Tehdit bilgileri platformunuzu Microsoft Sentinel'e bağlama
Not
Bu veri bağlayıcısı kullanımdan kaldırılan bir yolda. Daha fazla ayrıntı tam zaman çizelgesinde yayımlanacaktır. İleride yeni çözümler için yeni tehdit bilgileri yükleme göstergeleri API veri bağlayıcısını kullanın. Daha fazla bilgi için bkz . Karşıya yükleme göstergeleri API'siyle tehdit bilgileri platformunuzu Microsoft Sentinel'e bağlama.
Birçok kuruluş, çeşitli kaynaklardan gelen tehdit göstergesi akışlarını toplamak için tehdit bilgileri platformu (TIP) çözümlerini kullanır. Toplanan akıştan veriler ağ cihazları, EDR/XDR çözümleri veya Microsoft Sentinel gibi SIEM'ler gibi güvenlik çözümlerine uygulanacak şekilde seçilmiştir. Tehdit Bilgileri Platformları veri bağlayıcısı, tehdit göstergelerini Microsoft Sentinel'e aktarmak için bu çözümleri kullanmanıza olanak tanır.
TIP veri bağlayıcısı bunu gerçekleştirmek için Microsoft Graph Güvenlik tiIndicators API'si ile çalıştığından, bağlayıcıyı kullanarak bu API ile iletişim kurabilen diğer özel tehdit bilgileri platformlarından Microsoft Sentinel'e (ve Microsoft Defender XDR gibi diğer Microsoft güvenlik çözümlerine) göstergeler gönderebilirsiniz.
Microsoft Sentinel'deki Tehdit Bilgileri hakkında daha fazla bilgi edinin ve özellikle Microsoft Sentinel ile tümleştirilebilen tehdit bilgileri platformu ürünleri hakkında daha fazla bilgi edinin.
Not
ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.
Önemli
Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Önkoşullar
- İçerik hub'ında tek başına içeriği veya çözümleri yüklemek, güncelleştirmek ve silmek için kaynak grubu düzeyinde Microsoft Sentinel Katkıda Bulunanı rolüne sahip olmanız gerekir.
- TIP ürününüz veya Microsoft Graph Güvenlik tiIndicators API'si ile doğrudan tümleştirme kullanan diğer herhangi bir özel uygulamaya izin vermek için Genel yönetici veya Güvenlik yöneticisi Microsoft Entra rollerine sahip olmanız gerekir.
- Tehdit göstergelerinizi depolamak için Microsoft Sentinel çalışma alanında okuma ve yazma izinleriniz olmalıdır.
Yönergeler
Tümleşik TIP veya özel tehdit bilgileri çözümünüzden tehdit göstergelerini Microsoft Sentinel'e aktarmak için şu adımları izleyin:
- Microsoft Entra Kimliğinizden Bir Uygulama Kimliği ve İstemci Gizli Anahtarı Alma
- Bu bilgileri TIP çözümünüze veya özel uygulamanıza girin
- Microsoft Sentinel'de Tehdit Bilgileri Platformları veri bağlayıcısını etkinleştirme
Microsoft Entra Id'nizden Bir Uygulama Kimliği ve İstemci gizli dizisi için kaydolun
İster bir İpucuyla ister özel bir çözümle çalışıyor olun, tiIndicators API'si akışınızı bağlamanıza ve tehdit göstergeleri göndermenize olanak sağlamak için bazı temel bilgiler gerektirir. İhtiyacınız olan üç bilgi parçası şunlardır:
- Uygulama (istemci) kimliği
- Dizin (kiracı) kimliği
- İstemci gizli anahtarı
Bu bilgileri Aşağıdaki üç adımı içeren Uygulama Kaydı adlı bir işlem aracılığıyla Microsoft Entra Id'nizden alabilirsiniz:
- Microsoft Entra Id ile uygulama kaydetme
- Microsoft Graph tiIndicators API'sine bağlanmak ve tehdit göstergeleri göndermek için uygulamanın gerektirdiği izinleri belirtin
- Bu uygulamaya bu izinleri vermek için kuruluşunuzdan onay alın.
Microsoft Entra Id ile uygulama kaydetme
Azure portalından Microsoft Entra ID hizmetine gidin.
Menüden Uygulama Kayıtları'nı ve ardından Yeni kayıt'ı seçin.
Uygulama kaydınız için bir ad seçin, Tek kiracılı radyo düğmesini seçin ve Kaydet'i seçin.
Sonuçta elde edilen ekrandan Uygulama (istemci) Kimliği ve Dizin (kiracı) Kimliği değerlerini kopyalayın. Bunlar, daha sonra İpucunuzu veya özel çözümünüzü Microsoft Sentinel'e tehdit göstergeleri gönderecek şekilde yapılandırmak için ihtiyacınız olan ilk iki bilgidir. Üçüncüsü, İstemci gizli dizisi daha sonra gelir.
Uygulamanın gerektirdiği izinleri belirtin
Microsoft Entra ID hizmetinin ana sayfasına geri dönün.
Menüden Uygulama Kayıtları'nı seçin ve yeni kaydettiğiniz uygulamanızı seçin.
Menüden API İzinleri'ni seçin ve İzin ekle düğmesini seçin.
API seçin sayfasında Microsoft Graph API'sini seçin ve ardından Microsoft Graph izinleri listesinden seçim yapın.
"Uygulamanız ne tür izinler gerektiriyor?" isteminde Uygulama izinleri'ni seçin. Uygulama Kimliği ve Uygulama Gizli Dizileri (API Anahtarları) ile kimlik doğrulaması yapılan uygulamalar tarafından kullanılan izinlerin türüdür.
ThreatIndicators.ReadWrite.OwnedBy öğesini seçin ve bu izni uygulamanızın izin listesine eklemek için İzin ekle'yi seçin.
Bu izinleri vermek için kuruluşunuzdan onay alın
Onay almak için, uygulamanızın API izinleri sayfasında Kiracınız için yönetici onayı ver düğmesini seçmesi için bir Microsoft Entra Genel Yöneticisi gerekir. Hesabınızda Genel Yönetici rolü yoksa, bu düğme kullanılamaz ve kuruluşunuzdan bir Genel Yöneticiden bu adımı gerçekleştirmesini istemeniz gerekir.
Uygulamanıza onay verildikten sonra Durum'un altında yeşil bir onay işareti görmeniz gerekir.
Uygulamanız kaydedildiği ve izinlerin verildiğine göre, listenizdeki son şeyi alabilirsiniz: uygulamanız için bir gizli dizi.
Microsoft Entra ID hizmetinin ana sayfasına geri dönün.
Menüden Uygulama Kayıtları'nı seçin ve yeni kaydettiğiniz uygulamanızı seçin.
Uygulamanız için bir gizli dizi (API anahtarı) almak için menüden Sertifikalar ve gizli diziler'i seçin ve Yeni istemci gizli dizisi düğmesini seçin.
Ekle düğmesini seçin ve istemci gizli dizisini kopyalayın.
Önemli
Bu ekrandan çıkmadan önce istemci gizli dizisini kopyalamanız gerekir. Bu sayfadan uzaklaşırsanız bu gizli diziyi yeniden alamazsınız. İpucu veya özel çözümünüzü yapılandırırken bu değere ihtiyacınız olacaktır.
Bu bilgileri TIP çözümünüze veya özel uygulamanıza girin
Artık İpucunuzu veya özel çözümünüzü Microsoft Sentinel'e tehdit göstergeleri gönderecek şekilde yapılandırmak için ihtiyacınız olan üç bilgi parçasına da sahipsiniz.
- Uygulama (istemci) kimliği
- Dizin (kiracı) kimliği
- İstemci gizli anahtarı
Bu değerleri, gerektiğinde tümleşik TIP veya özel çözümünüzün yapılandırmasına girin.
Hedef ürün için Azure Sentinel'i belirtin. ("Microsoft Sentinel" belirtilmesi hataya neden olur.)
Eylem için uyarı belirtin.
Bu yapılandırma tamamlandıktan sonra tehdit göstergeleri, microsoft Sentinel'i hedefleyen Microsoft Graph tiIndicators API'si aracılığıyla İpucu veya özel çözümünüzden gönderilir.
Microsoft Sentinel'de Tehdit Bilgileri Platformları veri bağlayıcısını etkinleştirme
Tümleştirme işleminin son adımı, Microsoft Sentinel'de Tehdit Bilgileri Platformları veri bağlayıcısını etkinleştirmektir. Bağlayıcının etkinleştirilmesi, Microsoft Sentinel'in İpucunuzdan veya özel çözümünüzden gönderilen tehdit göstergelerini almasını sağlar. Bu göstergeler kuruluşunuz için tüm Microsoft Sentinel çalışma alanlarında kullanılabilir. Her çalışma alanı için Tehdit Bilgileri Platformları veri bağlayıcısını etkinleştirmek için şu adımları izleyin:
Azure portalında Microsoft Sentinel için İçerik yönetimi'nin altında İçerik hub'ı seçin.
Defender portalında Microsoft Sentinel için Microsoft Sentinel>İçerik yönetimi>İçerik hub'ı seçin.Tehdit Bilgileri çözümünü bulun ve seçin.
Yükle/Güncelleştir düğmesini seçin.
Çözüm bileşenlerini yönetme hakkında daha fazla bilgi için bkz . Hazır içeriği bulma ve dağıtma.
TIP veri bağlayıcısını yapılandırmak için Yapılandırma>Verileri bağlayıcıları'nı seçin.
Tehdit Bilgileri Platformları veri bağlayıcısı> Bağlayıcı sayfasını aç düğmesini bulun ve seçin.
Uygulama kaydını tamamladığınız ve İpucu veya özel çözümünüzü tehdit göstergelerini gönderecek şekilde yapılandırdığınız için geriye kalan tek adım Bağlan düğmesini seçmektir.
Birkaç dakika içinde tehdit göstergelerinin bu Microsoft Sentinel çalışma alanına akmaya başlaması gerekir. Yeni göstergeleri Microsoft Sentinel gezinti menüsünden erişilebilen Tehdit bilgileri dikey penceresinde bulabilirsiniz.
İlgili içerik
Bu belgede tehdit bilgileri platformunuzu Microsoft Sentinel'e bağlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın.
- Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
- Microsoft Sentinel ile tehditleri algılamaya başlayın.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin