Připojení platformy pro inteligenci hrozeb do služby Microsoft Sentinel

  • Článek
  • 5 min ke čtení

Poznámka

Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.

Poznámka

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tématu věnovaném tabulkám Sentinel Microsoftu v cloudu dostupnost funkcí pro státní správu USA.

Viz také: Připojení Microsoft Sentinel do informačních kanálů pro analýzu hrozeb STIX/TAXII

Řada organizací používá řešení TIP (Threat Intelligence Platform) k agregaci informačních kanálů indikátorů hrozeb z různých zdrojů, ke shromažďování dat v rámci platformy a k výběru indikátorů hrozeb, které se mají použít pro různá řešení zabezpečení, jako jsou síťová zařízení, řešení EDR/XDR nebo siem SIEM, jako je Microsoft Sentinel. Datový konektor platformy Threat Intelligence umožňuje tato řešení použít k importu indikátorů hrozeb do Microsoft Sentinelu.

Vzhledem k tomu, že k tomu datový konektor TIP spolupracuje s rozhraním Microsoft Graph Security TiIndicators API, můžete pomocí konektoru odesílat indikátory do Microsoft Sentinelu (a do dalších řešení zabezpečení Microsoftu, jako je Microsoft 365 Defender) z jakékoli jiné vlastní platformy pro inteligentní hrozby, které s tímto rozhraním API komunikují.

Cesta importu funkce Threat Intelligence

Přečtěte si další informace o nástroji Threat Intelligence ve službě Microsoft Sentinel a konkrétně o produktech platformy pro inteligentní hrozby, které je možné integrovat se službou Microsoft Sentinel.

Požadavky

  • Abyste mohli udělit oprávnění produktu TIP nebo jakékoli jiné vlastní aplikaci, která používá přímou integraci s rozhraním MICROSOFT Graph Security tiIndicators API, musíte mít buď role Globální správce nebo Správce zabezpečení Azure AD.

  • K ukládání indikátorů hrozeb musíte mít k pracovnímu prostoru Microsoft Sentinelu oprávnění ke čtení a zápisu.

Pokyny

Pomocí těchto kroků naimportujte indikátory hrozeb do Microsoft Sentinelu z integrovaného tipu nebo vlastního řešení pro detekci hrozeb:

  1. Získání ID aplikace a tajného klíče klienta z Azure Active Directory
  2. Zadání těchto informací do řešení TIP nebo vlastní aplikace
  3. Povolení datového konektoru platformy Threat Intelligence v Microsoft Sentinelu

Zaregistrujte si ID aplikace a tajný kód klienta z vaší Azure Active Directory

Bez ohledu na to, jestli pracujete s tipem nebo s vlastním řešením, vyžaduje rozhraní TIIndicators API základní informace, které vám umožní připojit se k informačnímu kanálu a odeslat mu indikátory hrozeb. Potřebujete tyto tři údaje:

  • ID aplikace (klienta)
  • ID adresáře (tenanta)
  • Tajný klíč klienta

Tyto informace můžete získat ze svého Azure Active Directory prostřednictvím procesu s názvem Registrace aplikace, který zahrnuje následující tři kroky:

  • Registrace aplikace pomocí Azure Active Directory
  • Určení oprávnění vyžadované aplikací pro připojení k rozhraní MICROSOFT Graph TIIndicators API a odesílání indikátorů hrozeb
  • Získejte od vaší organizace souhlas s udělením těchto oprávnění této aplikaci.

Registrujte aplikaci s Azure Active Directory

  1. Z Azure Portal přejděte do Azure Active Directory služby.

  2. V nabídce vyberte Registrace aplikací a pak vyberte Nová registrace.

  3. Zvolte název registrace aplikace, vyberte přepínač Jeden tenant a vyberte Zaregistrovat.

    Registrace aplikace

  4. Z výsledné obrazovky zkopírujte hodnoty ID aplikace (klienta) a ID adresáře (tenanta). Toto jsou první dvě informace, které budete potřebovat později ke konfiguraci TIPu nebo vlastního řešení pro odesílání indikátorů hrozeb do Microsoft Sentinelu. Třetí, tajný kód klienta, přijde později.

Určení oprávnění vyžadované aplikací

  1. Zpět na hlavní stránku služby Azure Active Directory.

  2. V nabídce vyberte Registrace aplikací a vyberte nově zaregistrovanou aplikaci.

  3. V nabídce vyberte Oprávnění rozhraní API a vyberte tlačítko Přidat oprávnění.

  4. Na stránce Vybrat rozhraní API vyberte rozhraní Microsoft Graph API a pak vyberte ze seznamu oprávnění Microsoft Graph API.

  5. Na příkazovém řádku "Jaký typ oprávnění vaše aplikace vyžaduje?" vyberte Oprávnění aplikace. Toto je typ oprávnění používaný aplikacemi, které se ověřují pomocí ID aplikace a tajných kódů aplikace (klíče rozhraní API).

  6. Vyberte ThreatIndicators.ReadWrite.OwnedBy a výběrem možnosti Přidat oprávnění přidejte toto oprávnění do seznamu oprávnění vaší aplikace.

    Určení oprávnění

  1. Pokud chcete získat souhlas, musíte Azure Active Directory správce, který na stránce oprávnění rozhraní API vaší aplikace vybere tlačítko Udělit souhlas správce pro vašeho tenanta. Pokud ve svém účtu nemáte roli globálního správce, toto tlačítko nebude k dispozici a k provedení tohoto kroku budete muset požádat globálního správce z vaší organizace.

    Udělit souhlas

  2. Po udělení souhlasu vaší aplikaci by se v části Stav měla zobrazit zelená značka zaškrtnutí.

Teď, když je aplikace zaregistrovaná a máte udělená oprávnění, můžete v seznamu získat poslední věc – tajný klíč klienta pro vaši aplikaci.

  1. Zpět na hlavní stránku služby Azure Active Directory.

  2. V nabídce vyberte Registrace aplikací a vyberte nově zaregistrovanou aplikaci.

  3. V nabídce & Certifikáty a tajné kódy a výběrem tlačítka Nový tajný kód klienta obdržíte tajný kód (klíč rozhraní API) pro vaši aplikaci.

    Získání tajného klíče klienta

  4. Vyberte tlačítko Přidat a zkopírujte tajný kód klienta.

    Důležité

    Před opuštěním této obrazovky musíte zkopírovat tajný kód klienta. Pokud z této stránky přejdete znova, nemůžete tento tajný kód znovu načíst. Tuto hodnotu budete potřebovat při konfiguraci tipu nebo vlastního řešení.

Zadání těchto informací do řešení TIP nebo vlastní aplikace

Teď máte všechny tři informace, které potřebujete ke konfiguraci tipu nebo vlastního řešení pro odesílání indikátorů hrozeb do Microsoft Sentinelu.

  • ID aplikace (klienta)
  • ID adresáře (tenanta)
  • Tajný klíč klienta

  1. V případě potřeby zadejte tyto hodnoty do konfigurace integrovaného tipu nebo vlastního řešení.

  2. Jako cílový produkt zadejte Microsoft Sentinel.

  3. Pro akci zadejte výstrahu.

Po dokončení této konfigurace budou indikátory hrozeb odesílány z tipu nebo vlastního řešení prostřednictvím rozhraní MICROSOFT Graph tiIndicators API cíleného na Microsoft Sentinel.

Povolení datového konektoru platformy Threat Intelligence v Microsoft Sentinelu

Posledním krokem v procesu integrace je povolení datového konektoru Platformy pro detekci hrozeb ve službě Microsoft Sentinel. Povolení konektoru umožňuje službě Microsoft Sentinel přijímat indikátory hrozeb odeslané z tipu nebo vlastního řešení. Tyto indikátory budou dostupné pro všechny pracovní prostory Microsoft Sentinelu pro vaši organizaci. Podle těchto kroků povolte datový konektor platformy Threat Intelligence pro každý pracovní prostor:

  1. V Azure Portal přejděte ke službě Microsoft Sentinel.

  2. Zvolte pracovní prostor, do kterého chcete importovat indikátory hrozeb odeslané z tipu nebo vlastního řešení.

  3. V nabídce vyberte Datové konektory, v galerii konektorů vyberte Platformy pro detekci hrozeb a pak vyberte tlačítko Otevřít konektor.

  4. Vzhledem k tomu, že jste už dokončili registraci aplikace a nakonfigurovali tip nebo vlastní řešení pro odesílání indikátorů hrozeb, jediným krokem vlevo je vybrat tlačítko Připojení hrozby.

Během několika minut by se indikátory hrozeb měly začít přetékat do tohoto pracovního prostoru Microsoft Sentinelu. Nové indikátory najdete v okně Inteligence hrozeb, které jsou přístupné z navigační nabídky Microsoft Sentinelu.

Další kroky

V tomto dokumentu jste zjistili, jak připojit platformu pro inteligenci hrozeb k Microsoft Sentinelu. Další informace o Microsoft Sentinelu najdete v následujících článcích.