你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用上传指标 API 将威胁情报平台连接到 Microsoft Sentinel

  • 项目
  • 适用于:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

许多组织使用威胁情报平台 (TIP) 解决方案汇总各种来源的威胁指标源。 在聚合源中,数据经过精心整理,以应用于安全解决方案,例如网络设备、EDR/XDR 解决方案或 SIEM(如 Microsoft Sentinel)。 通过威胁情报上传指标 API 数据连接器,可以使用这些解决方案将威胁指标导入到 Microsoft Sentinel。 此数据连接器使用 Sentinel 上传指标 API 将威胁情报指标引入 Microsoft Sentinel。 有关详细信息,请参阅威胁情报

威胁情报导入路径

重要

Microsoft Sentinel 上传指标 API 和威胁情报上传指标 API 数据连接器现为预览版。 请参阅 Microsoft Azure 预览版的补充使用条款,了解适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全运营平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

注意

有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

另请参阅将 Microsoft Sentinel 连接到 STIX/TAXII 威胁情报源

先决条件

  • 若要在内容中心安装、更新和删除独立内容或解决方案,你需要在资源组级别拥有“Microsoft Sentinel 参与者”角色。
  • 必须拥有 Microsoft Sentinel 工作区的读取和写入权限,才能存储威胁指标。
  • 必须能够注册 Microsoft Entra 应用程序。
  • 必须向 Microsoft Entra 应用程序授予工作区级别的 Microsoft Sentinel 参与者角色。

说明

按照以下步骤,从集成式 TIP 或自定义威胁情报解决方案向 Microsoft Sentinel 导入威胁指标:

  1. 注册 Microsoft Entra 应用程序并记录其应用程序 ID。
  2. 为 Microsoft Entra 应用程序生成并记录客户端密码。
  3. 为 Microsoft Entra 应用程序分配 Microsoft Sentinel 参与者角色或等效角色。
  4. 在 Microsoft Sentinel 中启用威胁情报上传 API 数据连接器。
  5. 配置 TIP 解决方案或自定义应用程序。

注册 Microsoft Entra 应用

用户可以通过默认用户角色权限创建应用程序注册。 如果此设置已切换到“否”,则需要获得在 Microsoft Entra ID 中管理应用程序的权限。 以下任何 Microsoft Entra 角色都包括所需的权限:

  • 应用程序管理员
  • 应用程序开发人员
  • 云应用程序管理员

有关注册 Microsoft Entra 应用程序的详细信息,请参阅注册应用程序

注册应用程序后,请从应用程序的“概述”选项卡中记录其应用程序(客户端)ID。

生成和记录客户端密码

注册应用程序后,请生成并记录客户端密码。

显示客户端密码生成的屏幕截图。

有关生成客户端密码的详细信息,请参阅添加客户端密码

将角色分配给应用程序

上传指标 API 在工作区级别引入威胁指标,并允许 Microsoft Sentinel 参与者的最小特权角色。

  1. 从 Azure 门户转到 Log Analytics 工作区。

  2. 选择“访问控制(IAM)”。

  3. 选择“添加”>“添加角色分配”。

  4. 在“角色”选项卡中,选择“Microsoft Sentinel 参与者”角色 >“下一步”。

  5. 在“成员”选项卡上,选择“将访问权限分配到”>“用户、组或服务主体”。

  6. 选择成员。 默认情况下,可用选项中不显示 Microsoft Entra 应用程序。 若要查找应用程序,请按名称搜索它。 显示在工作区级别向应用程序分配 Microsoft Sentinel 参与者角色的屏幕截图。

  7. “选择”>“审阅 + 分配”。

有关向应用程序分配角色的详细信息,请参阅将角色分配给应用程序

在 Microsoft Sentinel 中启用威胁情报上传指标 API 数据连接器

启用威胁情报上传指标 API 数据连接器,以允许 Microsoft Sentinel 接收从 TIP 或自定义解决方案发送的威胁指标。 这些指标可用于配置的 Microsoft Sentinel 工作区。

  1. 对于 Azure 门户中的 Microsoft Sentinel,在“内容管理”下,选择“内容中心”
    对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”>“内容管理”>“内容中心”

  2. 查找并选择“威胁情报”解决方案。

  3. 选择“安装/更新”按钮。

有关如何管理解决方案组件的详细信息,请参阅发现和部署现成内容

  1. 数据连接器现在显示在“配置”>“数据连接器”中。 打开“数据连接器”页,查找有关为此 API 配置应用程序的详细信息。

    显示数据连接器页的屏幕截图,其中列出了上传 API 数据连接器。

配置 TIP 解决方案或自定义应用程序

上传指示器 API 所需的以下配置信息:

  • 应用程序(客户端)ID
  • 客户端机密
  • Microsoft Sentinel 工作区 ID

根据需要在集成式 TIP 或自定义解决方案的配置中输入这些值。

  1. 将指标提交到 Microsoft Sentinel 上传 API。 若要了解上传指标 API 的详细信息,请参阅参考文档 Microsoft Sentinel 上传指标 API

  2. 几分钟后,威胁指标应开始流入 Microsoft Sentinel 工作区。 可以在“威胁情报”边栏选项卡中找到新指标,该边栏选项卡可从 Microsoft Sentinel 导航菜单访问。

  3. 成功提交指标后,数据连接器状态会反映“已连接”状态,“已接收数据”图将更新。

    显示处于已连接状态的上传指标 API 数据连接器的屏幕截图。

相关内容

在本文档中,你了解了如何将威胁情报平台连接到 Microsoft Sentinel。 若要详细了解如何在 Microsoft Sentinel 中使用威胁指标,请参阅以下文章。