Conectar dados de provedores de inteligência contra ameaçasConnect data from threat intelligence providers

Importante

Os conectores de dados de inteligência contra ameaças no Azure Sentinel estão atualmente em visualização pública.The Threat Intelligence data connectors in Azure Sentinel are currently in public preview. Esse recurso é fornecido sem um contrato de nível de serviço e não é recomendado para cargas de trabalho de produção.This feature is provided without a service level agreement, and it's not recommended for production workloads. Alguns recursos podem não ter suporte ou podem ter restrição de recursos.Certain features might not be supported or might have constrained capabilities. Para obter mais informações, consulte Termos de Uso Complementares de Versões Prévias do Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

O Azure Sentinel permite que você importe os indicadores de ameaça que sua organização está usando, o que pode aprimorar a capacidade dos analistas de segurança de detectar e priorizar ameaças conhecidas.Azure Sentinel lets you import the threat indicators your organization is using, which can enhance your security analysts' ability to detect and prioritize known threats. Vários recursos do Azure Sentinel ficam disponíveis ou são aprimorados:Several features from Azure Sentinel then become available or are enhanced:

  • O Analytics inclui um conjunto de modelos de regras agendadas que você pode habilitar para gerar alertas e incidentes com base em correspondências de eventos de log de seus indicadores de ameaça.Analytics includes a set of scheduled rule templates you can enable to generate alerts and incidents based on matches of log events from your threat indicators.

  • As pastas de trabalho fornecem informações resumidas sobre os indicadores de ameaça importados para o Azure Sentinel e quaisquer alertas gerados por meio de regras de análise que correspondam aos indicadores de ameaça.Workbooks provide summarized information about the threat indicators imported into Azure Sentinel and any alerts generated from analytics rules that match your threat indicators.

  • As consultas de busca permitem que os investigadores de segurança usem indicadores de ameaça no contexto de cenários de busca comuns.Hunting queries allow security investigators to use threat indicators within the context of common hunting scenarios.

  • Os notebooks podem usar indicadores de ameaça quando você investiga anomalias e busca por comportamentos mal-intencionados.Notebooks can use threat indicators when you investigate anomalies and hunt for malicious behaviors.

Você pode transmitir indicadores de ameaça para o Azure Sentinel usando um dos produtos de dica (plataforma de inteligência contra ameaças) integrados listados na próxima seção, conectando-se a servidores de TÁXIs ou usando a integração direta com a API do Microsoft Graph Security tiIndicators.You can stream threat indicators to Azure Sentinel by using one of the integrated threat intelligence platform (TIP) products listed in the next section, connecting to TAXII servers, or by using direct integration with the Microsoft Graph Security tiIndicators API.

Produtos integrados da plataforma de inteligência contra ameaçasIntegrated threat intelligence platform products

Conecte o Azure Sentinel à sua plataforma de inteligência contra ameaçasConnect Azure Sentinel to your threat intelligence platform

pré-requisitosPrerequisites

  • Função do Azure AD de administrador global ou administrador de segurança para conceder permissões ao seu produto TIP ou aplicativo personalizado que usa a integração direta com a API do Microsoft Graph Security tiIndicators.Azure AD role of either Global administrator or Security administrator to grant permissions to your TIP product or custom application that uses direct integration with the Microsoft Graph Security tiIndicators API.

  • Permissões de leitura e gravação para o espaço de trabalho do Azure Sentinel para armazenar seus indicadores de ameaça.Read and write permissions to the Azure Sentinel workspace to store your threat indicators.

InstruçõesInstructions

  1. Registre um aplicativo no Azure Active Directory para obter uma ID do aplicativo, segredo do aplicativo e Azure Active Directory ID do locatário.Register an application in Azure Active Directory to get an application ID, application secret, and Azure Active Directory tenant ID. Você precisa desses valores para quando configura seu produto ou aplicativo da TIP integrado que usa a integração direta com a API do Microsoft Graph Security tiIndicators.You need these values for when you configure your integrated TIP product or app that uses direct integration with Microsoft Graph Security tiIndicators API.

  2. Configurar permissões de API para o aplicativo registrado: Adicione a permissão de aplicativo Microsoft Graph ThreatIndicators. ReadWrite. OwnedBy ao seu aplicativo registrado.Configure API permissions for the registered application: Add the Microsoft Graph Application permission ThreatIndicators.ReadWrite.OwnedBy to your registered application.

  3. Peça ao administrador de locatários do Azure Active Directory para conceder consentimento de administrador para o aplicativo registrado para sua organização.Ask your Azure Active Directory tenant administrator to grant admin consent to the registered application for your organization. Na portal do Azure: Azure Active Directory > registros de aplicativo > < nome do aplicativo> > exibir permissões de API > conceder consentimento do administrador para <nome do locatário >.From the Azure portal: Azure Active Directory > App registrations > <app name> > View API Permissions > Grant admin consent for <tenant name>.

  4. Configure seu produto ou aplicativo TIP que usa a integração direta com a API do Microsoft Graph Security tiIndicators para enviar indicadores para o Azure Sentinel, especificando o seguinte:Configure your TIP product or app that uses direct integration with Microsoft Graph Security tiIndicators API to send indicators to Azure Sentinel by specifying the following:

    a.a. Os valores para a ID, o segredo e a ID do locatário do aplicativo registrado.The values for the registered application's ID, secret, and tenant ID.

    b.b. Para o produto de destino, especifique Azure Sentinel.For the target product, specify Azure Sentinel.

    c.c. Para a ação, especifique alerta.For the action, specify alert.

  5. Na portal do Azure, navegue até Azure Sentinel > conectores de dados e selecione o conector de plataformas de inteligência contra ameaças (versão prévia) .In the Azure portal, navigate to Azure Sentinel > Data connectors and then select the Threat Intelligence Platforms (Preview) connector.

  6. Selecione a página abrir conectore Conecte-se.Select Open connector page, and then Connect.

  7. Para exibir os indicadores de ameaça importados para o Azure Sentinel, navegue até Azure Sentinel-Logs > SecurityInsightse, em seguida, expanda ThreatIntelligenceIndicator.To view the threat indicators imported into Azure Sentinel, navigate to Azure Sentinel - Logs > SecurityInsights, and then expand ThreatIntelligenceIndicator.

Conectar o Azure Sentinel a servidores TÁXIiConnect Azure Sentinel to TAXII servers

pré-requisitosPrerequisites

  • Permissões de leitura e gravação para o espaço de trabalho do Azure Sentinel para armazenar seus indicadores de ameaça.Read and write permissions to the Azure Sentinel workspace to store your threat indicators.

  • URI do servidor de TÁXIi 2,0 e ID da coleção.TAXII 2.0 server URI and Collection ID.

InstruçõesInstructions

  1. Na portal do Azure, navegue até Azure Sentinel > conectores de dados e selecione o conector Threat Intelligence-táxii (visualização) .In the Azure portal, navigate to Azure Sentinel > Data connectors and then select the Threat Intelligence - TAXII (Preview) connector.

  2. Selecione a página abrir conector.Select Open connector page.

  3. Especifique as informações necessárias e opcionais nas caixas de texto.Specify the required and optional information in the text boxes.

  4. Selecione Adicionar para habilitar a conexão com o servidor táxii 2,0.Select Add to enable the connection to the TAXII 2.0 server.

  5. Se você tiver servidores adicionais de TÁXIi 2,0: Repita as etapas 3 e 4.If you have additional TAXII 2.0 servers: Repeat steps 3 and 4.

  6. Para exibir os indicadores de ameaça importados para o Azure Sentinel, navegue até Azure Sentinel-Logs > SecurityInsightse, em seguida, expanda ThreatIntelligenceIndicator.To view the threat indicators imported into Azure Sentinel, navigate to Azure Sentinel - Logs > SecurityInsights, and then expand ThreatIntelligenceIndicator.

Próximas etapasNext steps

Neste documento, você aprendeu a conectar seu provedor de inteligência contra ameaças ao Azure Sentinel.In this document, you learned how to connect your threat intelligence provider to Azure Sentinel. Para saber mais sobre o Azure Sentinel, consulte os artigos a seguir.To learn more about Azure Sentinel, see the following articles.