Aracılığıyla paylaş

Karşıya yükleme göstergeleri API'siyle tehdit bilgileri platformunuzu Microsoft Sentinel'e bağlama

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Birçok kuruluş, çeşitli kaynaklardan gelen tehdit göstergesi akışlarını toplamak için tehdit bilgileri platformu (TIP) çözümlerini kullanır. Toplanan akıştan veriler ağ cihazları, EDR/XDR çözümleri veya Microsoft Sentinel gibi SIEM'ler gibi güvenlik çözümlerine uygulanacak şekilde seçilmiştir. Tehdit Bilgileri Yükleme Göstergeleri API'si, tehdit göstergelerini Microsoft Sentinel'e aktarmak için bu çözümleri kullanmanıza olanak tanır. Karşıya yükleme göstergeleri API'si, veri bağlayıcısına gerek kalmadan tehdit bilgileri göstergelerini Microsoft Sentinel'e alır. Veri bağlayıcısı yalnızca bu makalede ayrıntılı olarak açıklanan API uç noktasına bağlanma yönergelerini ve Microsoft Sentinel karşıya yükleme göstergeleri API'sini ek API başvuru belgesiyle yansıtır.

Tehdit bilgileri içeri aktarma yolu

Tehdit bilgileri hakkında daha fazla bilgi için bkz . Tehdit Bilgileri.

Önemli

Microsoft Sentinel Tehdit Bilgileri Karşıya Yükleme Göstergeleri API'si ÖNİzLEME aşamasındadır. Beta, önizleme veya başka bir şekilde genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşullar için Bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Not

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Ayrıca bkz: Microsoft Sentinel'i STIX/TAXII tehdit bilgileri akışlarına bağlama

Önkoşullar

  • İçerik hub'ında tek başına içeriği veya çözümleri yüklemek, güncelleştirmek ve silmek için kaynak grubu düzeyinde Microsoft Sentinel Katkıda Bulunanı rolüne sahip olmanız gerekir. API uç noktasını kullanmak için veri bağlayıcısını yüklemenize gerek olmadığını unutmayın.
  • Tehdit göstergelerinizi depolamak için Microsoft Sentinel çalışma alanında okuma ve yazma izinleriniz olmalıdır.
  • Bir Microsoft Entra uygulamasını kaydedebilmeniz gerekir.
  • Microsoft Entra uygulamasına çalışma alanı düzeyinde Microsoft Sentinel katkıda bulunan rolü verilmelidir.

Yönergeler

Tümleşik TIP veya özel tehdit bilgileri çözümünüzden tehdit göstergelerini Microsoft Sentinel'e aktarmak için şu adımları izleyin:

  1. Bir Microsoft Entra uygulamasını kaydedin ve uygulama kimliğini kaydedin.
  2. Microsoft Entra uygulamanız için bir istemci gizli dizisi oluşturun ve kaydedin.
  3. Microsoft Entra uygulamanıza Microsoft Sentinel katkıda bulunan rolünü veya eşdeğerini atayın.
  4. TIP çözümünüzü veya özel uygulamanızı yapılandırın.

Microsoft Entra uygulamasını kaydetme

Varsayılan kullanıcı rolü izinleri , kullanıcıların uygulama kayıtları oluşturmasına olanak tanır. Bu ayar Hayır'a geçirildiyse, Microsoft Entra Id'de uygulamaları yönetmek için izniniz olmalıdır. Aşağıdaki Microsoft Entra rollerinden herhangi biri gerekli izinleri içerir:

  • Uygulama yöneticisi
  • Uygulama geliştirici
  • Bulut uygulaması yöneticisi

Microsoft Entra uygulamanızı kaydetme hakkında daha fazla bilgi için bkz . Uygulama kaydetme.

Uygulamanızı kaydettikten sonra uygulamanın Genel Bakış sekmesinden Uygulama (istemci) kimliğini kaydedin.

İstemci gizli dizisi oluşturma ve kaydetme

Artık uygulamanız kaydedildi, bir istemci gizli dizisi oluşturun ve kaydedin.

İstemci gizli dizisi oluşturmayı gösteren ekran görüntüsü.

İstemci gizli dizisi oluşturma hakkında daha fazla bilgi için bkz . İstemci gizli dizisi ekleme.

Uygulamaya rol atama

Karşıya yükleme göstergeleri API'si, tehdit göstergelerini çalışma alanı düzeyinde alır ve Microsoft Sentinel katkıda bulunanının en az ayrıcalık rolüne izin verir.

  1. Azure portalından Log Analytics çalışma alanları'na gidin.

  2. Erişim denetimi (IAM) öğesini seçin.

  3. Ekle>Rol ataması ekle’yi seçin.

  4. Rol sekmesinde Microsoft Sentinel Katkıda Bulunanı rolü >İleri'yi seçin.

  5. Üyeler sekmesinde Kullanıcı, grup veya hizmet sorumlusuna> erişim ata'yı seçin.

  6. Üyeleri seçin. Varsayılan olarak, Microsoft Entra uygulamaları kullanılabilir seçeneklerde görüntülenmez. Uygulamanızı bulmak için ada göre arayın. Uygulamaya çalışma alanı düzeyinde atanan Microsoft Sentinel katkıda bulunan rolünü gösteren ekran görüntüsü.

  7. Gözden geçir ve ata'yı seçin>.

Uygulamalara rol atama hakkında daha fazla bilgi için bkz . Uygulamaya rol atama.

Tehdit Bilgileri karşıya yükleme göstergeleri API veri bağlayıcısını Microsoft Sentinel'e yükleme (isteğe bağlı)

Microsoft Sentinel çalışma alanınızdaki API bağlantı yönergelerini görmek için Tehdit Bilgileri Yükleme Göstergeleri API veri bağlayıcısını yükleyin.

  1. Azure portalında Microsoft Sentinel için İçerik yönetimi'nin altında İçerik hub'ı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>İçerik yönetimi>İçerik hub'ı seçin.

  2. Tehdit Bilgileri çözümünü bulun ve seçin.

  3. Yükle/Güncelleştir düğmesini seçin.

Çözüm bileşenlerini yönetme hakkında daha fazla bilgi için bkz . Hazır içeriği bulma ve dağıtma.

  1. Veri bağlayıcısı artık Yapılandırma>Veri Bağlayıcıları'nda görünür. Uygulamanızı bu API ile yapılandırma hakkında daha fazla bilgi edinmek için veri bağlayıcısı sayfasını açın.

    Karşıya yükleme API'sinin veri bağlayıcısının listelendiği veri bağlayıcıları sayfasını gösteren ekran görüntüsü.

TIP çözümünüzü veya özel uygulamanızı yapılandırma

Karşıya yükleme göstergeleri API'sinin gerektirdiği aşağıdaki yapılandırma bilgileri:

  • Uygulama (istemci) kimliği
  • İstemci gizli anahtarı
  • Microsoft Sentinel çalışma alanı kimliği

Bu değerleri, gerektiğinde tümleşik TIP veya özel çözümünüzün yapılandırmasına girin.

  1. Göstergeleri Microsoft Sentinel karşıya yükleme API'sine gönderin. Karşıya yükleme göstergeleri API'si hakkında daha fazla bilgi edinmek için Microsoft Sentinel karşıya yükleme göstergeleri API'sine başvuru belgesine bakın.

  2. Birkaç dakika içinde tehdit göstergelerinin Microsoft Sentinel çalışma alanınıza akmaya başlaması gerekir. Microsoft Sentinel gezinti menüsünden erişilebilen Tehdit bilgileri dikey penceresinde yeni göstergeleri bulun.

  3. Veri bağlayıcısı durumu Bağlı durumunu yansıtır ve göstergeler başarıyla gönderildikten sonra alınan veri grafiği güncelleştirilir.

    Bağlı durumdaki karşıya yükleme göstergeleri API veri bağlayıcısını gösteren ekran görüntüsü.

İlgili içerik

Bu belgede tehdit bilgileri platformunuzu Microsoft Sentinel'e bağlamayı öğrendiniz. Microsoft Sentinel'de tehdit göstergelerini kullanma hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın.