Поделиться через

Подключение платформы аналитики угроз к Microsoft Sentinel

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Примечание.

Этот соединитель данных находится на пути к отмене. Дополнительные сведения будут опубликованы на точной временной шкале. Используйте новый соединитель данных API индикаторов аналитики угроз для новых решений. Дополнительные сведения см. в разделе "Подключение платформы аналитики угроз" к Microsoft Sentinel с помощью API индикаторов отправки.

Многие организации используют решения платформы аналитики угроз (TIP) для агрегирования веб-каналов индикаторов угроз из различных источников. Из агрегированного веб-канала данные курируются для применения к решениям безопасности, таким как сетевые устройства, решения EDR/XDR или решения для управления сведениями о безопасности и событиями (SIEM), такими как Microsoft Sentinel. С помощью соединителя данных TIP эти решения можно использовать для импорта индикаторов угроз в Microsoft Sentinel.

Так как соединитель данных TIP работает с API тидикатов безопасности Microsoft Graph для выполнения этого процесса, соединитель можно использовать для отправки индикаторов в Microsoft Sentinel (и другим решениям по безопасности Майкрософт, таким как XDR Defender), из любого другого пользовательского подсказки, который может взаимодействовать с этим API.

Снимок экрана: путь импорта аналитики угроз.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Узнайте больше об аналитике угроз в Microsoft Sentinel и о продуктах TIP, которые можно интегрировать с Microsoft Sentinel.

Внимание

Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Необходимые компоненты

  • Чтобы установить, обновить и удалить автономное содержимое или решения в Центре контента, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов.
  • Чтобы предоставить разрешения на продукт TIP или любое другое пользовательское приложение, использующее прямую интеграцию с API индикаторов TI Microsoft Graph, необходимо иметь роль администратора безопасности Microsoft Entra или эквивалентные разрешения.
  • Для хранения индикаторов угроз необходимо иметь разрешения на чтение и запись в рабочую область Microsoft Sentinel.

Instructions

Чтобы импортировать индикаторы угроз в Microsoft Sentinel из интегрированного решения tip или пользовательского решения аналитики угроз, выполните следующие действия.

  1. Получение идентификатора приложения и секрета клиента из идентификатора Microsoft Entra.
  2. Введите эти сведения в решение TIP или пользовательское приложение.
  3. Включите соединитель данных TIP в Microsoft Sentinel.

Регистрация для идентификатора приложения и секрета клиента из идентификатора Microsoft Entra

Независимо от того, работаете ли вы с советом или пользовательским решением, API tiIndicator требует некоторых основных сведений, чтобы позволить вам подключить веб-канал к нему и отправить ему индикаторы угроз. Вот три элемента информации, которые для этого потребуются:

  • Идентификатор приложения (клиент)
  • Идентификатор каталога (клиента)
  • Секрет клиента

Эти сведения можно получить из идентификатора Microsoft Entra с помощью регистрации приложения, которая включает следующие три шага:

  • Зарегистрируйте приложение с помощью идентификатора Microsoft Entra.
  • Укажите разрешения, необходимые приложению для подключения к API tiIndicator Microsoft Graph и отправки индикаторов угроз.
  • Получение согласия от своей организации на предоставление приложению этих разрешений.

Регистрация приложения с помощью идентификатора Microsoft Entra

  1. В портал Azure перейдите к идентификатору Microsoft Entra.

  2. В меню выберите "Регистрация приложений" и выберите "Создать регистрацию".

  3. Выберите имя для регистрации приложения, выберите один клиент и нажмите кнопку "Зарегистрировать".

    Снимок экрана: регистрация приложения.

  4. На открываемом экране скопируйте значения идентификатора приложения (клиента) и идентификатора каталога (клиента). Эти два фрагмента информации потребуются позже для настройки подсказки или пользовательского решения для отправки индикаторов угроз в Microsoft Sentinel. Третий фрагмент необходимой информации, секрет клиента, приходит позже.

Задание разрешений, необходимых для приложения

  1. Вернитесь на главную страницу идентификатора Microsoft Entra ID.

  2. В меню выберите "Регистрация приложений" и выберите новое зарегистрированное приложение.

  3. В меню выберите "Разрешения API">"Добавить разрешение".

  4. На странице "Выбор API" выберите API Microsoft Graph. Затем выберите из списка разрешений Microsoft Graph.

  5. В командной строке какой тип разрешений требуется приложению?выберите разрешения приложения. Это разрешение — это тип, используемый приложениями, прошедшими проверку подлинности с помощью идентификатора приложения и секретов приложений (ключи API).

  6. Выберите ThreatIndicators.ReadWrite.OwnedBy и выберите "Добавить разрешения ", чтобы добавить это разрешение в список разрешений вашего приложения.

    Снимок экрана: указание разрешений.

  1. Чтобы предоставить согласие, требуется привилегированная роль. Дополнительные сведения см. в разделе Предоставление согласия администратора на уровне клиента приложению.

    Снимок экрана: предоставление согласия.

  2. После предоставления согласия приложению вы увидите зеленый флажок в разделе "Состояние".

После регистрации приложения и предоставления разрешений необходимо получить секрет клиента для приложения.

  1. Вернитесь на главную страницу идентификатора Microsoft Entra ID.

  2. В меню выберите "Регистрация приложений" и выберите новое зарегистрированное приложение.

  3. В меню выберите сертификаты и секреты. Затем выберите новый секрет клиента, чтобы получить секрет (ключ API) для приложения.

    Снимок экрана: получение секрета клиента.

  4. Нажмите кнопку "Добавить", а затем скопируйте секрет клиента.

    Внимание

    Перед выходом из этого экрана необходимо скопировать секрет клиента. Вы не можете снова получить этот секрет, если вы уходите с этой страницы. Это значение необходимо при настройке подсказки или пользовательского решения.

Введите эту информацию в свое TIP-решение или пользовательское приложение.

Теперь у вас есть все три части информации, необходимые для настройки подсказки или пользовательского решения для отправки индикаторов угроз в Microsoft Sentinel:

  • Идентификатор приложения (клиент)
  • Идентификатор каталога (клиента)
  • Секрет клиента

Введите эти значения в раздел конфигурации интегрированной платформы аналитики угроз или пользовательского решения.

  1. В качестве целевого продукта укажите Azure Sentinel. (Указание Microsoft Sentinel приводит к ошибке.)

  2. В качестве действия укажите alert (предупреждение).

После завершения настройки индикаторы угроз отправляются из подсказки или пользовательского решения через API tiIndicator Microsoft Graph, предназначенный для Microsoft Sentinel.

Включение соединителя данных TIP в Microsoft Sentinel

Последним шагом процесса интеграции является включение соединителя данных TIP в Microsoft Sentinel. Включение этого соединителя позволяет Microsoft Sentinel получать индикаторы угроз, отправляемые платформой аналитики угроз или пользовательским решением. Эти индикаторы доступны для всех рабочих областей Microsoft Sentinel для вашей организации. Чтобы включить соединитель данных TIP для каждой рабочей области, выполните следующие действия.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.
    Для Microsoft Sentinel на портале Defender выберите Центр содержимого управления>содержимым Microsoft Sentinel>.

  2. Найдите и выберите решение аналитики угроз.

  3. Нажмите кнопку "Установить и обновить".

    Дополнительные сведения об управлении компонентами решения см. в статье "Обнаружение и развертывание содержимого вне поля".

  4. Чтобы настроить соединитель данных TIP, выберите соединители данных конфигурации>.

  5. Найдите и выберите соединитель данных платформ аналитики угроз и выберите страницу "Открыть соединитель".

    Снимок экрана: страница соединителей данных с указанным соединителем данных платформ аналитики угроз.

  6. Так как вы уже завершили регистрацию приложения и настроили подсказку или пользовательское решение для отправки индикаторов угроз, единственный шаг слева — выбрать "Подключить".

В течение нескольких минут индикаторы угроз должны начать поступать в эту рабочую область Microsoft Sentinel. Новые индикаторы можно найти в области аналитики угроз, доступ к которой можно получить в меню Microsoft Sentinel.

Связанный контент

Из этой статьи вы узнали, как подключить совет к Microsoft Sentinel. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях: