Connecter votre plateforme de renseignement sur les menaces à Microsoft Sentinel

Notes

Azure Sentinel s’appelle maintenant Microsoft Sentinel et nous mettrons à jour ces pages dans les semaines à venir. En savoir plus sur les améliorations récentes de la sécurité Microsoft.

Notes

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Voir aussi : Connecter Microsoft Sentinel aux flux de renseignement sur les menaces STIX/TAXII

De nombreuses organisations utilisent des solutions de plateforme de renseignement sur les menaces (TIP) pour agréger les flux d’indicateurs de menace provenant de diverses sources, organiser les données au sein de la plateforme, puis choisir les indicateurs de menace à appliquer à différentes solutions de sécurité, comme les appareils réseau, les solutions EDR/XDR ou les solutions SIEM comme Microsoft Sentinel. Le connecteur de données Plateformes de renseignement sur les menaces vous permet d’utiliser ces solutions pour importer des indicateurs de menace dans Microsoft Sentinel.

Étant donné que le connecteur de données TIP fonctionne avec l’API Microsoft Graph Security tiIndicators pour effectuer cette opération, vous pouvez utiliser le connecteur pour envoyer des indicateurs à Microsoft Sentinel (et à d’autres solutions de sécurité Microsoft comme Microsoft 365 Defender) à partir de toute autre plateforme personnalisée de renseignement sur les menaces qui peut communiquer avec cette API.

Threat intelligence import path

En savoir plus sur le renseignement sur les menaces dans Microsoft Sentinel, et plus particulièrement sur les plateformes de renseignement sur les menaces qui peuvent être intégrées à Microsoft Sentinel.

Configuration requise

  • Vous devez disposer du rôle Administrateur général ou du rôle Administrateur de la sécurité Azure AD pour accorder des autorisations à votre produit TIP ou à toute autre application personnalisée qui utilise une intégration directe avec l’API Microsoft Graph Security tiIndicators.

  • Vous devez disposer d’autorisations en lecture et en écriture sur l’espace de travail Microsoft Sentinel pour stocker vos indicateurs de menace.

Instructions

Effectuez les étapes suivantes pour importer des indicateurs de menace dans Microsoft Sentinel à partir de votre TIP intégrée ou de votre solution personnalisée de renseignement sur les menaces :

  1. Obtenir un ID d’application et un secret client à partir de votre instance Azure Active Directory
  2. Entrer ces informations dans votre solution de plateforme Threat Intelligence (TIP) ou votre application personnalisée
  3. Activer le connecteur de données Plateformes de renseignement sur les menaces dans Microsoft Sentinel

S’incrire pour obtenir un ID d’application et un secret client à partir de votre instance Azure Active Directory

Que vous travailliez avec une solution de plateforme Threat Intelligence (TIP) ou avec une solution personnalisée, l’API tiIndicators nécessite certaines informations de base pour vous permettre d’y connecter votre flux et de lui envoyer des indicateurs de menace. Les trois informations dont vous avez besoin sont les suivantes :

  • ID d’application (client)
  • ID de l’annuaire (locataire)
  • Clé secrète client

Vous pouvez extraire ces informations de Azure Active Directory par le biais d’un processus appelé Inscription d’application, qui inclut les trois étapes suivantes :

  • Inscrire une application dans Azure Active Directory
  • Spécifier les autorisations exigées par l’application pour se connecter à l’API tiIndicators Microsoft Graph et envoyer des indicateurs de menace
  • Obtenez le consentement de votre organisation pour accorder ces autorisations à cette application.

Inscription d’une application auprès d’Azure Active Directory

  1. Ouvrez le Portail Azure, puis accédez au service Azure Active Directory.

  2. Sélectionnez Inscriptions d’applications dans le menu, puis sélectionnez Nouvelle inscription.

  3. Choisissez un nom pour l’inscription de votre application, sélectionnez la case d’option Locataire unique, puis sélectionnez Inscrire.

    Register an application

  4. Dans l’écran qui s’affiche, copiez les valeurs ID d’application (client) et ID de l’annuaire (locataire) . Ce sont les deux premières informations dont vous aurez besoin ultérieurement pour configurer votre TIP ou votre solution personnalisée afin d’envoyer des indicateurs de menace à Microsoft Sentinel. La troisième, Clé secrète client, vient ensuite.

Spécifier les autorisations exigées par l’application

  1. Revenez à la page principale du service Azure Active Directory.

  2. Sélectionnez Inscriptions d’applications dans le menu, puis sélectionnez votre application nouvellement inscrite.

  3. Sélectionnez Autorisations de l’API dans le menu, puis sélectionnez le bouton Ajouter une autorisation.

  4. Dans la page Sélectionner une API, sélectionnez l’API Microsoft Graph et faites votre choix dans la liste d’autorisations Microsoft Graph.

  5. À la question « Quel type d’autorisations votre application nécessite-t-elle ? », sélectionnez Autorisations d’application. Il s’agit du type d’autorisation utilisé par les applications qui s’authentifient avec un ID d’application et des secrets d’application (clés API).

  6. Sélectionnez ThreatIndicators.ReadWrite.OwnedBy, puis Ajouter des autorisations pour ajouter cette autorisation à la liste d’autorisations de votre application.

    Specify permissions

  1. Pour obtenir le consentement, vous devez disposer d’un administrateur général Azure Active Directory qui sélectionne le bouton Accorder un consentement d’administrateur pour votre locataire dans la page des autorisations d’API de votre application. Si vous n’avez pas le rôle Administrateur général sur votre compte, ce bouton n’est pas disponible et vous devez demander à un Administrateur général de votre organisation d’effectuer cette étape.

    Grant consent

  2. Une fois le consentement accordé à votre application, vous devez voir une coche verte sous Statut.

Maintenant que votre application a été inscrite et que des autorisations ont été accordées, vous pouvez obtenir le dernier élément figurant sur votre liste : un secret client pour votre application.

  1. Revenez à la page principale du service Azure Active Directory.

  2. Sélectionnez Inscriptions d’applications dans le menu, puis sélectionnez votre application nouvellement inscrite.

  3. Sélectionnez Certificats et secrets& dans le menu et sélectionnez le bouton Nouveau secret client pour recevoir un secret (clé API) pour votre application.

    Get client secret

  4. Cliquez sur le bouton Ajouter et copiez la clé secrète client.

    Important

    Vous devez copiez la clé secrète client avant de quitter cet écran. Vous ne pouvez pas récupérer ce secret si vous quittez cette page. Vous aurez besoin de cette valeur quand vous configurerez votre solution de plateforme Threat Intelligence (TIP) ou votre solution personnalisée.

Entrer ces informations dans votre solution de plateforme Threat Intelligence (TIP) ou votre application personnalisée

Vous avez maintenant les trois informations dont vous avez besoin pour configurer votre TIP ou votre solution personnalisée afin d’envoyer des indicateurs de menace à Microsoft Sentinel.

  • ID d’application (client)
  • ID de l’annuaire (locataire)
  • Clé secrète client
  1. Entrez ces valeurs dans la configuration de votre solution de plateforme Threat Intelligence ou votre solution personnalisée, si nécessaire.

  2. Pour le produit cible, spécifiez Microsoft Sentinel.

  3. Pour l’action, spécifiez alerte.

Une fois cette configuration terminée, les indicateurs de menace sont envoyés à partir de votre TIP ou de votre solution personnalisée, par le biais de l’API Microsoft Graph tiIndicators, à destination de Microsoft Sentinel.

Activer le connecteur de données Plateformes de renseignement sur les menaces dans Microsoft Sentinel

La dernière étape du processus d’intégration consiste à activer le connecteur de données Plateformes de renseignement sur les menaces dans Microsoft Sentinel. L’activation du connecteur est ce qui permet à Microsoft Sentinel de recevoir les indicateurs de menace envoyés par votre TIP ou votre solution personnalisée. Ces indicateurs sont disponibles pour tous les espaces de travail Microsoft Sentinel de votre organisation. Effectuez les étapes suivantes pour activer le connecteur de données Plateformes Threat Intelligence pour chaque espace de travail :

  1. Depuis le portail Azure, accédez au service Microsoft Sentinel.

  2. Choisissez l’espace de travail dans lequel vous voulez importer les indicateurs de menace envoyés à partir de votre solution de plateforme Threat Intelligence (TIP) ou votre solution personnalisée.

  3. Sélectionnez Connecteurs de données dans le menu, sélectionnez Plateformes Threat Intelligence dans la galerie des connecteurs, puis cliquez sur le bouton Ouvrir la page du connecteur.

  4. Comme vous avez déjà effectué l’inscription de l’application et configuré votre solution de plateforme Threat Intelligence (TIP) ou votre solution personnalisée pour envoyer des indicateurs de menace, il ne vous reste plus qu’à cliquer sur le bouton Se connecter.

Après quelques minutes, les indicateurs de menace doivent commencer à circuler dans cet espace de travail Microsoft Sentinel. Vous pouvez trouver les nouveaux indicateurs dans le panneau Renseignement sur les menaces, accessible depuis le menu de navigation de Microsoft Sentinel.

Étapes suivantes

Dans ce document, vous avez appris à connecter votre plateforme de renseignement sur les menaces à Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :