你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将威胁情报平台连接到 Microsoft Sentinel

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

注意

此数据连接器位于弃用路径上。 更多详细信息将按确切时间线发布。 使用新的威胁情报上传指示器 API 数据连接器来获取将来的新解决方案。 有关详细信息,请参阅使用上传指示器 API 将威胁情报平台连接到 Microsoft Sentinel

许多组织使用威胁情报平台 (TIP) 解决方案汇总各种来源的威胁指标源。 在汇总源中,数据将经过精心整理,以应用于安全解决方案,例如网络设备、EDR/XDR 解决方案或 SIEM(如 Microsoft Sentinel)。 通过威胁情报平台数据连接器,可以使用这些解决方案将威胁指标导入到 Microsoft Sentinel。

由于 TIP 数据连接器与 Microsoft Graph 安全性 tiIndicators API 协作完成此操作,因此你可以使用该连接器,将指标从任何其他可以与该 API 通信的自定义威胁情报平台发送到 Microsoft Sentinel(以及 Microsoft Defender XDR 等其他 Microsoft 安全解决方案)。

威胁情报导入路径

详细了解 Microsoft Sentinel 中的威胁情报,尤其是可与 Microsoft Sentinel 集成的威胁情报平台产品

注意

有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

重要

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

先决条件

  • 若要在内容中心安装、更新和删除独立内容或解决方案,需要在资源组级别具备“Microsoft Sentinel 参与者”角色。
  • 必须具有全局管理员安全管理员 Microsoft Entra 角色,用于向 TIP 产品或任何其他自定义应用程序授予所需权限,使其能够利用与 Microsoft Graph 安全性 tiIndicators API 的直接集成。
  • 必须拥有 Microsoft Sentinel 工作区的读取和写入权限,才能存储威胁指标。

说明

按照以下步骤,从集成式 TIP 或自定义威胁情报解决方案向 Microsoft Sentinel 导入威胁指标:

  1. 从 Microsoft Entra ID 获取应用程序 ID 和客户端密钥
  2. 将此信息输入到 TIP 解决方案或自定义应用程序中
  3. 在 Microsoft Sentinel 中启用“威胁情报平台”数据连接器

从 Microsoft Entra ID 注册应用程序 ID 和客户端密钥

无论你是使用 TIP 还是使用自定义解决方案,tiIndicators API 都需要一些基本信息,以便你能够将源连接到它并向它发送威胁指标。 你需要的三项信息为:

  • 应用程序(客户端)ID
  • 目录(租户)ID
  • 客户端密码

可以通过名为“应用注册”的过程从 Microsoft Entra ID 获取这些信息,该过程包括以下三个步骤:

  • 使用 Microsoft Entra ID 注册应用
  • 指定应用连接到 Microsoft Graph tiIndicators API 并发送威胁指标所需的权限
  • 获得组织同意,向此应用程序授予这些权限。

使用 Microsoft Entra ID 注册应用程序

  1. 从 Azure 门户导航到 Microsoft Entra ID 服务。

  2. 从菜单中选择“应用注册”,然后选择“新建注册”。

  3. 为应用程序注册选择一个名称,选择“单租户”单选按钮,然后选择“注册” 。

    注册应用程序

  4. 从随后出现的屏幕中复制“应用程序(客户端) ID”和“目录(租户) ID”值。 这是你以后配置 TIP 或自定义解决方案以向 Microsoft Sentinel 发送威胁指标时需要的前两项信息。 第三项是客户端密码,稍后显示。

指定应用程序所需的权限

  1. 返回 Microsoft Entra ID 服务的主页。

  2. 从菜单中选择“应用注册”,然后选择新注册的应用。

  3. 从菜单中选择“API 权限”,然后选择“添加权限”按钮 。

  4. 在“选择 API”页上,选择“Microsoft Graph”API,然后从 Microsoft Graph 权限列表中进行选择 。

  5. 在系统询问“应用程序需要哪种类型的权限?”时,选择“应用程序权限”。 这是通过应用 ID 和应用机密(API 密钥)进行身份验证的应用程序所使用的权限类型。

  6. 选择“ThreatIndicators.ReadWrite.OwnedBy”,然后选择“添加权限”,以将此权限添加到应用的权限列表中。

    指定权限

  1. 若要获得同意,你需要以 Microsoft Entra 全局管理员的身份在应用的“API 权限”页上选择“为租户授予管理员同意”按钮。 如果你的帐户上没有全局管理员角色,此按钮将不可用,你需要请组织的全局管理员执行此步骤。

    授予许可

  2. 向应用授予同意后,“状态”下应该会出现一个绿色复选标记。

现在,应用已注册并授予权限,你可以在列表中找到最后一项信息 - 应用的客户端密码。

  1. 返回 Microsoft Entra ID 服务的主页。

  2. 从菜单中选择“应用注册”,然后选择新注册的应用。

  3. 从菜单中选择“证书和机密”,然后选择“新建客户端密码”按钮以接收应用密码(API 密钥)

    获取客户端密码

  4. 选择“添加”按钮并复制客户端密码 。

    重要

    在离开此屏幕之前,必须复制客户端密码。 如果离开此页,则无法再次检索此密码。 配置 TIP 或自定义解决方案时需要此值。

将此信息输入到 TIP 解决方案或自定义应用程序中

现在,你已获得配置 TIP 或自定义解决方案以向 Microsoft Sentinel 发送威胁指标所需的所有信息。

  • 应用程序(客户端)ID
  • 目录(租户)ID
  • 客户端机密

  1. 根据需要在集成式 TIP 或自定义解决方案的配置中输入这些值。

  2. 对于目标产品,请指定 Azure Sentinel。 (指定“Microsoft Sentinel”将导致错误。)

  3. 对于操作,请指定警报。

完成此配置后,将通过 Microsoft Graph tiIndicators API 将威胁指标从 TIP 或自定义解决方案发送到 Microsoft Sentinel。

在 Microsoft Sentinel 中启用“威胁情报平台”数据连接器

集成过程的最后一步是在 Microsoft Sentinel 中启用威胁情报平台数据连接器。 启用连接器可让 Microsoft Sentinel 接收从 TIP 或自定义解决方案发送的威胁指标。 这些指标可供组织的所有 Microsoft Sentinel 工作区使用。 请按照以下步骤为每个工作区启用“威胁情报平台”数据连接器:

  1. 对于 Azure 门户中的 Microsoft Sentinel,在“内容管理”下,选择“内容中心”
    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“内容管理”>“内容中心”。

  2. 查找并选择“威胁情报”解决方案。

  3. 选择“安装/更新”按钮。

有关如何管理解决方案组件的详细信息,请参阅发现和部署现成内容

  1. 若要配置 TIP 数据连接器,请选择“配置”>“数据连接器”。

  2. 查找并选择“威胁情报平台”数据连接器>“打开连接器页”按钮。

    显示数据连接器页的屏幕截图,其中列出了 TIP 数据连接器。

  3. 完成应用注册并将 TIP 或自定义解决方案配置为发送威胁指标后,剩下的唯一步骤就是选择“连接”按钮

几分钟后,威胁指标应开始流入此 Microsoft Sentinel 工作区。 可以在“威胁情报”边栏选项卡中找到新指标,该边栏选项卡可从 Microsoft Sentinel 导航菜单访问。

相关内容

在本文档中,你了解了如何将威胁情报平台连接到 Microsoft Sentinel。 若要详细了解 Microsoft Sentinel,请参阅以下文章。