Tehdit bilgileri platformunuzu Microsoft Sentinel'e bağlama
Makale
Şunlara uygulanır:
Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal
Not
Bu veri bağlayıcısı kullanımdan kaldırılan bir yolda. Kesin zaman çizelgesinde daha fazla bilgi yayımlanacaktır. İleride yeni çözümler için yeni Tehdit Bilgileri Yükleme Göstergeleri API'sinin veri bağlayıcısını kullanın.
Daha fazla bilgi için bkz . Karşıya Yükleme Göstergeleri API'siyle tehdit bilgileri platformunuzu Microsoft Sentinel'e bağlama.
Birçok kuruluş, çeşitli kaynaklardan gelen tehdit göstergesi akışlarını toplamak için tehdit bilgileri platformu (TIP) çözümlerini kullanır. Toplanan akıştan, veriler ağ cihazları, EDR/XDR çözümleri veya Microsoft Sentinel gibi güvenlik bilgileri ve olay yönetimi (SIEM) çözümleri gibi güvenlik çözümlerine uygulanacak şekilde seçilmiştir. İPUCU veri bağlayıcısını kullanarak tehdit göstergelerini Microsoft Sentinel'e aktarmak için bu çözümleri kullanabilirsiniz.
TIP veri bağlayıcısı bu işlemi gerçekleştirmek için Microsoft Graph Security tiIndicators API'si ile çalıştığından, bağlayıcıyı kullanarak bu API ile iletişim kurabilen diğer özel ipuçlarından Microsoft Sentinel'e (ve Defender XDR gibi diğer Microsoft güvenlik çözümlerine) göstergeler gönderebilirsiniz.
Not
ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.
Microsoft Sentinel'deki tehdit bilgileri ve özellikle Microsoft Sentinel ile tümleştirebileceğiniz TIP ürünleri hakkında daha fazla bilgi edinin.
Önemli
Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Önkoşullar
İçerik hub'ında tek başına içeriği veya çözümleri yüklemek, güncelleştirmek ve silmek için kaynak grubu düzeyinde Microsoft Sentinel Katkıda Bulunanı rolüne sahip olmanız gerekir.
TIP ürününüz veya Microsoft Graph TI Göstergeleri API'si ile doğrudan tümleştirme kullanan herhangi bir özel uygulamaya izin vermek için Güvenlik Yöneticisi Microsoft Entra rolüne veya eşdeğer izinlere sahip olmanız gerekir.
Tehdit göstergelerinizi depolamak için Microsoft Sentinel çalışma alanında okuma ve yazma izinlerinizin olması gerekir.
Yönergeler
Tümleşik İPUCU veya özel tehdit bilgileri çözümünüzden tehdit göstergelerini Microsoft Sentinel'e aktarmak için şu adımları izleyin:
Microsoft Entra Id'den bir uygulama kimliği ve istemci gizli dizisi alın.
Bu bilgileri TIP çözümünüze veya özel uygulamanıza girin.
Microsoft Sentinel'de TIP veri bağlayıcısını etkinleştirin.
Microsoft Entra Id'den bir uygulama kimliği ve istemci gizli dizisi için kaydolma
İster bir İpucu ister özel bir çözümle çalışıyor olun, tiIndicators API'si akışınızı bağlamanıza ve tehdit göstergeleri göndermenize olanak sağlamak için bazı temel bilgiler gerektirir. İhtiyacınız olan üç bilgi parçası şunlardır:
Uygulama (istemci) kimliği
Dizin (kiracı) kimliği
İstemci gizli anahtarı
Bu bilgileri, aşağıdaki üç adımı içeren uygulama kaydı aracılığıyla Microsoft Entra ID'den alabilirsiniz:
Bir uygulamayı Microsoft Entra Id ile kaydedin.
Microsoft Graph tiIndicators API'sine bağlanmak ve tehdit göstergeleri göndermek için uygulamanın gerektirdiği izinleri belirtin.
Bu uygulamaya bu izinleri vermek için kuruluşunuzdan onay alın.
Microsoft Entra Id ile uygulama kaydetme
Azure portalında Microsoft Entra Id'ye gidin.
Menüde Uygulama Kayıtları'nı ve ardından Yeni kayıt'ı seçin.
Uygulama kaydınız için bir ad seçin, Tek kiracı'yı ve ardından Kaydet'i seçin.
Açılan ekranda Uygulama (istemci) Kimliği ve Dizin (kiracı) Kimliği değerlerini kopyalayın. İpucunuzu veya özel çözümünüzü Microsoft Sentinel'e tehdit göstergeleri gönderecek şekilde yapılandırmak için bu iki bilgiye daha sonra ihtiyacınız vardır. İhtiyacınız olan üçüncü bilgi parçası olan gizli dizi daha sonra gelir.
Uygulamanın gerektirdiği izinleri belirtin
Microsoft Entra Id'nin ana sayfasına geri dönün.
Menüde Uygulama Kayıtları'nı ve ardından yeni kaydettiğiniz uygulamanızı seçin.
Menüde API İzinleri>İzin ekle'yi seçin.
API seçin sayfasında Microsoft Graph API'sini seçin. Ardından Microsoft Graph izinleri listesinden seçim yapın.
Uygulamanız ne tür izinler gerektiriyor? isteminde Uygulama izinleri'ni seçin. Bu izin, uygulama kimliği ve uygulama gizli dizileri (API anahtarları) ile kimlik doğrulaması yapılan uygulamalar tarafından kullanılan türdür.
ThreatIndicators.ReadWrite.OwnedBy öğesini seçin ve ardından bu izni uygulamanızın izin listesine eklemek için İzin ekle'yi seçin.
Bu izinleri vermek için kuruluşunuzdan onay alın
Onay vermek için ayrıcalıklı bir rol gereklidir. Daha fazla bilgi için bkz . Uygulamaya kiracı genelinde yönetici onayı verme.
Uygulamanıza onay verildikten sonra Durum'un altında yeşil bir onay işareti görmeniz gerekir.
Uygulamanız kaydedildikten ve izinler verildikten sonra uygulamanız için bir istemci gizli dizisi almanız gerekir.
Microsoft Entra Id'nin ana sayfasına geri dönün.
Menüde Uygulama Kayıtları'nı ve ardından yeni kaydettiğiniz uygulamanızı seçin.
Menüde Sertifikalar ve gizli diziler'i seçin. Ardından uygulamanız için gizli dizi (API anahtarı) almak için Yeni istemci gizli dizisi'ni seçin.
Ekle'yi seçin ve ardından istemci gizli dizisini kopyalayın.
Önemli
Bu ekrandan ayrılmadan önce gizli diziyi kopyalamanız gerekir. Bu sayfadan çıkarsanız bu gizli diziyi yeniden alamazsınız. İpucu veya özel çözümünüzü yapılandırırken bu değere ihtiyacınız vardır.
Bu bilgileri TIP çözümünüze veya özel uygulamanıza girin
Artık İpucunuzu veya özel çözümünüzü Microsoft Sentinel'e tehdit göstergeleri gönderecek şekilde yapılandırmak için ihtiyacınız olan üç bilgi parçasına da sahipsiniz:
Uygulama (istemci) kimliği
Dizin (kiracı) kimliği
İstemci gizli anahtarı
Bu değerleri, gerektiğinde tümleşik TIP veya özel çözümünüzün yapılandırmasına girin.
Hedef ürün için Azure Sentinel'i belirtin. (Belirtme Microsoft Sentinel bir hatayla sonuçlanır.)
Eylem için uyarı belirtin.
Yapılandırma tamamlandıktan sonra tehdit göstergeleri, microsoft Sentinel'i hedefleyen Microsoft Graph tiIndicators API'si aracılığıyla İpucunuzdan veya özel çözümünüzden gönderilir.
Microsoft Sentinel'de TIP veri bağlayıcısını etkinleştirme
Tümleştirme işleminin son adımı, Microsoft Sentinel'de TIP veri bağlayıcısını etkinleştirmektir. Bağlayıcının etkinleştirilmesi, Microsoft Sentinel'in İpucunuzdan veya özel çözümünüzden gönderilen tehdit göstergelerini almasını sağlar. Bu göstergeler kuruluşunuz için tüm Microsoft Sentinel çalışma alanlarında kullanılabilir. Her çalışma alanında TIP veri bağlayıcısını etkinleştirmek için şu adımları izleyin:
Çözüm bileşenlerini yönetme hakkında daha fazla bilgi için bkz . Hazır içeriği bulma ve dağıtma.
TIP veri bağlayıcısını yapılandırmak için Yapılandırma>Verileri bağlayıcıları'nı seçin.
Tehdit Bilgileri Platformları veri bağlayıcısını bulup seçin ve ardından Bağlayıcıyı aç sayfasını seçin.
Uygulama kaydını zaten tamamladığınız ve İpucunuzu veya özel çözümünüzü tehdit göstergeleri gönderecek şekilde yapılandırdığınız için, geriye kalan tek adım Bağlan'ı seçmektir.
Birkaç dakika içinde tehdit göstergelerinin bu Microsoft Sentinel çalışma alanına akmaya başlaması gerekir. Yeni göstergeleri, Microsoft Sentinel menüsünden erişebileceğiniz Tehdit bilgileri bölmesinde bulabilirsiniz.
İlgili içerik
Bu makalede, İpucunuzu Microsoft Sentinel'e bağlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:
Tehdit bilgileri akışlarının verileri analiz etmek, tehditleri algılamak ve uyarıları zenginleştirmek için Microsoft Sentinel'de nasıl bağlanıp yönetildiğini ve kullanıldığını anlayın.