Connecter des données issues de fournisseurs de veille contre les menacesConnect data from threat intelligence providers

Important

Le connecteur de données Plateformes Threat Intelligence dans Azure Sentinel est actuellement en préversion publique.The Threat Intelligence Platforms data connector in Azure Sentinel is currently in public preview. Cette fonctionnalité est fournie sans contrat de niveau de service et n’est pas recommandée pour des charges de travail en production.This feature is provided without a service level agreement, and it's not recommended for production workloads. Certaines fonctionnalités peuvent être limitées ou non prises en charge.Certain features might not be supported or might have constrained capabilities. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Azure Sentinel vous permet d’importer les indicateurs de menace que votre organisation utilise, ce qui peut améliorer la capacité de vos analystes de sécurité à détecter et à hiérarchiser des menaces connues.Azure Sentinel lets you import the threat indicators that your organization is using, which can enhance your security analysts' ability to detect and prioritize known threats. Plusieurs fonctionnalités d’Azure Sentinel deviennent ensuite disponibles ou sont améliorées :Several features from Azure Sentinel then become available or are enhanced:

  • L’analytique comprend un ensemble de modèles de règles planifiées que vous pouvez activer pour générer des alertes et incidents basés sur des correspondances d’événements de journal de vos indicateurs de menace.Analytics includes a set of scheduled rule templates that you can enable to generate alerts and incidents that are based on matches of log events from your threat indicators.

  • Les classeurs fournissent des informations résumées sur les indicateurs de menace importés dans Azure Sentinel et toutes les alertes générées à partir des règles d’analyse correspondant à vos indicateurs de menace.Workbooks provide summarized information about the threat indicators that are imported into Azure Sentinel and any alerts generated from analytics rules that match your threat indicators.

  • Les requêtes de chasse permettent aux investigateurs de sécurité d’utiliser des indicateurs de menace dans le cadre de scénarios de chasse courants.Hunting queries allow security investigators to use threat indicators within the context of common hunting scenarios.

  • Les notebooks peuvent utiliser des indicateurs de menace lorsque vous enquêtez sur des anomalies et recherchez des comportements malveillants.Notebooks can use threat indicators when you investigate anomalies and hunt for malicious behaviors.

Vous pouvez diffuser en continu des indicateurs de menace vers Azure Sentinel en utilisant l’un des produits de la plateforme Threat Intelligence intégrée répertoriés dans la section suivante, ou en utilisant une intégration directe avec l’API Microsoft Graph Security tiIndicators.You can stream threat indicators to Azure Sentinel by using one of the integrated threat intelligence platform (TIP) products that are listed in the next section, or by using direct integration with the Microsoft Graph Security tiIndicators API.

Produits de la plateforme Threat Intelligence intégréeIntegrated threat intelligence platform products

PrérequisPrerequisites

  • Rôle Azure AD d’administrateur général ou d’administrateur de la sécurité pour accorder des autorisations à votre produit ou application personnalisée de plateforme Threat Intelligence qui utilise une intégration directe avec l’API Microsoft Graph Security tiIndicators.Azure AD role of either Global administrator or Security administrator to grant permissions to your TIP product or custom application that uses direct integration with the Microsoft Graph Security tiIndicators API.

  • Autorisations en lecture et en écriture dans l’espace de travail Azure Sentinel pour stocker vos indicateurs de menace.Read and write permissions to the Azure Sentinel workspace to store your threat indicators.

Connecter Azure Sentinel à votre fournisseur d’intelligence des menacesConnect Azure Sentinel to your threat intelligence provider

  1. Inscrivez une application dans Azure Active Directory pour recevoir un ID d’application, une clé secrète d’application et un ID de locataire Azure Active Directory.Register an application in Azure Active Directory to get an application ID, application secret, and Azure Active Directory tenant ID. Vous avez besoin de ces valeurs au moment de configurer votre produit ou application intégrés de la plateforme Threat Intelligence qui utilise l’intégration directe avec l’API Microsoft Graph Security tiIndicators.You need these values for when you configure your integrated TIP product or app that uses direct integration with Microsoft Graph Security tiIndicators API.

  2. Configurez des autorisations d’API pour l’application inscrite : Ajoutez l’autorisation d’Application Microsoft Graph ThreatIndicators.ReadWrite.OwnedBy à votre application inscrite.Configure API permissions for the registered application: Add the Microsoft Graph Application permission ThreatIndicators.ReadWrite.OwnedBy to your registered application.

  3. Demandez à votre administrateur client Azure Active Directory d’accorder un consentement administrateur à l’application inscrite pour votre organisation.Ask your Azure Active Directory tenant administrator to grant admin consent to the registered application for your organization. À partir du portail Azure : Azure Active Directory > Inscriptions des applications > <Nom de l’application> > Afficher les autorisations de l’API > Accorder un consentement administrateur pour <nom du locataire> .From the Azure portal: Azure Active Directory > App registrations > <app name> > View API Permissions > Grant admin consent for <tenant name>.

  4. Configurez votre produit ou application de la plateforme Threat Intelligence qui utilise une intégration directe avec l’API Microsoft Graph Security tiIndicators pour envoyer des indicateurs à Azure Sentinel en spécifiant les éléments suivants :Configure your TIP product or app that uses direct integration with Microsoft Graph Security tiIndicators API to send indicators to Azure Sentinel by specifying the following:

    a.a. Valeurs pour l’ID, le secret et l’ID de locataire de l’application inscrite.The values for the registered application's ID, secret, and tenant ID.

    b.b. Pour le produit cible, spécifiez Azure Sentinel.For the target product, specify Azure Sentinel.

    c.c. Pour l’action, spécifiez alerte.For the action, specify alert.

  5. Dans le portail Azure, accédez à Azure Sentinel > Connecteurs de données, puis sélectionnez le connecteur Plateformes Threat Intelligence (préversion) .In the Azure portal, navigate to Azure Sentinel > Data connectors and then select the Threat Intelligence Platforms (Preview) connector.

  6. Sélectionnez Ouvrir la page du connecteur, puis Connecter.Select Open connector page, and then Connect.

  7. Pour afficher les indicateurs de menace importés dans Azure Sentinel, accédez à Azure Sentinel - Logs > SecurityInsights, puis développez ThreatIntelligenceIndicator.To view the threat indicators that are imported into Azure Sentinel, navigate to Azure Sentinel - Logs > SecurityInsights, and then expand ThreatIntelligenceIndicator.

Étapes suivantesNext steps

Dans ce document, vous avez appris à connecter votre fournisseur d’intelligence des menaces à Azure Sentinel.In this document, you learned how to connect your threat intelligence provider to Azure Sentinel. Pour en savoir plus sur Azure Sentinel, consultez les articles suivants.To learn more about Azure Sentinel, see the following articles.