Microsoft Sentinel 的威脅情報上傳指標 API (預覽) 連接器
Microsoft Sentinel 提供數據平面 API,從威脅情報平臺(TIP)引進威脅情報,例如威脅連線、Palo Alto Networks MineMeld、MISP 或其他整合式應用程式。 威脅指標可以包含IP位址、網域、URL、檔案哈希和電子郵件位址。 如需詳細資訊,請參閱 Microsoft Sentinel 文件。
這是自動產生的內容。 如需變更,請連絡解決方案提供者。
連接器屬性
| 連接器屬性 | 描述 |
|---|---|
| 記錄分析資料表 | ThreatIntelligenceIndicator |
| 資料收集規則支援 | 目前不支援 |
| 支援者: | Microsoft Corporation |
查詢範例
所有威脅情報 API 指標
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
廠商安裝指示
您可以將威脅情報數據源連線到 sentinel Microsoft,方法是:
使用整合式威脅情報平臺 (TIP),例如 Threat Connect、Palo Alto Networks MineMeld、MISP 等。
直接從另一個應用程式呼叫 Microsoft Sentinel 數據平面 API。
- 注意:連接器的「狀態」不會顯示在這裡顯示為「已連線」,因為數據是藉由進行 API 呼叫來內嵌。
請遵循下列步驟來連線到威脅情報:
- 取得Microsoft項目標識碼存取令牌
[concat('若要將要求傳送至 API,您需要取得 Azure Active Directory 存取令牌。 您可以依照此頁面中的指示操作:/azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token
- 注意:請要求範圍值為 ', variables('management'), '.default') 的 AAD 存取令牌]
- 將指標傳送至 Sentinel
您可以呼叫上傳指標 API 來傳送指標。 如需 API 的詳細資訊,請按兩下 這裡。
HTTP 方法:POST
端點:
https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01
WorkspaceID:上傳指標的工作區。
標頭值 1:“Authorization” = “Bearer [Microsoft步驟 1] 的 Entra ID 存取令牌]
標頭值 2:“Content-Type” = “application/json”
本文:本文是 JSON 物件,其中包含 STIX 格式的指標陣列。
下一步
如需詳細資訊,請移至 Azure Marketplace 中的相關解決方案 (英文)。