовательского решения.

Введите эту информацию в свое TIP-решение или пользовательское приложение.

Теперь у вас есть все три элемента информации, которые необходимы, чтобы настроить TIP-решение или пользовательское решение для отправки индикаторов угроз в Microsoft Sentinel.

  • Идентификатор приложения (клиент)
  • Идентификатор каталога (клиента)
  • Секрет клиента

  1. Введите эти значения в раздел конфигурации интегрированной платформы аналитики угроз или пользовательского решения.

  2. В качестве целевого продукта укажите Azure Sentinel. (Если указать "Microsoft Sentinel", это вызовет ошибку.)

  3. В качестве действия укажите alert (предупреждение).

Когда настройка будет завершена, индикаторы угроз будут отправляться платформой аналитики угроз или пользовательским решением через API tiIndicators Microsoft Graph для Microsoft Sentinel.

Включите соединитель данных Threat Intelligence Platforms в Microsoft Sentinel.

Последний этап процесса интеграции — включение соединителя данных платформ аналитики угроз в Microsoft Sentinel. Включение этого соединителя позволяет Microsoft Sentinel получать индикаторы угроз, отправляемые платформой аналитики угроз или пользовательским решением. Эти индикаторы будут доступны для всех рабочих областей Microsoft Sentinel в вашей организации. Чтобы включить соединитель данных Threat Intelligence Platforms для каждой рабочей области, выполните следующие действия.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.
    Для Microsoft Sentinel на портале Defender выберите Центр содержимого управления>содержимым Microsoft Sentinel>.

  2. Найдите и выберите решение аналитики угроз.

  3. Нажмите кнопку "Установить и обновить".

Дополнительные сведения об управлении компонентами решения см. в статье "Обнаружение и развертывание содержимого вне поля".

  1. Чтобы настроить соединитель данных TIP, выберите соединители данных конфигурации>.

  2. Найдите и нажмите кнопку "Открыть соединитель данных >платформ аналитики угроз".

    Снимок экрана: страница соединителей данных с указанным соединителем данных TIP.

  3. Когда вы уже завершили регистрацию приложения и настроили совет или пользовательское решение для отправки индикаторов угроз, единственным шагом слева является выбор кнопки Подключение.

В течение нескольких минут индикаторы угроз должны начать поступать в эту рабочую область Microsoft Sentinel. Новые индикаторы вы можете найти в колонке Аналитика угроз, которая доступна через меню навигации Microsoft Sentinel.

Связанный контент

В этом документе описано, как подключить платформу аналитики угроз к Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях.