Ansluta din plattform för hotinformation till Microsoft Sentinel med API:et för uppladdningsindikatorer
Många organisationer använder TIP-lösningar (Threat Intelligence Platform) för att aggregera hotindikatorflöden från olika källor. Från det aggregerade flödet kureras data för att gälla för säkerhetslösningar som nätverksenheter, EDR/XDR-lösningar eller SIEM:er som Microsoft Sentinel. Med API:et för uppladdningsindikatorer för hotinformation kan du använda dessa lösningar för att importera hotindikatorer till Microsoft Sentinel. API:et för uppladdningsindikatorer matar in indikatorer för hotinformation i Microsoft Sentinel utan behov av dataanslutningen. Dataanslutningsappen speglar endast anvisningarna för att ansluta till API-slutpunkten som beskrivs i den här artikeln och det kompletterande API-referensdokumentet Microsoft Sentinel-api:et för uppladdningsindikatorer.
Mer information om hotinformation finns i Hotinformation.
Viktigt!
API:et för uppladdningsindikatorer för Microsoft Sentinel Threat Intelligence finns i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Kommentar
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.
Se även: Ansluta Microsoft Sentinel till STIX/TAXII-hotinformationsflöden
Förutsättningar
- För att kunna installera, uppdatera och ta bort fristående innehåll eller lösningar i innehållshubben behöver du rollen Microsoft Sentinel-deltagare på resursgruppsnivå. Tänk på att du inte behöver installera dataanslutningen för att använda API-slutpunkten.
- Du måste ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan för att lagra dina hotindikatorer.
- Du måste kunna registrera ett Microsoft Entra-program.
- Microsoft Entra-programmet måste beviljas rollen Microsoft Sentinel-deltagare på arbetsytans nivå.
Instruktioner
Följ de här stegen för att importera hotindikatorer till Microsoft Sentinel från din integrerade TIP- eller anpassad hotinformationslösning:
- Registrera ett Microsoft Entra-program och registrera dess program-ID.
- Generera och registrera en klienthemlighet för ditt Microsoft Entra-program.
- Tilldela ditt Microsoft Entra-program rollen som Microsoft Sentinel-deltagare eller motsvarande.
- Konfigurera din TIP-lösning eller anpassade program.
Registrera ett Microsoft Entra-program
Med standardbehörigheter för användarroller kan användare skapa programregistreringar. Om den här inställningen har växlats till Nej behöver du behörighet att hantera program i Microsoft Entra-ID. Någon av följande Microsoft Entra-roller innehåller de behörigheter som krävs:
- Programadministratör
- Programutvecklare
- Molnprogramadministratör
Mer information om hur du registrerar ditt Microsoft Entra-program finns i Registrera ett program.
När du har registrerat programmet registrerar du dess program-ID (klient)-ID från programmets översiktsflik.
Generera och registrera klienthemlighet
Nu när programmet har registrerats genererar och registrerar du en klienthemlighet.
Mer information om hur du genererar en klienthemlighet finns i Lägga till en klienthemlighet.
Tilldela en roll till programmet
API:et för uppladdningsindikatorer matar in hotindikatorer på arbetsytenivå och tillåter microsoft Sentinel-deltagarens minst privilegierade roll.
Från Azure-portalen går du till Log Analytics-arbetsytor.
Välj Åtkomstkontroll (IAM) .
Välj Lägg till>Lägg till rolltilldelning.
På fliken Roll väljer du rollen Microsoft Sentinel-deltagare >Nästa.
På fliken Medlemmar väljer du Tilldela åtkomst till>Användaren, gruppen eller tjänstens huvudnamn.
Välj medlemmar. Som standard visas inte Microsoft Entra-program i de tillgängliga alternativen. Om du vill hitta ditt program söker du efter det efter namn.
Välj>Granska + tilldela.
Mer information om hur du tilldelar roller till program finns i Tilldela en roll till programmet.
Installera api-dataanslutningsappen för hotinformationsuppladdningsindikatorer i Microsoft Sentinel (valfritt)
Installera API-dataanslutningsappen för hotinformationsuppladdningsindikatorer för att se anvisningarna för API-anslutning från Din Microsoft Sentinel-arbetsyta.
För Microsoft Sentinel i Azure-portalen går du till Innehållshantering och väljer Innehållshubb.
För Microsoft Sentinel i Defender-portalen väljer du Innehållshubben för Innehållshantering i>Microsoft Sentinel>.Leta upp och välj hotinformationslösningen.
Välj knappen Installera/uppdatera.
Mer information om hur du hanterar lösningskomponenterna finns i Identifiera och distribuera out-of-the-box-innehåll.
Dataanslutningsappen visas nu i Konfigurationsdataanslutningsprogram>. Öppna dataanslutningssidan för att hitta mer information om hur du konfigurerar ditt program med det här API:et.
Konfigurera din TIP-lösning eller anpassade program
Följande konfigurationsinformation som krävs av API:et för uppladdningsindikatorer:
- App-ID (klient-ID)
- Klienthemlighet
- Microsoft Sentinel-arbetsyte-ID
Ange dessa värden i konfigurationen av den integrerade TIP-lösningen eller den anpassade lösningen där det behövs.
Skicka indikatorerna till Microsoft Sentinel-uppladdnings-API:et. Mer information om API:et för uppladdningsindikatorer finns i referensdokumentet FÖR API:et för Uppladdningsindikatorer för Microsoft Sentinel.
Inom några minuter bör hotindikatorer börja flöda till din Microsoft Sentinel-arbetsyta. Hitta de nya indikatorerna på bladet Hotinformation som är tillgänglig från Microsoft Sentinel-navigeringsmenyn.
Statusen för dataanslutningen återspeglar den anslutna statusen och diagrammet Mottagna data uppdateras när indikatorerna har skickats.
Relaterat innehåll
I det här dokumentet har du lärt dig hur du ansluter din plattform för hotinformation till Microsoft Sentinel. Mer information om hur du använder hotindikatorer i Microsoft Sentinel finns i följande artiklar.
- Förstå hotinformation.
- Arbeta med hotindikatorer i hela Microsoft Sentinel-upplevelsen.
- Kom igång med att identifiera hot med inbyggda eller anpassade analysregler i Microsoft Sentinel.