Aracılığıyla paylaş

Karşıya Yükleme Göstergeleri API'siyle tehdit bilgileri platformunuzu Microsoft Sentinel'e bağlama

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Birçok kuruluş, çeşitli kaynaklardan gelen tehdit göstergesi akışlarını toplamak için tehdit bilgileri platformu (TIP) çözümlerini kullanır. Toplanan akıştan, veriler ağ cihazları, EDR/XDR çözümleri veya Microsoft Sentinel gibi güvenlik bilgileri ve olay yönetimi (SIEM) çözümleri gibi güvenlik çözümlerine uygulanacak şekilde seçilmiştir. Tehdit Bilgileri Yükleme Göstergeleri API'sini kullanarak tehdit göstergelerini Microsoft Sentinel'e aktarmak için bu çözümleri kullanabilirsiniz.

Karşıya Yükleme Göstergeleri API'si, veri bağlayıcısına gerek kalmadan tehdit bilgileri göstergelerini Microsoft Sentinel'e alır. Veri bağlayıcısı yalnızca bu makalede açıklanan API uç noktasına ve Microsoft Sentinel Karşıya Yükleme Göstergeleri API'sine api başvuru belgesine bağlanma yönergelerini yansıtır.

Tehdit bilgileri içeri aktarma yolunu gösteren ekran görüntüsü.

Tehdit bilgileri hakkında daha fazla bilgi için bkz . Tehdit bilgileri.

Önemli

Microsoft Sentinel Tehdit Bilgileri Yükleme Göstergeleri API'si önizleme aşamasındadır. Beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan daha yasal koşullar için Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları'na bakın.

Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Daha fazla bilgi için bkz . Microsoft Sentinel'i STIX/TAXII tehdit bilgileri akışlarına bağlama.

Not

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Önkoşullar

  • İçerik hub'ında tek başına içeriği veya çözümleri yüklemek, güncelleştirmek ve silmek için kaynak grubu düzeyinde Microsoft Sentinel Katkıda Bulunanı rolüne sahip olmanız gerekir. API uç noktasını kullanmak için veri bağlayıcısını yüklemeniz gerekmez.
  • Tehdit göstergelerinizi depolamak için Microsoft Sentinel çalışma alanında okuma ve yazma izinleriniz olmalıdır.
  • Bir Microsoft Entra uygulamasını kaydedebilmeniz gerekir.
  • Microsoft Entra uygulamanıza çalışma alanı düzeyinde Microsoft Sentinel Katkıda Bulunanı rolü verilmelidir.

Yönergeler

Tümleşik TIP veya özel tehdit bilgileri çözümünüzden tehdit göstergelerini Microsoft Sentinel'e aktarmak için şu adımları izleyin:

  1. Bir Microsoft Entra uygulamasını kaydedin ve ardından uygulama kimliğini kaydedin.
  2. Microsoft Entra uygulamanız için bir istemci gizli dizisi oluşturun ve kaydedin.
  3. Microsoft Entra uygulamanıza Microsoft Sentinel Katkıda Bulunanı rolünü veya eşdeğerini atayın.
  4. TIP çözümünüzü veya özel uygulamanızı yapılandırın.

Microsoft Entra uygulamasını kaydetme

Varsayılan kullanıcı rolü izinleri , kullanıcıların uygulama kayıtları oluşturmasına olanak tanır. Bu ayar Hayır'a geçirildiyse, Microsoft Entra'daki uygulamaları yönetmek için izniniz olmalıdır. Aşağıdaki Microsoft Entra rollerinden herhangi biri gerekli izinleri içerir:

  • Uygulama yöneticisi
  • Uygulama geliştirici
  • Bulut uygulaması yöneticisi

Microsoft Entra uygulamanızı kaydetme hakkında daha fazla bilgi için bkz . Uygulama kaydetme.

Uygulamanızı kaydettikten sonra, uygulamanın Genel Bakış sekmesinden uygulama (istemci) kimliğini kaydedin.

İstemci gizli dizisi oluşturma ve kaydetme

Uygulamanız artık kaydedildiğini göre, bir istemci gizli dizisi oluşturun ve kaydedin.

İstemci gizli dizisi oluşturmayı gösteren ekran görüntüsü.

İstemci gizli dizisi oluşturma hakkında daha fazla bilgi için bkz . İstemci gizli dizisi ekleme.

Uygulamaya rol atama

Karşıya Yükleme Göstergeleri API'si, tehdit göstergelerini çalışma alanı düzeyinde alır ve Microsoft Sentinel Katkıda Bulunanı'nın en az ayrıcalıklı rolüne izin verir.

  1. Azure portalından Log Analytics çalışma alanları'na gidin.

  2. Erişim denetimi (IAM) öğesini seçin.

  3. Ekle>Rol ataması ekle’yi seçin.

  4. Rol sekmesinde Microsoft Sentinel Katkıda Bulunanı rolünü ve ardından İleri'yi seçin.

  5. Üyeler sekmesinde Kullanıcı, grup veya hizmet sorumlusuna> erişim ata'yı seçin.

  6. Üyeleri seçin. Varsayılan olarak, Microsoft Entra uygulamaları kullanılabilir seçeneklerde görüntülenmez. Uygulamanızı bulmak için ada göre arayın.

    Uygulamaya çalışma alanı düzeyinde atanan Microsoft Sentinel Katkıda Bulunanı rolünü gösteren ekran görüntüsü.

  7. Gözden geçir + ata'yı seçin.

Uygulamalara rol atama hakkında daha fazla bilgi için bkz . Uygulamaya rol atama.

Tehdit Bilgileri Karşıya Yükleme Göstergeleri API veri bağlayıcısını Microsoft Sentinel'e yükleme (isteğe bağlı)

Microsoft Sentinel çalışma alanınızdaki API bağlantı yönergelerini görmek için Tehdit Bilgileri Yükleme Göstergeleri API veri bağlayıcısını yükleyin.

  1. Azure portalında Microsoft Sentinel için İçerik yönetimi'nin altında İçerik hub'ı seçin.
    Defender portalında Microsoft Sentinel için Microsoft Sentinel>İçerik yönetimi>İçerik hub'ı seçin.

  2. Tehdit Bilgileri çözümünü bulun ve seçin.

  3. Yükle/Güncelleştir düğmesini seçin.

    Çözüm bileşenlerini yönetme hakkında daha fazla bilgi için bkz . Hazır içeriği bulma ve dağıtma.

  4. Veri bağlayıcısı artık Yapılandırma>Verileri bağlayıcılarında görünür. Uygulamanızı bu API ile yapılandırma hakkında daha fazla bilgi edinmek için Veri bağlayıcıları sayfasını açın.

    Göstergeleri Karşıya Yükle API'sinin veri bağlayıcısının listelendiği Veri bağlayıcıları sayfasını gösteren ekran görüntüsü.

Tehdit bilgileri platformu çözümünüzü veya özel uygulamanızı yapılandırma

Yükleme Göstergeleri API'sinde aşağıdaki yapılandırma bilgileri gereklidir:

  • Uygulama (istemci) kimliği
  • İstemci gizli anahtarı
  • Microsoft Sentinel çalışma alanı kimliği

Bu değerleri, gerektiğinde tümleşik TIP veya özel çözümünüzün yapılandırmasına girin.

  1. Göstergeleri Microsoft Sentinel Karşıya Yükleme Göstergeleri API'sine gönderin. Karşıya Yükleme Göstergeleri API'si hakkında daha fazla bilgi edinmek için bkz . Microsoft Sentinel Karşıya Yükleme Göstergeleri API'si.

  2. Birkaç dakika içinde tehdit göstergelerinin Microsoft Sentinel çalışma alanınıza akmaya başlaması gerekir. Yeni göstergeleri Microsoft Sentinel menüsünden erişilebilen Tehdit bilgileri bölmesinde bulabilirsiniz.

  3. Veri bağlayıcısı durumu Bağlı durumunu yansıtır. Alınan veriler grafiği, göstergeler başarıyla gönderildikten sonra güncelleştirilir.

    Bağlı durumdaki Karşıya Yükleme Göstergeleri API'sinin veri bağlayıcısını gösteren ekran görüntüsü.

İlgili içerik

Bu makalede, İpucunuzu Microsoft Sentinel'e bağlamayı öğrendiniz. Microsoft Sentinel'de tehdit göstergelerini kullanma hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: