Połączenie platformę analizy zagrożeń w usłudze Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Uwaga

Ten łącznik danych znajduje się na ścieżce do wycofania. Więcej szczegółów zostanie opublikowanych na dokładnej osi czasu. Użyj nowego łącznika danych interfejsu API przekazywania analizy zagrożeń dla nowych rozwiązań. Aby uzyskać więcej informacji, zobacz Połączenie platformę analizy zagrożeń do usługi Microsoft Sentinel przy użyciu interfejsu API wskaźników przekazywania.

Wiele organizacji korzysta z rozwiązań platformy analizy zagrożeń (TIP), aby agregować źródła wskaźników zagrożeń z różnych źródeł. Z zagregowanego źródła danych dane są wyselekcjonowane w celu zastosowania do rozwiązań zabezpieczeń, takich jak urządzenia sieciowe, rozwiązania EDR/XDR lub SIEM, takie jak Microsoft Sentinel. Łącznik danych Platformy analizy zagrożeń umożliwia użycie tych rozwiązań do importowania wskaźników zagrożeń do usługi Microsoft Sentinel.

Ponieważ łącznik danych TIP współpracuje z interfejsem API tiIndicators zabezpieczeń programu Microsoft Graph, możesz użyć łącznika do wysyłania wskaźników do usługi Microsoft Sentinel (i innych rozwiązań zabezpieczeń firmy Microsoft, takich jak Microsoft Defender XDR) z dowolnej innej niestandardowej platformy analizy zagrożeń, która może komunikować się z tym interfejsem API.

Dowiedz się więcej na temat analizy zagrożeń w usłudze Microsoft Sentinel oraz produktów platformy analizy zagrożeń, które można zintegrować z usługą Microsoft Sentinel.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

• Aby zainstalować, zaktualizować i usunąć autonomiczną zawartość lub rozwiązania w centrum zawartości, potrzebna jest rola Współautor usługi Microsoft Sentinel na poziomie grupy zasobów.
• Aby udzielić uprawnień do produktu TIP lub innej niestandardowej aplikacji korzystającej z bezpośredniej integracji z interfejsem API tiIndicators zabezpieczeń programu Microsoft Graph, musisz mieć role administratora globalnego lub administratora zabezpieczeń firmy Microsoft.
• Aby przechowywać wskaźniki zagrożeń, musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.

Instrukcje

Wykonaj następujące kroki, aby zaimportować wskaźniki zagrożeń do usługi Microsoft Sentinel ze zintegrowanego rozwiązania TIP lub niestandardowego rozwiązania do analizy zagrożeń:

1. Uzyskiwanie identyfikatora aplikacji i klucza tajnego klienta z identyfikatora entra firmy Microsoft
2. Wprowadź te informacje w rozwiązaniu TIP lub aplikacji niestandardowej
3. Włączanie łącznika danych platform analizy zagrożeń w usłudze Microsoft Sentinel

Rejestrowanie się w celu uzyskania identyfikatora aplikacji i wpisu tajnego klienta z identyfikatora entra firmy Microsoft

Niezależnie od tego, czy pracujesz z poradą, czy z niestandardowym rozwiązaniem, interfejs API tiIndicators wymaga pewnych podstawowych informacji, aby umożliwić łączenie kanału informacyjnego z nim i wysyłanie do niego wskaźników zagrożeń. Trzy potrzebne informacje to:

• Identyfikator aplikacji (klient)
• Identyfikator katalogu (dzierżawcy)
• Klucz tajny klienta

Te informacje można uzyskać z identyfikatora entra firmy Microsoft za pośrednictwem procesu o nazwie Rejestracja aplikacji, który obejmuje następujące trzy kroki:

• Rejestrowanie aplikacji przy użyciu identyfikatora Entra firmy Microsoft
• Określ uprawnienia wymagane przez aplikację do nawiązania połączenia z interfejsem API tiIndicators programu Microsoft Graph i wysyłanie wskaźników zagrożeń
• Uzyskaj zgodę organizacji, aby udzielić tych uprawnień tej aplikacji.

Rejestrowanie aplikacji przy użyciu identyfikatora Entra firmy Microsoft

1. W witrynie Azure Portal przejdź do usługi Microsoft Entra ID .

2. Wybierz pozycję Rejestracje aplikacji z menu i wybierz pozycję Nowa rejestracja.

3. Wybierz nazwę rejestracji aplikacji, wybierz przycisk radiowy Single tenant (Pojedyncza dzierżawa) i wybierz pozycję Register (Zarejestruj).

   

4. Na wyświetlonym ekranie skopiuj wartości Identyfikator aplikacji (klienta) i Identyfikator katalogu (dzierżawy). Są to dwa pierwsze informacje, które będą potrzebne później do skonfigurowania rozwiązania PORADa lub niestandardowego w celu wysyłania wskaźników zagrożeń do usługi Microsoft Sentinel. Trzeci, klucz tajny klienta, przychodzi później.

Określanie uprawnień wymaganych przez aplikację

1. Wróć do strony głównej usługi Microsoft Entra ID .

2. Wybierz pozycję Rejestracje aplikacji z menu i wybierz nowo zarejestrowaną aplikację.

3. Wybierz pozycję Uprawnienia interfejsu API z menu i wybierz przycisk Dodaj uprawnienie .

4. Na stronie Wybieranie interfejsu API wybierz interfejs API programu Microsoft Graph, a następnie wybierz z listy uprawnień programu Microsoft Graph .

5. W wierszu polecenia "Jakiego typu uprawnienia wymaga Aplikacja?" wybierz pozycję Uprawnienia aplikacji. Jest to typ uprawnień używanych przez aplikacje uwierzytelniające się za pomocą identyfikatora aplikacji i wpisów tajnych aplikacji (kluczy interfejsu API).

6. Wybierz pozycję ThreatIndicators.ReadWrite.OwnedBy i wybierz pozycję Dodaj uprawnienia , aby dodać to uprawnienie do listy uprawnień aplikacji.

   

Uzyskiwanie zgody od organizacji w celu udzielenia tych uprawnień

1. Aby uzyskać zgodę, musisz Administracja istrator globalny firmy Microsoft, aby wybrać przycisk Udziel zgody administratora dla dzierżawy na stronie uprawnień interfejsu API aplikacji. Jeśli nie masz roli globalnego Administracja istratora na twoim koncie, ten przycisk nie będzie dostępny i musisz poprosić administratora globalnego Administracja istratora z organizacji, aby wykonać ten krok.

   

2. Po udzieleniu zgody aplikacji powinien zostać wyświetlony zielony znacznik wyboru w obszarze Stan.

Po zarejestrowaniu aplikacji i udzieleniu uprawnień możesz uzyskać ostatnią pozycję na liście — wpis tajny klienta dla aplikacji.

1. Wróć do strony głównej usługi Microsoft Entra ID .

2. Wybierz pozycję Rejestracje aplikacji z menu i wybierz nowo zarejestrowaną aplikację.

3. Wybierz pozycję Certyfikaty i wpisy tajne z menu i wybierz przycisk Nowy klucz tajny klienta, aby otrzymać wpis tajny (klucz interfejsu API) dla aplikacji.

   

4. Wybierz przycisk Dodaj i skopiuj klucz tajny klienta.

   Ważne

   Przed opuszczeniem tego ekranu należy skopiować klucz tajny klienta. Nie można ponownie pobrać tego wpisu tajnego, jeśli przejdziesz z tej strony. Ta wartość będzie potrzebna podczas konfigurowania rozwiązania PORADa lub niestandardowego.

Wprowadź te informacje w rozwiązaniu TIP lub aplikacji niestandardowej

Masz teraz wszystkie trzy informacje potrzebne do skonfigurowania rozwiązania TIP lub niestandardowego w celu wysyłania wskaźników zagrożeń do usługi Microsoft Sentinel.

• Identyfikator aplikacji (klient)
• Identyfikator katalogu (dzierżawcy)
• Klucz tajny klienta

1. Wprowadź te wartości w konfiguracji zintegrowanego rozwiązania TIP lub niestandardowego, jeśli jest to wymagane.

2. W przypadku produktu docelowego określ usługę Azure Sentinel. (Określenie wartości "Microsoft Sentinel" spowoduje wystąpienie błędu).

3. W przypadku akcji określ alert.

Po zakończeniu tej konfiguracji wskaźniki zagrożeń będą wysyłane z rozwiązania TIP lub niestandardowego za pośrednictwem interfejsu API tiIndicators programu Microsoft Graph przeznaczonego dla usługi Microsoft Sentinel.

Włączanie łącznika danych platform analizy zagrożeń w usłudze Microsoft Sentinel

Ostatnim krokiem procesu integracji jest włączenie łącznika danych Platformy analizy zagrożeń w usłudze Microsoft Sentinel. Włączenie łącznika umożliwia usłudze Microsoft Sentinel odbieranie wskaźników zagrożeń wysyłanych z rozwiązania TIP lub niestandardowego. Te wskaźniki będą dostępne dla wszystkich obszarów roboczych usługi Microsoft Sentinel dla Twojej organizacji. Wykonaj następujące kroki, aby włączyć łącznik danych platform analizy zagrożeń dla każdego obszaru roboczego:

1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.
   W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Centrum zawartości zarządzania zawartością>usługi Microsoft Sentinel.>

2. Znajdź i wybierz rozwiązanie analizy zagrożeń.

3. Wybierz przycisk Zainstaluj/Aktualizuj.

Aby uzyskać więcej informacji na temat zarządzania składnikami rozwiązania, zobacz Odnajdywanie i wdrażanie gotowej zawartości.

1. Aby skonfigurować łącznik danych TIP, wybierz pozycję Łączniki danych konfiguracji>.

2. Znajdź i wybierz przycisk Otwórz łącznik > danych Platformy analizy zagrożeń.

   

3. Po zakończeniu rejestracji aplikacji i skonfigurowaniu rozwiązania TIP lub niestandardowego do wysyłania wskaźników zagrożeń jedynym krokiem jest wybranie przycisku Połączenie.

W ciągu kilku minut wskaźniki zagrożeń powinny zacząć przepływać do tego obszaru roboczego usługi Microsoft Sentinel. Nowe wskaźniki można znaleźć w bloku Analiza zagrożeń dostępne w menu nawigacji usługi Microsoft Sentinel.

Powiązana zawartość

W tym dokumencie przedstawiono sposób łączenia platformy analizy zagrożeń z usługą Microsoft Sentinel. Aby dowiedzieć się więcej na temat usługi Microsoft Sentinel, zobacz następujące artykuły.

• Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
• Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.