Verbinding maken uw platform voor bedreigingsinformatie naar Microsoft Sentinel

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Notitie

Deze gegevensconnector bevindt zich op een pad voor afschaffing. Meer informatie wordt gepubliceerd op de exacte tijdlijn. Gebruik de nieuwe API-gegevensconnector voor bedreigingsinformatie voor uploadindicatoren voor nieuwe oplossingen. Zie Verbinding maken uw bedreigingsinformatieplatform naar Microsoft Sentinel met de API voor uploadindicatoren voor meer informatie.

Veel organisaties gebruiken TIP-oplossingen (Threat Intelligence Platform) om feeds van bedreigingsindicatoren uit verschillende bronnen samen te voegen. Vanuit de geaggregeerde feed worden de gegevens gecureerd om toe te passen op beveiligingsoplossingen zoals netwerkapparaten, EDR-/XDR-oplossingen of SIEM's zoals Microsoft Sentinel. Met de gegevensconnector Bedreigingsinformatieplatforms kunt u deze oplossingen gebruiken om bedreigingsindicatoren te importeren in Microsoft Sentinel.

Omdat de TIP-gegevensconnector werkt met de Microsoft Graph Security TiIndicators-API , kunt u de connector gebruiken om indicatoren te verzenden naar Microsoft Sentinel (en naar andere Microsoft-beveiligingsoplossingen zoals Microsoft Defender XDR) van elk ander aangepast platform voor bedreigingsinformatie dat met die API kan communiceren.

Meer informatie over bedreigingsinformatie in Microsoft Sentinel en met name over de platformproducten voor bedreigingsinformatie die kunnen worden geïntegreerd met Microsoft Sentinel.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

• Als u zelfstandige inhoud of oplossingen in de inhoudshub wilt installeren, bijwerken en verwijderen, hebt u de rol Microsoft Sentinel-inzender nodig op het niveau van de resourcegroep.
• U moet de rollen Globale beheerder of Beveiligingsbeheerder Microsoft Entra hebben om machtigingen te verlenen aan uw TIP-product of aan een andere aangepaste toepassing die gebruikmaakt van directe integratie met de Microsoft Graph Security TiIndicators-API.
• U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte om uw bedreigingsindicatoren op te slaan.

Instructies

Volg deze stappen om bedreigingsindicatoren te importeren in Microsoft Sentinel vanuit uw geïntegreerde TIP of aangepaste oplossing voor bedreigingsinformatie:

1. Een toepassings-id en clientgeheim ophalen uit uw Microsoft Entra-id
2. Deze informatie invoeren in uw TIP-oplossing of aangepaste toepassing
3. De gegevensconnector Threat Intelligence Platforms inschakelen in Microsoft Sentinel

Registreren voor een toepassings-id en clientgeheim vanuit uw Microsoft Entra-id

Of u nu met een TIP of met een aangepaste oplossing werkt, de TiIndicators-API vereist enkele basisinformatie om uw feed aan de feed te koppelen en deze bedreigingsindicatoren te verzenden. De drie gegevens die u nodig hebt, zijn:

• Client-id van toepassing
• Id van directory (tenant)
• Clientgeheim

U kunt deze informatie ophalen uit uw Microsoft Entra-id via een proces met de naam App-registratie , dat de volgende drie stappen bevat:

• Een app registreren bij Microsoft Entra-id
• Geef de machtigingen op die de app nodig heeft om verbinding te maken met de Microsoft Graph tiIndicators-API en bedreigingsindicatoren te verzenden
• Vraag toestemming van uw organisatie om deze machtigingen aan deze toepassing te verlenen.

Een toepassing registreren bij Microsoft Entra-id

1. Navigeer vanuit Azure Portal naar de Microsoft Entra ID-service .

2. Selecteer App-registraties in het menu en selecteer Nieuwe registratie.

3. Kies een naam voor uw toepassingsregistratie, selecteer het keuzerondje Voor één tenant en selecteer Registreren.

   

4. Kopieer in het resulterende scherm de waarden voor de toepassings-id en map-id (tenant). Dit zijn de eerste twee gegevens die u later nodig hebt om uw TIP of aangepaste oplossing te configureren om bedreigingsindicatoren naar Microsoft Sentinel te verzenden. Het derde, het clientgeheim, komt later.

Geef de machtigingen op die zijn vereist voor de toepassing

1. Ga terug naar de hoofdpagina van de Microsoft Entra ID-service .

2. Selecteer App-registraties in het menu en selecteer uw zojuist geregistreerde app.

3. Selecteer API-machtigingen in het menu en selecteer de knop Een machtiging toevoegen.

4. Selecteer op de pagina Een API selecteren de Microsoft Graph API en kies vervolgens uit een lijst met Microsoft Graph-machtigingen.

5. Selecteer toepassingsmachtigingen bij de prompt 'Welk type machtigingen heeft uw toepassing nodig?' Dit is het type machtigingen dat wordt gebruikt door toepassingen die worden geverifieerd met app-id en app-geheimen (API-sleutels).

6. Selecteer ThreatIndicators.ReadWrite.OwnedBy en selecteer Machtigingen toevoegen om deze machtiging toe te voegen aan de lijst met machtigingen van uw app.

   

Toestemming krijgen van uw organisatie om deze machtigingen te verlenen

1. Als u toestemming wilt krijgen, hebt u een Microsoft Entra Global Beheer istrator nodig om de knop Beheerderstoestemming verlenen voor uw tenant te selecteren op de pagina API-machtigingen van uw app. Als u de rol Global Beheer istrator niet voor uw account hebt, is deze knop niet beschikbaar en moet u een Globale Beheer istrator van uw organisatie vragen om deze stap uit te voeren.

   

2. Zodra toestemming is verleend aan uw app, ziet u een groen vinkje onder Status.

Nu uw app is geregistreerd en machtigingen zijn verleend, kunt u het laatste ding in uw lijst ophalen: een clientgeheim voor uw app.

1. Ga terug naar de hoofdpagina van de Microsoft Entra ID-service .

2. Selecteer App-registraties in het menu en selecteer uw zojuist geregistreerde app.

3. Selecteer Certificaten en geheimen in het menu en selecteer de knop Nieuw clientgeheim om een geheim (API-sleutel) voor uw app te ontvangen.

   

4. Selecteer de knop Toevoegen en kopieer het clientgeheim.

   Belangrijk

   U moet het clientgeheim kopiëren voordat u dit scherm verlaat. U kunt dit geheim niet meer ophalen als u van deze pagina weg navigeert. U hebt deze waarde nodig wanneer u uw TIP of aangepaste oplossing configureert.

Deze informatie invoeren in uw TIP-oplossing of aangepaste toepassing

U hebt nu alle drie de gegevens die u nodig hebt om uw TIP of aangepaste oplossing te configureren om bedreigingsindicatoren naar Microsoft Sentinel te verzenden.

• Client-id van toepassing
• Id van directory (tenant)
• Clientgeheim

1. Voer indien nodig deze waarden in in de configuratie van uw geïntegreerde TIP of aangepaste oplossing.

2. Geef Voor het doelproduct Azure Sentinel op. (Als u 'Microsoft Sentinel' opgeeft, treedt er een fout op.)

3. Geef voor de actie een waarschuwing op.

Zodra deze configuratie is voltooid, worden bedreigingsindicatoren verzonden vanuit uw TIP of aangepaste oplossing, via de Microsoft Graph tiIndicators-API, gericht op Microsoft Sentinel.

De gegevensconnector Threat Intelligence Platforms inschakelen in Microsoft Sentinel

De laatste stap in het integratieproces is het inschakelen van de gegevensconnector Threat Intelligence Platforms in Microsoft Sentinel. Als u de connector inschakelt, kan Microsoft Sentinel de bedreigingsindicatoren ontvangen die worden verzonden vanuit uw TIP of aangepaste oplossing. Deze indicatoren zijn beschikbaar voor alle Microsoft Sentinel-werkruimten voor uw organisatie. Volg deze stappen om de gegevensconnector Threat Intelligence Platforms in te schakelen voor elke werkruimte:

1. Voor Microsoft Sentinel in Azure Portal selecteert u onder Inhoudsbeheer de optie Inhoudshub.
   Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Content Management>Content Hub.

2. Zoek en selecteer de oplossing Bedreigingsinformatie .

3. Selecteer de knop Installeren/bijwerken .

Zie Out-of-The-Box-inhoud ontdekken en implementeren voor meer informatie over het beheren van de oplossingsonderdelen.

1. Als u de TIP-gegevensconnector wilt configureren, selecteert u Configuratiegegevensconnectors>.

2. Zoek en selecteer de gegevensconnector >Bedreigingsinformatieplatforms Open connectorpaginaknop.

   

3. Omdat u de app-registratie al hebt voltooid en uw TIP of aangepaste oplossing hebt geconfigureerd om bedreigingsindicatoren te verzenden, is de enige stap links om de knop Verbinding maken te selecteren.

Binnen een paar minuten moeten bedreigingsindicatoren beginnen te stromen naar deze Microsoft Sentinel-werkruimte. U vindt de nieuwe indicatoren op de blade Bedreigingsinformatie die toegankelijk is via het navigatiemenu van Microsoft Sentinel.

Gerelateerde inhoud

In dit document hebt u geleerd hoe u uw bedreigingsinformatieplatform verbindt met Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel.

• Meer informatie over hoe u inzicht krijgt in uw gegevens en potentiële bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.