Share via

Připojení platformu analýzy hrozeb do Microsoft Sentinelu s využitím rozhraní API pro indikátory nahrávání

  • Článek
  • Platí pro:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Mnoho organizací používá řešení platformy pro analýzu hrozeb (TIP) k agregaci informačních kanálů indikátorů hrozeb z různých zdrojů. Z agregovaného informačního kanálu se data kurátorují tak, aby platila pro řešení zabezpečení, jako jsou síťová zařízení, řešení EDR/XDR nebo SIEM, jako je Microsoft Sentinel. Datový konektor rozhraní API pro nahrání indikátorů analýzy hrozeb umožňuje tato řešení použít k importu indikátorů hrozeb do Služby Microsoft Sentinel. Tento datový konektor používá rozhraní API indikátorů nahrávání služby Sentinel k ingestování indikátorů analýzy hrozeb do Microsoft Sentinelu. Další informace najdete v tématu Analýza hrozeb.

Cesta importu analýzy hrozeb

Důležité

Rozhraní API pro indikátory nahrávání analýzy hrozeb a datový konektor rozhraní API pro indikátory nahrávání analýzy hrozeb jsou ve verzi PREVIEW. Další právní podmínky týkající se funkcí Azure, které jsou v beta verzi, preview nebo jinak ještě nejsou vydané v obecné dostupnosti, najdete v dodatečných podmínkách použití pro Microsoft Azure Preview.

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Viz také: Připojení Informační kanály analýzy hrozeb STIX/TAXII pro Microsoft Sentinel

Požadavky

  • K instalaci, aktualizaci a odstranění samostatného obsahu nebo řešení v centru obsahu potřebujete roli Přispěvatel Služby Microsoft Sentinel na úrovni skupiny prostředků.
  • Abyste mohli ukládat indikátory hrozeb, musíte mít oprávnění ke čtení a zápisu do pracovního prostoru Microsoft Sentinelu.
  • Musíte být schopni zaregistrovat aplikaci Microsoft Entra.
  • Aplikaci Microsoft Entra musí být udělena role přispěvatele Microsoft Sentinelu na úrovni pracovního prostoru.

Pokyny

Pomocí těchto kroků naimportujte indikátory hrozeb do Služby Microsoft Sentinel z integrovaného řešení TIP nebo vlastní analýzy hrozeb:

  1. Zaregistrujte aplikaci Microsoft Entra a poznamenejte si JEJÍ ID aplikace.
  2. Vygenerujte a zaznamenejte tajný klíč klienta pro vaši aplikaci Microsoft Entra.
  3. Přiřaďte aplikaci Microsoft Entra roli přispěvatele Microsoft Sentinelu nebo ekvivalentní roli.
  4. Povolte datový konektor rozhraní API pro nahrání analýzy hrozeb v Microsoft Sentinelu.
  5. Nakonfigurujte řešení TIP nebo vlastní aplikaci.

Registrace aplikace Microsoft Entra

Výchozí oprávnění role uživatele umožňují uživatelům vytvářet registrace aplikací. Pokud jste toto nastavení přepnuli na Ne, budete potřebovat oprávnění ke správě aplikací v Microsoft Entra ID. Mezi následující role Microsoft Entra patří požadovaná oprávnění:

  • Správce aplikace
  • Vývojář aplikace
  • Správce cloudové aplikace

Další informace o registraci aplikace Microsoft Entra naleznete v tématu Registrace aplikace.

Jakmile aplikaci zaregistrujete, poznamenejte si její ID aplikace (klienta) na kartě Přehled aplikace.

Generování a záznam tajného klíče klienta

Teď, když je vaše aplikace zaregistrovaná, vygenerujte a zaznamenejte tajný klíč klienta.

Snímek obrazovky zobrazující generování tajných kódů klienta

Další informace o generování tajného klíče klienta najdete v tématu Přidání tajného klíče klienta.

Přiřazení role k aplikaci

Rozhraní API pro nahrání indikátorů hrozeb ingestuje indikátory hrozeb na úrovni pracovního prostoru a umožňuje roli přispěvatele Microsoft Sentinelu s nejnižšími oprávněními.

  1. Na webu Azure Portal přejděte do pracovních prostorů služby Log Analytics.

  2. Vyberte Řízení přístupu (IAM) .

  3. Vyberte Přidat>Přidat přiřazení role.

  4. Na kartě Role vyberte roli >Přispěvatel Microsoft Sentinelu Další.

  5. Na kartě Členové vyberte Přiřadit přístup k>uživateli, skupině nebo instančnímu objektu.

  6. Vyberte členy. Ve výchozím nastavení se aplikace Microsoft Entra nezobrazují v dostupných možnostech. Pokud chcete aplikaci najít, vyhledejte ji podle názvu. Snímek obrazovky znázorňující roli přispěvatele Microsoft Sentinelu přiřazenou k aplikaci na úrovni pracovního prostoru

  7. Vyberte>Zkontrolovat a přiřadit.

Další informace o přiřazování rolí k aplikacím najdete v tématu Přiřazení role k aplikaci.

Povolení konektoru api pro nahrání indikátorů analýzy hrozeb v Microsoft Sentinelu

Povolte datový konektor rozhraní API pro nahrání indikátorů analýzy hrozeb, abyste službě Microsoft Sentinel umožnili přijímat indikátory hrozeb odesílané z tipu nebo vlastního řešení. Tyto indikátory jsou k dispozici pro pracovní prostor Microsoft Sentinelu, který nakonfigurujete.

  1. Pro Microsoft Sentinel na webu Azure Portal v části Správa obsahu vyberte Centrum obsahu.
    Pro Microsoft Sentinel na portálu Defender vyberte centrum obsahu pro správu>obsahu služby Microsoft Sentinel>.

  2. Vyhledejte a vyberte řešení Analýzy hrozeb .

  3. Vyberte tlačítko Instalovat/Aktualizovat.

Další informace o správě komponent řešení najdete v tématu Zjišťování a nasazení obsahu před nasazením.

  1. Datový konektor je teď viditelný v Připojení orech konfiguračních>dat. Na stránce datového konektoru najdete další informace o konfiguraci aplikace pomocí tohoto rozhraní API.

    Snímek obrazovky zobrazující stránku datových konektorů s nahráním datového konektoru rozhraní API

Konfigurace řešení TIP nebo vlastní aplikace

Rozhraní API pro indikátory nahrávání vyžaduje následující informace o konfiguraci:

  • ID aplikace (klienta)
  • Tajný klíč klienta
  • ID pracovního prostoru Služby Microsoft Sentinel

Zadejte tyto hodnoty do konfigurace integrovaného tipu nebo vlastního řešení tam, kde je to potřeba.

  1. Odešlete indikátory do rozhraní API pro nahrání služby Microsoft Sentinel. Další informace o rozhraní API indikátorů nahrávání najdete v referenčním dokumentu k rozhraní API indikátorů nahrávání služby Microsoft Sentinel.

  2. Během několika minut by se indikátory hrozeb měly začít spouštět do pracovního prostoru Služby Microsoft Sentinel. Najděte nové indikátory v okně Analýza hrozeb, které jsou přístupné z navigační nabídky Microsoft Sentinelu.

  3. Stav datového konektoru odráží Připojení ed stav a po úspěšném odeslání indikátorů se graf přijatých dat aktualizuje.

    Snímek obrazovky znázorňující datový konektor rozhraní API pro nahrání indikátorů v připojeném stavu

Související obsah

V tomto dokumentu jste zjistili, jak připojit platformu analýzy hrozeb k Microsoft Sentinelu. Další informace o používání indikátorů hrozeb v Microsoft Sentinelu najdete v následujících článcích.