你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用上传 API (预览版) 将威胁情报平台连接到Microsoft Sentinel

  • 适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

许多组织使用威胁情报平台 (TIP) 解决方案来聚合来自各种来源的威胁情报源。 在聚合源中,数据经过精心策划,可应用于安全解决方案,例如网络设备、EDR/XDR 解决方案或安全信息和事件管理, (SIEM) 解决方案(如Microsoft Sentinel)。 用于描述网络威胁信息的行业标准称为“结构化威胁信息表达式”或 STIX。 通过使用支持 STIX 对象的上传 API,可以使用更富有表现力的方式将威胁情报导入Microsoft Sentinel。

上传 API 可将威胁情报引入Microsoft Sentinel而无需数据连接器。 本文介绍需要连接的内容。 有关 API 详细信息的详细信息,请参阅上传 API Microsoft Sentinel参考文档。

显示威胁情报导入路径的屏幕截图。

有关威胁情报的详细信息,请参阅 威胁情报

重要

Microsoft Sentinel威胁情报上传 API 目前为预览版。 请参阅Microsoft Azure预览版的补充使用条款,了解适用于处于 beta 版、预览版或其他尚未正式发布的Azure功能的更多法律条款。

2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel。 从 2025 年 7 月开始,许多新客户 会自动加入并重定向到 Defender 门户

如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验。 有关详细信息,请参阅是时候移动了:为提高安全性而停用Microsoft Sentinel Azure 门户

注意

有关美国政府云中功能可用性的信息,请参阅美国政府客户的云功能可用性中的Microsoft Sentinel表。

先决条件

  • 必须具有对 Microsoft Sentinel 工作区的读取和写入权限才能存储威胁情报 STIX 对象。
  • 必须能够注册Microsoft Entra应用程序。
  • 必须在工作区级别授予Microsoft Entra应用程序Microsoft Sentinel参与者角色。

说明

按照以下步骤导入威胁情报 STIX 对象,以从集成 TIP 或自定义威胁情报解决方案Microsoft Sentinel:

  1. 注册Microsoft Entra应用程序,然后记录其应用程序 ID。
  2. 为 Microsoft Entra 应用程序生成并记录客户端密码。
  3. 为Microsoft Entra应用程序分配Microsoft Sentinel参与者角色或等效角色。
  4. 配置 TIP 解决方案或自定义应用程序。

注册Microsoft Entra应用程序

默认用户角色权限允许用户创建应用程序注册。 如果此设置已切换到“否”,则需要有权管理 Microsoft Entra 中的应用程序。 以下任何Microsoft Entra角色都包括所需的权限:

  • 应用程序管理员
  • 应用开发人员
  • 云应用程序管理员

有关注册 Microsoft Entra 应用程序的详细信息,请参阅注册应用程序

注册应用程序后,从应用程序的“ 概述 ”选项卡中记录其应用程序 (客户端) ID。

向应用程序分配角色

上传 API 在工作区级别引入威胁情报对象,并需要Microsoft Sentinel参与者角色。

  1. 从Azure 门户转到 Log Analytics 工作区

  2. 选择“ 访问控制 (IAM)

  3. 选择“添加”>“添加角色分配”。

  4. 在“角色”选项卡上,选择“Microsoft Sentinel参与者”角色,然后选择“下一步”。

  5. 在“ 成员 ”选项卡上,选择“ 分配对>用户、组或服务主体的访问权限”。

  6. 选择成员。 默认情况下,Microsoft Entra应用程序不显示在可用选项中。 若要查找应用程序,请按名称搜索它。

    屏幕截图显示了在工作区级别分配给应用程序的“Microsoft Sentinel参与者”角色。

  7. 选择审阅 + 分配

有关向应用程序分配角色的详细信息,请参阅 向应用程序分配角色

配置威胁情报平台解决方案或自定义应用程序

上传 API 需要以下配置信息:

  • 应用程序(客户端)ID
  • 使用 OAuth 2.0 身份验证Microsoft Entra访问令牌
  • Microsoft Sentinel工作区 ID

根据需要在集成 TIP 或自定义解决方案的配置中输入这些值。

  1. 将威胁情报提交到上传 API。 有关详细信息,请参阅Microsoft Sentinel上传 API
  2. 几分钟内,威胁情报对象应开始流入Microsoft Sentinel工作区。 在“威胁情报”页上查找新的 STIX 对象,可从“Microsoft Sentinel”菜单访问该页面。

相关内容

本文介绍了如何将 TIP 连接到Microsoft Sentinel。 若要详细了解如何在 Microsoft Sentinel 中使用威胁情报,请参阅以下文章:

  • Last updated on