İngilizce dilinde oku

Aracılığıyla paylaş


Tehdit bilgileri platformunuzu Microsoft Sentinel'e bağlama

Not

Bu veri bağlayıcısı kullanımdan kaldırılan bir yolda. Kesin zaman çizelgesinde daha fazla bilgi yayımlanacaktır. İleride yeni çözümler için yeni Tehdit Bilgileri Yükleme Göstergeleri API'sinin veri bağlayıcısını kullanın. Daha fazla bilgi için bkz . Karşıya Yükleme Göstergeleri API'siyle tehdit bilgileri platformunuzu Microsoft Sentinel'e bağlama.

Birçok kuruluş, çeşitli kaynaklardan gelen tehdit göstergesi akışlarını toplamak için tehdit bilgileri platformu (TIP) çözümlerini kullanır. Toplanan akıştan, veriler ağ cihazları, EDR/XDR çözümleri veya Microsoft Sentinel gibi güvenlik bilgileri ve olay yönetimi (SIEM) çözümleri gibi güvenlik çözümlerine uygulanacak şekilde seçilmiştir. İPUCU veri bağlayıcısını kullanarak tehdit göstergelerini Microsoft Sentinel'e aktarmak için bu çözümleri kullanabilirsiniz.

TIP veri bağlayıcısı bu işlemi gerçekleştirmek için Microsoft Graph Security tiIndicators API'si ile çalıştığından, bağlayıcıyı kullanarak bu API ile iletişim kurabilen diğer özel ipuçlarından Microsoft Sentinel'e (ve Defender XDR gibi diğer Microsoft güvenlik çözümlerine) göstergeler gönderebilirsiniz.

Tehdit bilgileri içeri aktarma yolunu gösteren ekran görüntüsü.

Not

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Microsoft Sentinel'deki tehdit bilgileri ve özellikle Microsoft Sentinel ile tümleştirebileceğiniz TIP ürünleri hakkında daha fazla bilgi edinin.

Önemli

Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Önkoşullar

  • İçerik hub'ında tek başına içeriği veya çözümleri yüklemek, güncelleştirmek ve silmek için kaynak grubu düzeyinde Microsoft Sentinel Katkıda Bulunanı rolüne sahip olmanız gerekir.
  • TIP ürününüz veya Microsoft Graph TI Göstergeleri API'si ile doğrudan tümleştirme kullanan herhangi bir özel uygulamaya izin vermek için Güvenlik Yöneticisi Microsoft Entra rolüne veya eşdeğer izinlere sahip olmanız gerekir.
  • Tehdit göstergelerinizi depolamak için Microsoft Sentinel çalışma alanında okuma ve yazma izinlerinizin olması gerekir.

Yönergeler

Tümleşik İPUCU veya özel tehdit bilgileri çözümünüzden tehdit göstergelerini Microsoft Sentinel'e aktarmak için şu adımları izleyin:

  1. Microsoft Entra Id'den bir uygulama kimliği ve istemci gizli dizisi alın.
  2. Bu bilgileri TIP çözümünüze veya özel uygulamanıza girin.
  3. Microsoft Sentinel'de TIP veri bağlayıcısını etkinleştirin.

Microsoft Entra Id'den bir uygulama kimliği ve istemci gizli dizisi için kaydolma

İster bir İpucu ister özel bir çözümle çalışıyor olun, tiIndicators API'si akışınızı bağlamanıza ve tehdit göstergeleri göndermenize olanak sağlamak için bazı temel bilgiler gerektirir. İhtiyacınız olan üç bilgi parçası şunlardır:

  • Uygulama (istemci) kimliği
  • Dizin (kiracı) kimliği
  • İstemci gizli anahtarı

Bu bilgileri, aşağıdaki üç adımı içeren uygulama kaydı aracılığıyla Microsoft Entra ID'den alabilirsiniz:

  • Bir uygulamayı Microsoft Entra Id ile kaydedin.
  • Microsoft Graph tiIndicators API'sine bağlanmak ve tehdit göstergeleri göndermek için uygulamanın gerektirdiği izinleri belirtin.
  • Bu uygulamaya bu izinleri vermek için kuruluşunuzdan onay alın.

Microsoft Entra Id ile uygulama kaydetme

  1. Azure portalında Microsoft Entra Id'ye gidin.

  2. Menüde Uygulama Kayıtları'nı ve ardından Yeni kayıt'ı seçin.

  3. Uygulama kaydınız için bir ad seçin, Tek kiracı'yı ve ardından Kaydet'i seçin.

    Bir uygulamanın kaydedilmesini gösteren ekran görüntüsü.

  4. Açılan ekranda Uygulama (istemci) Kimliği ve Dizin (kiracı) Kimliği değerlerini kopyalayın. İpucunuzu veya özel çözümünüzü Microsoft Sentinel'e tehdit göstergeleri gönderecek şekilde yapılandırmak için bu iki bilgiye daha sonra ihtiyacınız vardır. İhtiyacınız olan üçüncü bilgi parçası olan gizli dizi daha sonra gelir.

Uygulamanın gerektirdiği izinleri belirtin

  1. Microsoft Entra Id'nin ana sayfasına geri dönün.

  2. Menüde Uygulama Kayıtları'nı ve ardından yeni kaydettiğiniz uygulamanızı seçin.

  3. Menüde API İzinleri>İzin ekle'yi seçin.

  4. API seçin sayfasında Microsoft Graph API'sini seçin. Ardından Microsoft Graph izinleri listesinden seçim yapın.

  5. Uygulamanız ne tür izinler gerektiriyor? isteminde Uygulama izinleri'ni seçin. Bu izin, uygulama kimliği ve uygulama gizli dizileri (API anahtarları) ile kimlik doğrulaması yapılan uygulamalar tarafından kullanılan türdür.

  6. ThreatIndicators.ReadWrite.OwnedBy öğesini seçin ve ardından bu izni uygulamanızın izin listesine eklemek için İzin ekle'yi seçin.

    İzinleri belirtmeyi gösteren ekran görüntüsü.

  1. Onay vermek için ayrıcalıklı bir rol gereklidir. Daha fazla bilgi için bkz . Uygulamaya kiracı genelinde yönetici onayı verme.

    Onay verme işlemini gösteren ekran görüntüsü.

  2. Uygulamanıza onay verildikten sonra Durum'un altında yeşil bir onay işareti görmeniz gerekir.

Uygulamanız kaydedildikten ve izinler verildikten sonra uygulamanız için bir istemci gizli dizisi almanız gerekir.

  1. Microsoft Entra Id'nin ana sayfasına geri dönün.

  2. Menüde Uygulama Kayıtları'nı ve ardından yeni kaydettiğiniz uygulamanızı seçin.

  3. Menüde Sertifikalar ve gizli diziler'i seçin. Ardından uygulamanız için gizli dizi (API anahtarı) almak için Yeni istemci gizli dizisi'ni seçin.

    İstemci gizli dizisi almayı gösteren ekran görüntüsü.

  4. Ekle'yi seçin ve ardından istemci gizli dizisini kopyalayın.

    Önemli

    Bu ekrandan ayrılmadan önce gizli diziyi kopyalamanız gerekir. Bu sayfadan çıkarsanız bu gizli diziyi yeniden alamazsınız. İpucu veya özel çözümünüzü yapılandırırken bu değere ihtiyacınız vardır.

Bu bilgileri TIP çözümünüze veya özel uygulamanıza girin

Artık İpucunuzu veya özel çözümünüzü Microsoft Sentinel'e tehdit göstergeleri gönderecek şekilde yapılandırmak için ihtiyacınız olan üç bilgi parçasına da sahipsiniz:

  • Uygulama (istemci) kimliği
  • Dizin (kiracı) kimliği
  • İstemci gizli anahtarı

Bu değerleri, gerektiğinde tümleşik TIP veya özel çözümünüzün yapılandırmasına girin.

  1. Hedef ürün için Azure Sentinel'i belirtin. (Belirtme Microsoft Sentinel bir hatayla sonuçlanır.)

  2. Eylem için uyarı belirtin.

Yapılandırma tamamlandıktan sonra tehdit göstergeleri, microsoft Sentinel'i hedefleyen Microsoft Graph tiIndicators API'si aracılığıyla İpucunuzdan veya özel çözümünüzden gönderilir.

Microsoft Sentinel'de TIP veri bağlayıcısını etkinleştirme

Tümleştirme işleminin son adımı, Microsoft Sentinel'de TIP veri bağlayıcısını etkinleştirmektir. Bağlayıcının etkinleştirilmesi, Microsoft Sentinel'in İpucunuzdan veya özel çözümünüzden gönderilen tehdit göstergelerini almasını sağlar. Bu göstergeler kuruluşunuz için tüm Microsoft Sentinel çalışma alanlarında kullanılabilir. Her çalışma alanında TIP veri bağlayıcısını etkinleştirmek için şu adımları izleyin:

  1. Azure portalında Microsoft Sentinel için İçerik yönetimi'nin altında İçerik hub'ı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>İçerik yönetimi>İçerik hub'ı seçin.

  2. Tehdit Bilgileri çözümünü bulun ve seçin.

  3. Yükle/Güncelleştir düğmesini seçin.

    Çözüm bileşenlerini yönetme hakkında daha fazla bilgi için bkz . Hazır içeriği bulma ve dağıtma.

  4. TIP veri bağlayıcısını yapılandırmak için Yapılandırma>Verileri bağlayıcıları'nı seçin.

  5. Tehdit Bilgileri Platformları veri bağlayıcısını bulup seçin ve ardından Bağlayıcıyı aç sayfasını seçin.

    Tehdit Bilgileri Platformları veri bağlayıcısının listelendiği Veri bağlayıcıları sayfasını gösteren ekran görüntüsü.

  6. Uygulama kaydını zaten tamamladığınız ve İpucunuzu veya özel çözümünüzü tehdit göstergeleri gönderecek şekilde yapılandırdığınız için, geriye kalan tek adım Bağlan'ı seçmektir.

Birkaç dakika içinde tehdit göstergelerinin bu Microsoft Sentinel çalışma alanına akmaya başlaması gerekir. Yeni göstergeleri, Microsoft Sentinel menüsünden erişebileceğiniz Tehdit bilgileri bölmesinde bulabilirsiniz.

Bu makalede, İpucunuzu Microsoft Sentinel'e bağlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: