分享方式:

將威脅情報平台連線到 Microsoft Sentinel

  • 文章
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

注意

此資料連接器位於取代的路徑上。 詳細資料將會依據精確的時間表發佈。 針對未來的新解決方案,使用新的威脅情報上傳指標 API 資料連接器。 如需詳細資訊,請參閱 使用上傳指標 API 將威脅情報平台連線至 Microsoft Sentinel

許多組織都使用威脅情報平台 (TIP) 解決方案來匯總來自各種來源的威脅指標摘要。 資料將從匯總摘要中進行鑑定,以套用至安全性解決方案,例如網路裝置、EDR/XDR 解決方案或 SIEM,例如 Microsoft Sentinel。 威脅情報平台資料連接器可讓您使用這些解決方案,將威脅指標匯入 Microsoft Sentinel。

由於 TIP 資料連接器會與 Microsoft Graph 安全性 tiIndicators API 搭配運作,因此您可以使用連接器,將指標從可與該 API 通訊的任何其他自訂威脅情報平台傳送至 Microsoft Sentinel (以及其他 Microsoft 安全性解決方案,例如 Microsoft Defender XDR)。

威脅情報匯入路徑

深入了解 Microsoft Sentinel 中的威脅情報,特別是可與 Microsoft Sentinel 整合的威脅情報平台產品

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

重要

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

必要條件

  • 若要在內容中樞安裝、更新和刪除獨立內容或解決方案,您需要資源群組層級的 Microsoft Sentinel 參與者 角色。
  • 若要將許可權授與 TIP 產品或任何其他使用直接與 Microsoft Graph TI 指標 API 整合的自定義應用程式,您必須擁有 安全性系統管理員 Microsoft Entra 角色或對等的許可權。
  • 您必須擁有 Microsoft Sentinel 工作區的讀取和寫入權限,才能儲存威脅指標。

指示

請遵循下列步驟,從整合式 TIP 或自訂威脅情報解決方案將威脅指標匯入 Microsoft Sentinel:

  1. 從您的 Microsoft Entra ID 取得應用程式識別碼和客戶端密碼
  2. 將此資訊輸入您的 TIP 解決方案或自訂應用程式
  3. 在 Microsoft Sentinel 中啟用威脅情報平台資料連接器

從您的 Microsoft Entra ID 註冊應用程式識別碼和客戶端密碼

無論您是使用 TIP 還是自訂解決方案,tiIndicators API 都需要一些基本資訊,才能讓您將摘要連線到其中並對其傳送威脅指標。 您需要的三項資訊包括:

  • 應用程式 (用戶端) 識別碼
  • 目錄 (租用戶) 識別碼
  • 用戶端密碼

您可以透過名為 應用程式註冊 的程序,從您的 Microsoft Entra ID 取得這項資訊,其中包含下列三個步驟:

  • 使用 Microsoft Entra ID 註冊應用程式
  • 指定應用程式連線到 Microsoft Graph tiIndicators API 並傳送威脅指標所需的權限
  • 取得您組織的同意以將這些權限授與此應用程式。

使用 Microsoft Entra ID 註冊應用程式

  1. 從 Azure 入口網站,瀏覽至 Microsoft Entra ID 服務。

  2. 從功能表中選取 [應用程式註冊],然後選取 [新增註冊]

  3. 選擇您應用程式註冊的名稱,選取 [單一租用戶] 選項按鈕,然後選取 [註冊]

    註冊應用程式

  4. 從產生的畫面,複製 [應用程式 (用戶端) 識別碼] 和 [目錄 (租用戶) 識別碼] 值。 這些是稍後設定 TIP 或自訂解決方案,以將威脅指標傳送至 Microsoft Sentinel 所需的前兩項資訊。 第三個 [用戶端密碼] 會在稍後介紹。

指定應用程式所需的權限

  1. 返回 Microsoft Entra ID 服務的主頁面。

  2. 從功能表中選取 [應用程式註冊],然後選取您新註冊的應用程式。

  3. 從功能表中選取 [API 權限],然後選取 [新增權限] 按鈕。

  4. 在 [選取 API] 頁面上,選取 [Microsoft Graph] API,然後從 Microsoft Graph 權限清單中選擇。

  5. 出現 [您的應用程式需要什麼類型的權限?] 提示時,選取 [應用程式權限]。 這是應用程式以應用程式識別碼和應用程式祕密 (API 金鑰) 驗證時所使用的權限類型。

  6. 選取 [ThreatIndicators.ReadWrite.OwnedBy],然後選取 [新增權限],將此權限新增至您應用程式的權限清單。

    指定權限

  1. 若要授與同意,則需要特殊許可權角色。 如需詳細資訊,請參閱 將全租使用者管理員同意授與應用程式

    授予同意

  2. 在其針對您的應用程式授與同意之後,您應該會在 [狀態] 底下看到綠色核取記號。

現在您的應用程式已註冊並獲授與權限,您可以取得清單上的最後一個項目 - 應用程式的用戶端密碼。

  1. 返回 Microsoft Entra ID 服務的主頁面。

  2. 從功能表中選取 [應用程式註冊],然後選取您新註冊的應用程式。

  3. 從功能表中選取 [憑證和祕密],然後選取 [新增用戶端密碼] 按鈕以接收應用程式的密碼 (API 金鑰)。

    取得客戶端密碼

  4. 選取 [新增] 按鈕並複製用戶端密碼

    重要

    您必須先複製用戶端密碼,才能離開此畫面。 如果您離開此頁面,就無法再次擷取此密碼。 當您設定 TIP 或自訂解決方案時,將需要此值。

將此資訊輸入您的 TIP 解決方案或自訂應用程式

您現在有設定 TIP 或自訂解決方案,以將威脅指標傳送至 Microsoft Sentinel 所需的所有三項資訊。

  • 應用程式 (用戶端) 識別碼
  • 目錄 (租用戶) 識別碼
  • 用戶端密碼

  1. 視需要在整合式 TIP 或自訂解決方案的設定中輸入這些值。

  2. 將目標產品指定為 Azure Sentinel。 (指定 "Microsoft Sentinel" 會導致錯誤)。

  3. 針對動作,指定 [警示]

完成此設定之後,就會透過以 Microsoft Sentinel 為目標的 Microsoft Graph tiIndicators API,從您的 TIP 或自訂解決方案傳送威脅指標。

在 Microsoft Sentinel 中啟用威脅情報平台資料連接器

整合程序的最後一個步驟是在 Microsoft Sentinel 中啟用威脅情報平台資料連接器。 啟用此連接器可讓 Microsoft Sentinel 接收從 TIP 或自訂解決方案傳送的威脅指標。 您組織的所有 Microsoft Sentinel 工作區都將能夠使用這些指標。 請遵循下列步驟,為每個工作區啟用威脅情報平台資料連接器:

  1. 對於 Azure 入口網站 中的 Microsoft Sentinel,在 [內容管理] 下方,選取 [內容中樞]
    針對 Defender 入口網站 中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[内容管理]>[內容中樞]

  2. 尋找並選取 [威脅情報] 解決方案。

  3. 選取 [安裝/更新] 按鈕。

如需如何管理解決方案元件的詳細資訊,請參閱探索及部署現成可用的內容 (部分機器翻譯)。

  1. 若要設定 TIP 資料連接器,請選擇 [組態]>[資料連接器]

  2. 尋找並選取 [威脅情報平台][資料連接器]>[開啟連接器] 頁面 按鈕。

    顯示資料連接器頁面的螢幕擷取畫面,其中已列出 TIP 資料連接器。

  3. 當您完成應用程式註冊並設定 TIP 或自訂解決方案以傳送威脅指標時,唯一剩下的步驟是選取 [連線] 按鈕。

在幾分鐘內,威脅指標應該就會開始流入此 Microsoft Sentinel 工作區。 您可以從 Microsoft Sentinel 導覽功能表中存取 [威脅情報] 刀鋒視窗,在其中尋找這些新指標。

相關內容

在本文件中,您已了解如何將威脅情報平台連線到 Microsoft Sentinel。 若要深入瞭解 Microsoft Sentinel,請參閱下列文章。