共用方式為

將威脅情報平臺 連線 至 Microsoft Sentinel

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

注意

此資料連接器位於取代的路徑上。 詳細數據將會在精確的時程表上發佈。 針對未來的新解決方案,使用新的威脅情報上傳指標 API 資料連接器。 如需詳細資訊,請參閱使用上傳指標 API 將威脅情報平臺 連線 至 Microsoft Sentinel。

許多組織都使用威脅情報平臺 (TIP) 解決方案來匯總來自各種來源的威脅指標摘要。 從匯總摘要中,數據會經過策劃,以套用至安全性解決方案,例如網路裝置、EDR/XDR 解決方案,或 Microsoft Sentinel 等 SIEM。 威脅情報平臺數據連接器可讓您使用這些解決方案,將威脅指標匯入 Microsoft Sentinel。

由於 TIP 數據連接器可與 Microsoft Graph 安全性 tiIndicators API 搭配運作,因此您可以使用連接器,將指標傳送至 Microsoft Sentinel(以及其他 Microsoft 安全性解決方案,例如 Microsoft Defender 全面偵測回應),從任何其他可與該 API 通訊的自定義威脅情報平臺。

威脅情報匯入路徑

深入瞭解 Microsoft Sentinel 中的威脅情報 ,特別是 可與 Microsoft Sentinel 整合的威脅情報平台產品

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

重要

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

必要條件

  • 若要在內容中樞安裝、更新和刪除獨立內容或解決方案,您需要 資源群組層級的 Microsoft Sentinel 參與者 角色。
  • 您必須擁有全域管理員或安全性系統管理員 Microsoft Entra 角色,才能將許可權授與 TIP 產品或任何其他使用與 Microsoft Graph 安全性 tiIndicators API 直接整合的自定義應用程式。
  • 您必須擁有 Microsoft Sentinel 工作區的讀取和寫入許可權,才能儲存威脅指標。

指示

請遵循下列步驟,從整合式 TIP 或自定義威脅情報解決方案將威脅指標匯入 Microsoft Sentinel:

  1. 從 Microsoft Entra ID 取得應用程式識別碼和客戶端密碼
  2. 將此資訊輸入至您的 TIP 解決方案或自訂應用程式
  3. 在 Microsoft Sentinel 中啟用威脅情報平台數據連接器

從您的 Microsoft Entra 識別子註冊應用程式識別碼和客戶端密碼

無論您是使用 TIP 或自定義解決方案,tiIndicators API 都需要一些基本資訊,讓您能夠將摘要連線到該摘要,並傳送威脅指標。 您需要的三項資訊如下:

  • 應用程式 (用戶端) 識別碼
  • 目錄 (租用戶) 識別碼
  • 用戶端密碼

您可以透過稱為 「應用程式註冊 」的程式,從 Microsoft Entra ID 取得這項資訊,其中包含下列三個步驟:

  • 使用 Microsoft Entra ID 註冊應用程式
  • 指定應用程式連線至 Microsoft Graph tiIndicators API 所需的許可權,並傳送威脅指標
  • 取得貴組織的同意,以將這些許可權授與此應用程式。

使用 Microsoft Entra ID 註冊應用程式

  1. 從 Azure 入口網站,流覽至 Microsoft Entra ID 服務。

  2. 從功能表中選取 [應用程式註冊 ],然後選取 [ 新增註冊]。

  3. 選擇應用程式註冊的名稱、選取 [單一租使用者 ] 單選按鈕,然後選取 [ 註冊]。

    註冊應用程式

  4. 從產生的畫面,複製 應用程式 (用戶端) 識別碼目錄 (租使用者) 識別碼 值。 這些是您稍後將設定 TIP 或自定義解決方案以將威脅指標傳送至 Microsoft Sentinel 所需的前兩項資訊。 第三個 客戶端密碼稍後會到來。

指定應用程式所需的許可權

  1. 返回 Microsoft Entra ID 服務的主頁面

  2. 從功能表中選取 [應用程式註冊 ],然後選取您新註冊的應用程式。

  3. 從功能表中選取 [API 許可權 ],然後選取 [ 新增許可權 ] 按鈕。

  4. 在 [ 選取 API] 頁面上,選取 Microsoft Graph API,然後選擇 Microsoft Graph 許可權清單。

  5. 在提示字元中,選取 [應用程式許可權需要何種類型的許可權?]。 這是應用程式使用應用程式識別碼和應用程式秘密進行驗證時所使用的許可權類型(API 金鑰)。

  6. 選取 [ThreatIndicators.ReadWrite.OwnedBy ],然後選取 [新增許可權],將此許可權 新增至應用程式的許可權清單。

    指定許可權

  1. 若要取得同意,您需要 Microsoft Entra Global 管理員 istrator,才能選取您應用程式 API 許可權頁面上的 [授與租使用者同意] 按鈕。 如果您沒有帳戶上的全域 管理員 istrator 角色,將無法使用此按鈕,而且您必須要求貴組織的全域 管理員 istrator 執行此步驟。

    授予同意

  2. 一旦同意授與您的應用程式,您應該會在 [狀態] 底下看到綠色複選標記。

現在您的應用程式已註冊並已授與許可權,您可以在清單中取得最後一件事 - 應用程式的客戶端密碼。

  1. 返回 Microsoft Entra ID 服務的主頁面

  2. 從功能表中選取 [應用程式註冊 ],然後選取您新註冊的應用程式。

  3. 從功能表中選取 [憑證和秘密 ],然後選取 [ 新增客戶端密碼 ] 按鈕,以接收應用程式的秘密(API 金鑰)。

    取得客戶端密碼

  4. 選取 [ 新增 ] 按鈕並 複製客戶端密碼

    重要

    您必須先複製客戶端密碼才能離開此畫面。 如果您離開此頁面,就無法再次擷取此秘密。 當您設定 TIP 或自訂解決方案時,將需要此值。

將此資訊輸入至您的 TIP 解決方案或自訂應用程式

您現在擁有設定 TIP 或自定義解決方案以將威脅指標傳送至 Microsoft Sentinel 所需的所有三項資訊。

  • 應用程式 (用戶端) 識別碼
  • 目錄 (租用戶) 識別碼
  • 用戶端密碼

  1. 在必要的整合 TIP 或自定義解決方案組態中輸入這些值。

  2. 針對目標產品,指定 Azure Sentinel。 (指定 “Microsoft Sentinel” 會導致錯誤。

  3. 針對動作,指定 警示

完成此設定之後,威脅指標會透過以 Microsoft Sentinel 為目標的 Microsoft Graph tiIndicators API,從您的 TIP 或自定義解決方案傳送。

在 Microsoft Sentinel 中啟用威脅情報平台數據連接器

整合程式的最後一個步驟是在 Microsoft Sentinel 中啟用 威脅情報平台數據連接器 。 啟用連接器可讓 Microsoft Sentinel 接收從 TIP 或自定義解決方案傳送的威脅指標。 這些指標將可供貴組織的所有 Microsoft Sentinel 工作區使用。 請遵循下列步驟,為每個工作區啟用威脅情報平台數據連接器:

  1. 針對 Azure 入口網站 中的 Microsoft Sentinel,在 [內容管理] 底下,選取 [內容中樞]。
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>內容管理>內容中樞]。

  2. 尋找並選取 威脅情報 解決方案。

  3. 選取 [ 安裝/更新] 按鈕。

如需如何管理解決方案元件的詳細資訊,請參閱 探索和部署現用內容

  1. 若要設定 TIP 資料連接器,請選取 [設定>資料連接器]。

  2. 尋找並選取 [威脅情報平臺 數據連接器開啟連接器 >] 頁面 按鈕。

    顯示數據連接器頁面的螢幕快照,其中已列出 TIP 數據連接器。

  3. 當您已完成應用程式註冊並設定TIP或自定義解決方案以傳送威脅指標時,唯一的一個步驟是選取 [連線] 按鈕。

在幾分鐘內,威脅指標應該會開始流入此 Microsoft Sentinel 工作區。 您可以在 [威脅情報] 刀鋒視窗中找到新的指標,可從 Microsoft Sentinel 導覽功能表存取。

相關內容

在本檔中,您已瞭解如何將威脅情報平台連線至 Microsoft Sentinel。 若要深入瞭解 Microsoft Sentinel,請參閱下列文章。