Aracılığıyla paylaş

Tehdit bilgileri platformunuzu Microsoft Sentinel'e bağlama

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Not

Bu veri bağlayıcısı kullanımdan kaldırılan bir yolda. Daha fazla ayrıntı tam zaman çizelgesinde yayımlanacaktır. İleride yeni çözümler için yeni tehdit bilgileri yükleme göstergeleri API veri bağlayıcısını kullanın. Daha fazla bilgi için bkz . Karşıya yükleme göstergeleri API'siyle tehdit bilgileri platformunuzu Microsoft Sentinel'e bağlama.

Birçok kuruluş, çeşitli kaynaklardan gelen tehdit göstergesi akışlarını toplamak için tehdit bilgileri platformu (TIP) çözümlerini kullanır. Toplanan akıştan veriler ağ cihazları, EDR/XDR çözümleri veya Microsoft Sentinel gibi SIEM'ler gibi güvenlik çözümlerine uygulanacak şekilde seçilmiştir. Tehdit Bilgileri Platformları veri bağlayıcısı, tehdit göstergelerini Microsoft Sentinel'e aktarmak için bu çözümleri kullanmanıza olanak tanır.

TIP veri bağlayıcısı bunu gerçekleştirmek için Microsoft Graph Güvenlik tiIndicators API'si ile çalıştığından, bağlayıcıyı kullanarak bu API ile iletişim kurabilen diğer özel tehdit bilgileri platformlarından Microsoft Sentinel'e (ve Microsoft Defender XDR gibi diğer Microsoft güvenlik çözümlerine) göstergeler gönderebilirsiniz.

Tehdit bilgileri içeri aktarma yolu

Microsoft Sentinel'deki Tehdit Bilgileri hakkında daha fazla bilgi edinin ve özellikle Microsoft Sentinel ile tümleştirilebilen tehdit bilgileri platformu ürünleri hakkında daha fazla bilgi edinin.

Not

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Önemli

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

  • İçerik hub'ında tek başına içeriği veya çözümleri yüklemek, güncelleştirmek ve silmek için kaynak grubu düzeyinde Microsoft Sentinel Katkıda Bulunanı rolüne sahip olmanız gerekir.
  • TIP ürününüz veya Microsoft Graph Güvenlik tiIndicators API'si ile doğrudan tümleştirme kullanan diğer herhangi bir özel uygulamaya izin vermek için Genel yönetici veya Güvenlik yöneticisi Microsoft Entra rollerine sahip olmanız gerekir.
  • Tehdit göstergelerinizi depolamak için Microsoft Sentinel çalışma alanında okuma ve yazma izinleriniz olmalıdır.

Yönergeler

Tümleşik TIP veya özel tehdit bilgileri çözümünüzden tehdit göstergelerini Microsoft Sentinel'e aktarmak için şu adımları izleyin:

  1. Microsoft Entra Kimliğinizden Bir Uygulama Kimliği ve İstemci Gizli Anahtarı Alma
  2. Bu bilgileri TIP çözümünüze veya özel uygulamanıza girin
  3. Microsoft Sentinel'de Tehdit Bilgileri Platformları veri bağlayıcısını etkinleştirme

Microsoft Entra Id'nizden Bir Uygulama Kimliği ve İstemci gizli dizisi için kaydolun

İster bir İpucuyla ister özel bir çözümle çalışıyor olun, tiIndicators API'si akışınızı bağlamanıza ve tehdit göstergeleri göndermenize olanak sağlamak için bazı temel bilgiler gerektirir. İhtiyacınız olan üç bilgi parçası şunlardır:

  • Uygulama (istemci) kimliği
  • Dizin (kiracı) kimliği
  • İstemci gizli anahtarı

Bu bilgileri Aşağıdaki üç adımı içeren Uygulama Kaydı adlı bir işlem aracılığıyla Microsoft Entra Id'nizden alabilirsiniz:

  • Microsoft Entra Id ile uygulama kaydetme
  • Microsoft Graph tiIndicators API'sine bağlanmak ve tehdit göstergeleri göndermek için uygulamanın gerektirdiği izinleri belirtin
  • Bu uygulamaya bu izinleri vermek için kuruluşunuzdan onay alın.

Microsoft Entra Id ile uygulama kaydetme

  1. Azure portalından Microsoft Entra ID hizmetine gidin.

  2. Menüden Uygulama Kayıtları'nı ve ardından Yeni kayıt'ı seçin.

  3. Uygulama kaydınız için bir ad seçin, Tek kiracılı radyo düğmesini seçin ve Kaydet'i seçin.

    Bir uygulamayı kaydetme

  4. Sonuçta elde edilen ekrandan Uygulama (istemci) Kimliği ve Dizin (kiracı) Kimliği değerlerini kopyalayın. Bunlar, daha sonra İpucunuzu veya özel çözümünüzü Microsoft Sentinel'e tehdit göstergeleri gönderecek şekilde yapılandırmak için ihtiyacınız olan ilk iki bilgidir. Üçüncüsü, İstemci gizli dizisi daha sonra gelir.

Uygulamanın gerektirdiği izinleri belirtin

  1. Microsoft Entra ID hizmetinin ana sayfasına geri dönün.

  2. Menüden Uygulama Kayıtları'nı seçin ve yeni kaydettiğiniz uygulamanızı seçin.

  3. Menüden API İzinleri'ni seçin ve İzin ekle düğmesini seçin.

  4. API seçin sayfasında Microsoft Graph API'sini seçin ve ardından Microsoft Graph izinleri listesinden seçim yapın.

  5. "Uygulamanız ne tür izinler gerektiriyor?" isteminde Uygulama izinleri'ni seçin. Uygulama Kimliği ve Uygulama Gizli Dizileri (API Anahtarları) ile kimlik doğrulaması yapılan uygulamalar tarafından kullanılan izinlerin türüdür.

  6. ThreatIndicators.ReadWrite.OwnedBy öğesini seçin ve bu izni uygulamanızın izin listesine eklemek için İzin ekle'yi seçin.

    İzinleri belirtme

  1. Onay almak için, uygulamanızın API izinleri sayfasında Kiracınız için yönetici onayı ver düğmesini seçmesi için bir Microsoft Entra Genel Yöneticisi gerekir. Hesabınızda Genel Yönetici rolü yoksa, bu düğme kullanılamaz ve kuruluşunuzdan bir Genel Yöneticiden bu adımı gerçekleştirmesini istemeniz gerekir.

    İzin verme

  2. Uygulamanıza onay verildikten sonra Durum'un altında yeşil bir onay işareti görmeniz gerekir.

Uygulamanız kaydedildiği ve izinlerin verildiğine göre, listenizdeki son şeyi alabilirsiniz: uygulamanız için bir gizli dizi.

  1. Microsoft Entra ID hizmetinin ana sayfasına geri dönün.

  2. Menüden Uygulama Kayıtları'nı seçin ve yeni kaydettiğiniz uygulamanızı seçin.

  3. Uygulamanız için bir gizli dizi (API anahtarı) almak için menüden Sertifikalar ve gizli diziler'i seçin ve Yeni istemci gizli dizisi düğmesini seçin.

    İstemci gizli dizilerini alma

  4. Ekle düğmesini seçin ve istemci gizli dizisini kopyalayın.

    Önemli

    Bu ekrandan çıkmadan önce istemci gizli dizisini kopyalamanız gerekir. Bu sayfadan uzaklaşırsanız bu gizli diziyi yeniden alamazsınız. İpucu veya özel çözümünüzü yapılandırırken bu değere ihtiyacınız olacaktır.

Bu bilgileri TIP çözümünüze veya özel uygulamanıza girin

Artık İpucunuzu veya özel çözümünüzü Microsoft Sentinel'e tehdit göstergeleri gönderecek şekilde yapılandırmak için ihtiyacınız olan üç bilgi parçasına da sahipsiniz.

  • Uygulama (istemci) kimliği
  • Dizin (kiracı) kimliği
  • İstemci gizli anahtarı

  1. Bu değerleri, gerektiğinde tümleşik TIP veya özel çözümünüzün yapılandırmasına girin.

  2. Hedef ürün için Azure Sentinel'i belirtin. ("Microsoft Sentinel" belirtilmesi hataya neden olur.)

  3. Eylem için uyarı belirtin.

Bu yapılandırma tamamlandıktan sonra tehdit göstergeleri, microsoft Sentinel'i hedefleyen Microsoft Graph tiIndicators API'si aracılığıyla İpucu veya özel çözümünüzden gönderilir.

Microsoft Sentinel'de Tehdit Bilgileri Platformları veri bağlayıcısını etkinleştirme

Tümleştirme işleminin son adımı, Microsoft Sentinel'de Tehdit Bilgileri Platformları veri bağlayıcısını etkinleştirmektir. Bağlayıcının etkinleştirilmesi, Microsoft Sentinel'in İpucunuzdan veya özel çözümünüzden gönderilen tehdit göstergelerini almasını sağlar. Bu göstergeler kuruluşunuz için tüm Microsoft Sentinel çalışma alanlarında kullanılabilir. Her çalışma alanı için Tehdit Bilgileri Platformları veri bağlayıcısını etkinleştirmek için şu adımları izleyin:

  1. Azure portalında Microsoft Sentinel için İçerik yönetimi'nin altında İçerik hub'ı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>İçerik yönetimi>İçerik hub'ı seçin.

  2. Tehdit Bilgileri çözümünü bulun ve seçin.

  3. Yükle/Güncelleştir düğmesini seçin.

Çözüm bileşenlerini yönetme hakkında daha fazla bilgi için bkz . Hazır içeriği bulma ve dağıtma.

  1. TIP veri bağlayıcısını yapılandırmak için Yapılandırma>Verileri bağlayıcıları'nı seçin.

  2. Tehdit Bilgileri Platformları veri bağlayıcısı> Bağlayıcı sayfasını aç düğmesini bulun ve seçin.

    İPUCU veri bağlayıcısının listelendiği veri bağlayıcıları sayfasını gösteren ekran görüntüsü.

  3. Uygulama kaydını tamamladığınız ve İpucu veya özel çözümünüzü tehdit göstergelerini gönderecek şekilde yapılandırdığınız için geriye kalan tek adım Bağlan düğmesini seçmektir.

Birkaç dakika içinde tehdit göstergelerinin bu Microsoft Sentinel çalışma alanına akmaya başlaması gerekir. Yeni göstergeleri Microsoft Sentinel gezinti menüsünden erişilebilen Tehdit bilgileri dikey penceresinde bulabilirsiniz.

İlgili içerik

Bu belgede tehdit bilgileri platformunuzu Microsoft Sentinel'e bağlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın.