Conectar datos de proveedores de inteligencia sobre amenazasConnect data from threat intelligence providers

Importante

El conector de datos de inteligencia sobre amenazas en Azure Sentinel se encuentra actualmente en versión preliminar pública.The Threat Intelligence data connectors in Azure Sentinel are currently in public preview. Esta característica se ofrece sin contrato de nivel de servicio y no se recomienda para cargas de trabajo de producción.This feature is provided without a service level agreement, and it's not recommended for production workloads. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas.Certain features might not be supported or might have constrained capabilities. Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Azure Sentinel le permite importar los indicadores de amenazas que usa su organización, lo que puede mejorar la capacidad de los analistas de seguridad para detectar y priorizar las amenazas conocidas.Azure Sentinel lets you import the threat indicators your organization is using, which can enhance your security analysts' ability to detect and prioritize known threats. Varias características de Azure Sentinel están disponibles o se han mejorado:Several features from Azure Sentinel then become available or are enhanced:

  • Analytics incluye un conjunto de plantillas de reglas programadas que puede habilitar para generar alertas e incidentes basados en coincidencias con eventos de registro de los indicadores de amenazas.Analytics includes a set of scheduled rule templates you can enable to generate alerts and incidents based on matches of log events from your threat indicators.

  • Libros proporciona información resumida sobre los indicadores de amenazas importados a Azure Sentinel y las alertas generadas a partir de las reglas de análisis que coinciden con los indicadores de amenazas.Workbooks provide summarized information about the threat indicators imported into Azure Sentinel and any alerts generated from analytics rules that match your threat indicators.

  • Búsqueda de consultas permite a los investigadores de seguridad usar indicadores de amenazas en el contexto de los escenarios de búsqueda habituales.Hunting queries allow security investigators to use threat indicators within the context of common hunting scenarios.

  • Notebooks puede usar indicadores de amenazas al investigar anomalías y buscar comportamientos malintencionados.Notebooks can use threat indicators when you investigate anomalies and hunt for malicious behaviors.

Puede transmitir los indicadores de amenazas a Azure Sentinel mediante uno de los productos integrados de la plataforma de inteligencia sobre amenazas (TIP) que se enumeran en la sección siguiente, la conexión a servidores TAXII o la integración directa con la API Microsoft Graph Security tiIndicators.You can stream threat indicators to Azure Sentinel by using one of the integrated threat intelligence platform (TIP) products listed in the next section, connecting to TAXII servers, or by using direct integration with the Microsoft Graph Security tiIndicators API.

Productos de la plataforma de inteligencia sobre amenazas integradaIntegrated threat intelligence platform products

Conexión de Azure Sentinel a su plataforma de inteligencia sobre amenazasConnect Azure Sentinel to your threat intelligence platform

Requisitos previosPrerequisites

  • Rol de Azure AD de administrador global o de administrador de seguridad para conceder permisos al producto TIP o a la aplicación personalizada que usa integración directa con Microsoft Graph Security tiIndicators API.Azure AD role of either Global administrator or Security administrator to grant permissions to your TIP product or custom application that uses direct integration with the Microsoft Graph Security tiIndicators API.

  • Permisos de lectura y escritura en el área de trabajo de Azure Sentinel para almacenar los indicadores de amenazas.Read and write permissions to the Azure Sentinel workspace to store your threat indicators.

InstructionsInstructions

  1. Registre una aplicación en Azure Active Directory para obtener un identificador de aplicación, un secreto de aplicación y un identificador de inquilino de Azure Active Directory.Register an application in Azure Active Directory to get an application ID, application secret, and Azure Active Directory tenant ID. Necesitará estos valores para cuando configure el producto TIP o la aplicación integrada que usa la integración directa con Microsoft Graph Security tiIndicators API.You need these values for when you configure your integrated TIP product or app that uses direct integration with Microsoft Graph Security tiIndicators API.

  2. Configure los permisos de la API para la aplicación registrada: Agregue el permiso de aplicación de Microsoft Graph ThreatIndicators.ReadWrite.OwnedBy a la aplicación registrada.Configure API permissions for the registered application: Add the Microsoft Graph Application permission ThreatIndicators.ReadWrite.OwnedBy to your registered application.

  3. Pida a su administrador de inquilinos de Azure Active Directory que conceda consentimiento de administrador a la aplicación registrada de su organización.Ask your Azure Active Directory tenant administrator to grant admin consent to the registered application for your organization. En el Portal de Azure: Azure Active Directory > Registros de aplicaciones > <app name> > Ver permisos de API > Conceder consentimiento de administrador para <tenant name> .From the Azure portal: Azure Active Directory > App registrations > <app name> > View API Permissions > Grant admin consent for <tenant name>.

  4. Configure el producto TIP o la aplicación que usa la integración directa con Microsoft Graph Security tiIndicators API para enviar indicadores a Azure Sentinel especificando lo siguiente:Configure your TIP product or app that uses direct integration with Microsoft Graph Security tiIndicators API to send indicators to Azure Sentinel by specifying the following:

    a.a. Los valores del identificador, el secreto y el identificador de inquilino de la aplicación registrada.The values for the registered application's ID, secret, and tenant ID.

    b.b. Para el producto de destino, especifique Azure Sentinel.For the target product, specify Azure Sentinel.

    c.c. Para la acción, especifique alerta.For the action, specify alert.

  5. En Azure Portal, vaya a Azure Sentinel > Data connectors (Conectores de datos) y, a continuación, seleccione el conector Plataformas de inteligencia sobre amenazas (versión preliminar) .In the Azure portal, navigate to Azure Sentinel > Data connectors and then select the Threat Intelligence Platforms (Preview) connector.

  6. Seleccione Open connector page (Abrir página del conductor) y, a continuación, Conectar.Select Open connector page, and then Connect.

  7. Para ver los indicadores de amenazas que se importan en Azure Sentinel, vaya a Azure Sentinel: Registros > SecurityInsights y amplíe ThreatIntelligenceIndicator.To view the threat indicators imported into Azure Sentinel, navigate to Azure Sentinel - Logs > SecurityInsights, and then expand ThreatIntelligenceIndicator.

Conexión de Azure Sentinel con servidores TAXIIConnect Azure Sentinel to TAXII servers

Requisitos previosPrerequisites

  • Permisos de lectura y escritura en el área de trabajo de Azure Sentinel para almacenar los indicadores de amenazas.Read and write permissions to the Azure Sentinel workspace to store your threat indicators.

  • Identificador de colección y URI del servidor TAXII 2.0.TAXII 2.0 server URI and Collection ID.

InstructionsInstructions

  1. En Azure Portal, vaya a Azure Sentinel > Data connectors (Conectores de datos) y, a continuación, seleccione el conector Inteligencia sobre amenazas: TAXII (versión preliminar) .In the Azure portal, navigate to Azure Sentinel > Data connectors and then select the Threat Intelligence - TAXII (Preview) connector.

  2. Seleccione Open connector page (Abrir página del conector).Select Open connector page.

  3. Especifique la información necesaria y opcional en los cuadros de texto.Specify the required and optional information in the text boxes.

  4. Seleccione Agregar para habilitar la conexión al servidor TAXII 2.0.Select Add to enable the connection to the TAXII 2.0 server.

  5. Si tiene más servidores TAXII 2.0: repita los pasos 3 y 4.If you have additional TAXII 2.0 servers: Repeat steps 3 and 4.

  6. Para ver los indicadores de amenazas que se importan en Azure Sentinel, vaya a Azure Sentinel: Registros > SecurityInsights y amplíe ThreatIntelligenceIndicator.To view the threat indicators imported into Azure Sentinel, navigate to Azure Sentinel - Logs > SecurityInsights, and then expand ThreatIntelligenceIndicator.

Pasos siguientesNext steps

En este documento, ha aprendido a conectar su proveedor de inteligencia sobre amenazas a Azure Sentinel.In this document, you learned how to connect your threat intelligence provider to Azure Sentinel. Para obtener más información sobre Azure Sentinel, consulte los siguientes artículos.To learn more about Azure Sentinel, see the following articles.