Conector da API de Indicadores de Upload de Inteligência contra Ameaças (pré-visualização) para o Microsoft Sentinel
O Microsoft Sentinel oferece uma API de plano de dados para trazer inteligência contra ameaças de sua Plataforma de Inteligência contra Ameaças (TIP, em inglês), como Threat Connect, Palo Alto Networks MineMeld, MISP ou outros aplicativos integrados. Os indicadores de ameaça podem incluir endereços IP, domínios, URLs, hashes de arquivo e endereços de e-mail.
Atributos do conector
| Atributo do conector | Description |
|---|---|
| Tabela(s) do Log Analytics | ThreatIntelligenceIndicator |
| Suporte às regras de coleta de dados | Sem suporte no momento |
| Com suporte por | Microsoft Corporation |
Exemplos de consulta
Todos os indicadores de APIs de Inteligência contra Ameaças
ThreatIntelligenceIndicator
| where SourceSystem !in ('SecurityGraph', 'Azure Sentinel', 'Microsoft Sentinel')
| sort by TimeGenerated desc
Instruções de instalação do fornecedor
Você pode conectar sua fontes de dados de inteligência contra ameaças ao Microsoft Sentinel:
Usando uma Plataforma integrada de Inteligência contra Ameaças (TIP, em inglês), como Threat Connect, Palo Alto Networks MineMeld, MISP e outros.
Chamar a API do plano de dados do Microsoft Sentinel diretamente de outro aplicativo.
Siga estas etapas para se conectar à inteligência contra ameaças:
Obter um token de acesso do Microsoft Entra
Para enviar solicitação para as APIs, você precisa adquirir o token de acesso do Microsoft Entra. Você pode seguir as instruções nesta página: Obter tokens do Microsoft Entra para usuários usando o MSAL.
- Aviso: solicite o token de acesso do Microsoft Entra com o valor de escopo apropriado.
Você pode enviar indicadores chamando nossa API de Indicadores de Upload. Para obter mais informações sobre API, clique aqui.
HTTP method: POST
Endpoint: https://sentinelus.azure-api.net/workspaces/[WorkspaceID]/threatintelligenceindicators:upload?api-version=2022-07-01
WorkspaceID: the workspace that the indicators are uploaded to.
Header Value 1: "Authorization" = "Bearer [AAD Access Token from step 1]"
Header Value 2: "Content-Type" = "application/json"
Body: The body is a JSON object containing an array of indicators in STIX format.'title : 2. Send indicators to Sentinel'
Próximas etapas
Para obter mais informações, acesse a solução relacionada no Azure Marketplace.