Dela via

Ansluta din plattform för hotinformation till Microsoft Sentinel med API:et för uppladdningsindikatorer

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Många organisationer använder TIP-lösningar (Threat Intelligence Platform) för att aggregera hotindikatorflöden från olika källor. Från det aggregerade flödet kureras data för att gälla för säkerhetslösningar som nätverksenheter, EDR/XDR-lösningar eller SIEM:er som Microsoft Sentinel. Med API:et för uppladdningsindikatorer för hotinformation kan du använda dessa lösningar för att importera hotindikatorer till Microsoft Sentinel. API:et för uppladdningsindikatorer matar in indikatorer för hotinformation i Microsoft Sentinel utan behov av dataanslutningen. Dataanslutningsappen speglar endast anvisningarna för att ansluta till API-slutpunkten som beskrivs i den här artikeln och det kompletterande API-referensdokumentet Microsoft Sentinel-api:et för uppladdningsindikatorer.

Importsökväg för hotinformation

Mer information om hotinformation finns i Hotinformation.

Viktigt!

API:et för uppladdningsindikatorer för Microsoft Sentinel Threat Intelligence finns i förhandsversion. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Se även: Ansluta Microsoft Sentinel till STIX/TAXII-hotinformationsflöden

Förutsättningar

  • För att kunna installera, uppdatera och ta bort fristående innehåll eller lösningar i innehållshubben behöver du rollen Microsoft Sentinel-deltagare på resursgruppsnivå. Tänk på att du inte behöver installera dataanslutningen för att använda API-slutpunkten.
  • Du måste ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan för att lagra dina hotindikatorer.
  • Du måste kunna registrera ett Microsoft Entra-program.
  • Microsoft Entra-programmet måste beviljas rollen Microsoft Sentinel-deltagare på arbetsytans nivå.

Instruktioner

Följ de här stegen för att importera hotindikatorer till Microsoft Sentinel från din integrerade TIP- eller anpassad hotinformationslösning:

  1. Registrera ett Microsoft Entra-program och registrera dess program-ID.
  2. Generera och registrera en klienthemlighet för ditt Microsoft Entra-program.
  3. Tilldela ditt Microsoft Entra-program rollen som Microsoft Sentinel-deltagare eller motsvarande.
  4. Konfigurera din TIP-lösning eller anpassade program.

Registrera ett Microsoft Entra-program

Med standardbehörigheter för användarroller kan användare skapa programregistreringar. Om den här inställningen har växlats till Nej behöver du behörighet att hantera program i Microsoft Entra-ID. Någon av följande Microsoft Entra-roller innehåller de behörigheter som krävs:

  • Programadministratör
  • Programutvecklare
  • Molnprogramadministratör

Mer information om hur du registrerar ditt Microsoft Entra-program finns i Registrera ett program.

När du har registrerat programmet registrerar du dess program-ID (klient)-ID från programmets översiktsflik.

Generera och registrera klienthemlighet

Nu när programmet har registrerats genererar och registrerar du en klienthemlighet.

Skärmbild som visar klienthemlighetsgenerering.

Mer information om hur du genererar en klienthemlighet finns i Lägga till en klienthemlighet.

Tilldela en roll till programmet

API:et för uppladdningsindikatorer matar in hotindikatorer på arbetsytenivå och tillåter microsoft Sentinel-deltagarens minst privilegierade roll.

  1. Från Azure-portalen går du till Log Analytics-arbetsytor.

  2. Välj Åtkomstkontroll (IAM) .

  3. Välj Lägg till>Lägg till rolltilldelning.

  4. På fliken Roll väljer du rollen Microsoft Sentinel-deltagare >Nästa.

  5. På fliken Medlemmar väljer du Tilldela åtkomst till>Användaren, gruppen eller tjänstens huvudnamn.

  6. Välj medlemmar. Som standard visas inte Microsoft Entra-program i de tillgängliga alternativen. Om du vill hitta ditt program söker du efter det efter namn. Skärmbild som visar den Roll för Microsoft Sentinel-deltagare som tilldelats programmet på arbetsytenivå.

  7. Välj>Granska + tilldela.

Mer information om hur du tilldelar roller till program finns i Tilldela en roll till programmet.

Installera api-dataanslutningsappen för hotinformationsuppladdningsindikatorer i Microsoft Sentinel (valfritt)

Installera API-dataanslutningsappen för hotinformationsuppladdningsindikatorer för att se anvisningarna för API-anslutning från Din Microsoft Sentinel-arbetsyta.

  1. För Microsoft Sentinel i Azure-portalen går du till Innehållshantering och väljer Innehållshubb.
    För Microsoft Sentinel i Defender-portalen väljer du Innehållshubben för Innehållshantering i>Microsoft Sentinel>.

  2. Leta upp och välj hotinformationslösningen.

  3. Välj knappen Installera/uppdatera.

Mer information om hur du hanterar lösningskomponenterna finns i Identifiera och distribuera out-of-the-box-innehåll.

  1. Dataanslutningsappen visas nu i Konfigurationsdataanslutningsprogram>. Öppna dataanslutningssidan för att hitta mer information om hur du konfigurerar ditt program med det här API:et.

    Skärmbild som visar sidan för dataanslutningsappar med uppladdnings-API-dataanslutningen i listan.

Konfigurera din TIP-lösning eller anpassade program

Följande konfigurationsinformation som krävs av API:et för uppladdningsindikatorer:

  • App-ID (klient-ID)
  • Klienthemlighet
  • Microsoft Sentinel-arbetsyte-ID

Ange dessa värden i konfigurationen av den integrerade TIP-lösningen eller den anpassade lösningen där det behövs.

  1. Skicka indikatorerna till Microsoft Sentinel-uppladdnings-API:et. Mer information om API:et för uppladdningsindikatorer finns i referensdokumentet FÖR API:et för Uppladdningsindikatorer för Microsoft Sentinel.

  2. Inom några minuter bör hotindikatorer börja flöda till din Microsoft Sentinel-arbetsyta. Hitta de nya indikatorerna på bladet Hotinformation som är tillgänglig från Microsoft Sentinel-navigeringsmenyn.

  3. Statusen för dataanslutningen återspeglar den anslutna statusen och diagrammet Mottagna data uppdateras när indikatorerna har skickats.

    Skärmbild som visar api-dataanslutningsappen för uppladdningsindikatorer i anslutet tillstånd.

Relaterat innehåll

I det här dokumentet har du lärt dig hur du ansluter din plattform för hotinformation till Microsoft Sentinel. Mer information om hur du använder hotindikatorer i Microsoft Sentinel finns i följande artiklar.