Verbinding maken platform voor bedreigingsinformatie over te zetten naar Microsoft Sentinel

Zie ook: Microsoft Sentinel Verbinding maken aan feeds met bedreigingsinformatie voor STIX/TAXII

Veel organisaties gebruiken OPLOSSINGEN voor het Platform voor bedreigingsinformatie (TIP) om feeds van bedreigingsindicatoren uit verschillende bronnen samen te voegen, de gegevens binnen het platform te cureren en vervolgens te kiezen welke bedreigingsindicatoren moeten worden toegepast op verschillende beveiligingsoplossingen, zoals netwerkapparaten, EDR/XDR-oplossingen of SIEM's zoals Microsoft Sentinel. Met de gegevensconnector Threat Intelligence Platforms kunt u deze oplossingen gebruiken om bedreigingsindicatoren te importeren in Microsoft Sentinel.

Omdat de TIP-gegevensconnector werkt met de Microsoft Graph Security tiIndicators-API om dit te bereiken, kunt u de connector gebruiken om indicatoren naar Microsoft Sentinel (en andere Beveiligingsoplossingen van Microsoft, zoals Microsoft 365 Defender) te verzenden vanaf elk ander aangepast platform voor bedreigingsinformatie dat met die API kan communiceren.

Meer informatie over bedreigingsinformatie in Microsoft Sentinel en met name over de producten van het platform voor bedreigingsinformatie die kunnen worden geïntegreerd met Microsoft Sentinel.

Vereisten

• U moet de Azure AD-rollen Globale beheerder of Beveiligingsbeheerder hebben om machtigingen te kunnen verlenen aan uw TIP-product of aan een andere aangepaste toepassing die gebruikmaakt van directe integratie met de Microsoft Graph Security tiIndicators-API.

• U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte om uw bedreigingsindicatoren op te slaan.

Instructies

Volg deze stappen om bedreigingsindicatoren te importeren in Microsoft Sentinel vanuit uw geïntegreerde TIP of aangepaste oplossing voor bedreigingsinformatie:

1. Een toepassings-id en clientgeheim verkrijgen van uw Azure Active Directory
2. Voer deze informatie in uw TIP-oplossing of aangepaste toepassing in
3. De gegevensconnector Threat Intelligence Platforms inschakelen in Microsoft Sentinel

Meld u aan voor een toepassings-id en clientgeheim van uw Azure Active Directory

Of u nu werkt met een TIP of met een aangepaste oplossing, de tiIndicators-API vereist enkele basisinformatie waarmee u uw feed kunt verbinden en bedreigingsindicatoren kunt verzenden. U hebt drie soorten informatie nodig:

• (Client-)id van de app
• (Tenant-)id van de map
• Clientgeheim

U kunt deze informatie van uw Azure Active Directory via een proces met de naam App-registratie, dat de volgende drie stappen omvat:

• Een app registreren bij Azure Active Directory
• Geef de machtigingen op die de app nodig heeft om verbinding te maken met de Microsoft Graph tiIndicators-API en bedreigingsindicatoren te verzenden
• Neem toestemming van uw organisatie om deze machtigingen te verlenen aan deze toepassing.

Een toepassing registreren met Azure Active Directory

1. Ga vanuit Azure Portal naar de Azure Active Directory service.

2. Selecteer App-registraties in het menu en selecteer Nieuwe registratie.

3. Kies een naam voor uw toepassingsregistratie, selecteer het keuzerondje Eén tenant en selecteer Registreren.

   

4. Kopieer in het resulterende scherm de waarden voor Toepassings-id (client)-id en Map-id (tenant). Dit zijn de eerste twee soorten informatie die u later nodig hebt om uw TIP of aangepaste oplossing te configureren voor het verzenden van bedreigingsindicatoren naar Microsoft Sentinel. De derde, het Clientgeheim, komt later.

Geef de machtigingen op die vereist zijn voor de toepassing

1. Terug naar de hoofdpagina van de Azure Active Directory service.

2. Selecteer App-registraties in het menu en selecteer uw zojuist geregistreerde app.

3. Selecteer API-machtigingen in het menu en selecteer de knop Een machtiging toevoegen.

4. Selecteer op de pagina Een API selecteren de Microsoft Graph-API en kies vervolgens uit een lijst met Microsoft Graph machtigingen.

5. Bij de prompt 'Welk type machtigingen heeft uw toepassing nodig?' Selecteer Toepassingsmachtigingen. Dit is het type machtigingen dat wordt gebruikt door toepassingen die worden authenticeerd met app-id's en app-geheimen (API-sleutels).

6. Selecteer ThreatIndicators.ReadWrite.OwnedBy en selecteer Machtigingen toevoegen om deze machtiging toe te voegen aan de lijst met machtigingen van uw app.

   

Toestemming krijgen van uw organisatie om deze machtigingen te verlenen

1. Als u toestemming wilt krijgen, hebt u een Azure Active Directory-beheerder nodig om de knop Beheerder toestemming verlenen voor uw tenant te selecteren op de pagina API-machtigingen van uw app. Als u niet de rol Globale beheerder voor uw account hebt, is deze knop niet beschikbaar en moet u een globale beheerder van uw organisatie vragen om deze stap uit te voeren.

   

2. Zodra toestemming is verleend aan uw app, ziet u een groen vinkje onder Status.

Nu uw app is geregistreerd en machtigingen zijn verleend, kunt u het laatste op uw lijst zetten: een clientgeheim voor uw app.

1. Terug naar de hoofdpagina van de Azure Active Directory service.

2. Selecteer App-registraties in het menu en selecteer uw zojuist geregistreerde app.

3. Selecteer Certificaten & geheimen in het menu en selecteer de knop Nieuw clientgeheim om een geheim (API-sleutel) voor uw app te ontvangen.

   

4. Selecteer de knop Toevoegen en kopieer het clientgeheim.

   Belangrijk

   U moet het clientgeheim kopiëren voordat u dit scherm verlaat. U kunt dit geheim niet opnieuw ophalen als u van deze pagina weg navigeert. U hebt deze waarde nodig wanneer u uw TIP of aangepaste oplossing configureert.

Voer deze informatie in uw TIP-oplossing of aangepaste toepassing in

U hebt nu alle drie de gegevens die u nodig hebt om uw TIP of aangepaste oplossing te configureren voor het verzenden van bedreigingsindicatoren naar Microsoft Sentinel.

• (Client-)id van de app
• (Tenant-)id van de map
• Clientgeheim

1. Voer deze waarden in de configuratie van uw geïntegreerde TIP of aangepaste oplossing in, indien nodig.

2. Geef Voor het doelproduct Microsoft Sentinel op.

3. Geef voor de actie waarschuwing op.

Zodra deze configuratie is voltooid, worden bedreigingsindicatoren verzonden vanuit uw TIP of aangepaste oplossing, via de Microsoft Graph tiIndicators API, gericht op Microsoft Sentinel.

De gegevensconnector Threat Intelligence Platforms inschakelen in Microsoft Sentinel

De laatste stap in het integratieproces is het inschakelen van de gegevensconnector Threat Intelligence Platforms in Microsoft Sentinel. Als u de connector inschakelen, kan Microsoft Sentinel de bedreigingsindicatoren ontvangen die zijn verzonden via uw TIP of aangepaste oplossing. Deze indicatoren zijn beschikbaar voor alle Microsoft Sentinel-werkruimten voor uw organisatie. Volg deze stappen om de gegevensconnector Threat Intelligence Platforms in te stellen voor elke werkruimte:

1. Ga vanuit Azure Portal naar de Microsoft Sentinel-service.

2. Kies de werkruimte waarin u de bedreigingsindicatoren wilt importeren die zijn verzonden vanuit uw TIP of aangepaste oplossing.

3. Selecteer Gegevensconnectoren in het menu, selecteer Bedreigingsinformatieplatforms in de connectorgalerie en selecteer de knop Connectorpagina openen.

4. Omdat u de app-registratie al hebt voltooid en uw TIP of aangepaste oplossing hebt geconfigureerd voor het verzenden van bedreigingsindicatoren, is de enige stap die u nog moet doen, de knop Verbinding maken selecteren.

Binnen een paar minuten worden bedreigingsindicatoren naar deze Microsoft Sentinel-werkruimte gestroomd. U vindt de nieuwe indicatoren op de blade Bedreigingsinformatie, die toegankelijk is via het navigatiemenu van Microsoft Sentinel.

Volgende stappen

In dit document hebt u geleerd hoe u uw platform voor bedreigingsinformatie kunt verbinden met Microsoft Sentinel. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel.

• Meer informatie over het krijgen van inzicht in uw gegevens en mogelijke bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.