共用方式為


使用上傳指標 API 將您的威脅情報平台連線至 Microsoft Sentinel

許多組織使用威脅情報平台 (TIP) 解決方案從各種來源彙總威脅指標。 資料將從彙總摘要中策展以套用至安全性解決方案,例如網路裝置、EDR/XDR 解決方案,或安全性資訊與事件管理 (SIEM),例如 Microsoft Sentinel。 使用威脅情報上傳指標 API,可讓您使用這些解決方案將威脅指標匯入 Microsoft Sentinel 中。

上傳指標 API 可將威脅情報指標擷取至 Microsoft Sentinel,不需要資料連接器。 資料連接器只反映了連線到在本文和 API 參考文件 Microsoft Sentinel 上傳指標 API 中所述的 API 端點指示。

顯示威脅情報匯入路徑的螢幕擷取畫面。

如需威脅情報的詳細資訊,請參閱威脅情報

重要

Microsoft Sentinel 威脅情報上傳指標 API 目前處於預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的更多法律條款。

Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

如需詳細資訊,請參閱將 Microsoft Sentinel 連線至 STIX/TAXII 威脅情報摘要

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

必要條件

  • 若要在內容中樞安裝、更新及刪除獨立內容或解決方案,您需要資源群組層級的 Microsoft Sentinel 參與者角色。 使用 API 端點不需要安裝資料連接器。
  • 您必須擁有 Microsoft Sentinel 工作區的讀取和寫入權限,才能儲存威脅指標。
  • 您必須先註冊 Microsoft Entra 應用程式:
  • 您的 Microsoft Entra 應用程式必須在工作區層級授與 Microsoft Sentinel 參與者角色。

指示

請遵循下列步驟,從整合式 TIP 或自訂威脅情報解決方案將威脅指標匯入 Microsoft Sentinel:

  1. 註冊 Microsoft Entra 應用程式,然後記錄應用程式識別碼。
  2. 產生並記錄 Microsoft Entra 應用程式的用戶端密碼。
  3. 將 Microsoft Sentinel 參與者角色或對等角色指派給 Microsoft Entra 應用程式。
  4. 設定 TIP 解決方案或自訂應用程式。

註冊 Microsoft Entra 應用程式

預設使用者角色權限 允許使用者建立應用程式註冊。 如果此設定切換為 [否],您需要在 Microsoft Entra 中管理應用程式的權限。 任何下列 Microsoft Entra 角色都包括必要的權限:

  • 應用程式系統管理員
  • 應用程式開發人員
  • 雲端應用程式系統管理員

如需註冊 Microsoft Entra 應用程式的詳細資訊,請參閱 註冊應用程式

註冊應用程式後,請從 [概觀] 索引標籤記錄其應用程式 (用戶端) 識別碼。

產生並記錄用戶端密碼

既然您的應用程式已註冊,請產生並記錄用戶端密碼。

顯示用戶端密碼產生的螢幕擷取畫面。

如需產生用戶端密碼的詳細資訊,請參閱 新增用戶端密碼

指派角色給應用程式

上傳指標 API 會在工作區層級擷取威脅指標,並允許至少 Microsoft Sentinel 參與者的權限角色。

  1. 從 Azure 入口網站前往 [Log Analytics] 工作區。

  2. 選取 [存取控制 (IAM)]。

  3. 選取 [新增>][新增角色指派]。

  4. 在 [角色] 索引標籤中,選取 [Microsoft Sentinel 參與者角色],然後選取 [下一步]

  5. [成員] 索引標籤上,選取 [指派存取權給>使用者、群組或服務主體]

  6. 選取 [成員]。 根據預設,Microsoft Entra 應用程式不會顯示在可用的選項中。 若要尋找您的應用程式,請依名稱搜尋。

    顯示在工作區層級指派給應用程式 Microsoft Sentinel 參與者角色的螢幕擷取畫面。

  7. 選取檢閱+指派

如需指派角色給應用程式的詳細資訊,請參閱 指派角色給應用程式

在 Microsoft Sentinel 中安裝威脅情報上傳指標 API (選用)

安裝 威脅情報上傳指標 API 資料連接器,從您的 Microsoft Sentinel 工作區查看 API 連線指示。

  1. 針對 Azure 入口網站中的 Microsoft Sentinel,在 [內容管理] 下方,選取 [內容中樞]
    針對 Defender 入口網站 中的 Microsoft Sentinel,選取 [Microsoft Sentinel]>[内容管理]>[內容中樞]

  2. 尋找並選取 [威脅情報] 解決方案。

  3. 選取 [安裝/更新] 按鈕。

    如需如何管理解決方案元件的詳細資訊,請參閱探索及部署現成可用的內容 (部分機器翻譯)。

  4. 資料連接器目前會顯示於 [組態]>[資料連接器] 中。 開啟 [資料連接器] 頁面,以尋找如何使用此 API 設定應用程式的詳細資訊。

    顯示資料連接器頁面的螢幕擷取畫面,其中列出了上傳指標 API 資料連接器。

設定威脅情報平台解決方案或自訂應用程式

上傳指標 API 需要下列組態資訊:

  • 應用程式 (用戶端) 識別碼
  • 用戶端密碼
  • Microsoft Sentinel 工作區識別碼

視需要在整合式 TIP 或自訂解決方案的設定中輸入這些值。

  1. 將指標提交至 Microsoft Sentinel 上傳指標 API。 若要深入了解上傳指標 API,請參閱 Microsoft Sentinel 上傳指標 API

  2. 在幾分鐘內,威脅指標應該就會開始流入您的 Microsoft Sentinel 工作區。 在 [威脅情報] 窗格中找到新的指標,該窗格可從 [Microsoft Sentinel] 功能表存取。

  3. 資料連接器狀態會反映 [連線] 狀態。 成功提交指標之後,就會更新 [收到的資料] 圖表。

    顯示處於已連接狀態的上傳指標 API 資料連接器螢幕擷取畫面。

在本文中,您已了解如何將 TIP 連線至 Microsoft Sentinel。 若要深入了解如何使用 Microsoft Sentinel 的威脅指標,請參閱下列文章: