Anslut din plattform för hotinformation till Microsoft Sentinel

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Kommentar

Den här dataanslutningsappen är på en sökväg för utfasning. Mer information kommer att publiceras på den exakta tidslinjen. Använd de nya hotinformationsöverföringsindikatorerna API Data Connector för nya lösningar framöver. Mer information finns i Anslut din plattform för hotinformation till Microsoft Sentinel med API:et för uppladdningsindikatorer.

Många organisationer använder TIP-lösningar (Threat Intelligence Platform) för att aggregera hotindikatorflöden från olika källor. Från det aggregerade flödet kureras data för att gälla för säkerhetslösningar som nätverksenheter, Identifiering och åtgärd på slutpunkt/XDR-lösningar eller SIEM:er som Microsoft Sentinel. Med dataanslutningen Hotinformationsplattformar kan du använda dessa lösningar för att importera hotindikatorer till Microsoft Sentinel.

Eftersom TIP-dataanslutningsappen fungerar med Microsoft Graph Security tiIndicators-API :et för att åstadkomma detta kan du använda anslutningsappen för att skicka indikatorer till Microsoft Sentinel (och till andra Microsoft-säkerhetslösningar som Microsoft Defender XDR) från alla andra anpassade plattformer för hotinformation som kan kommunicera med det API:et.

Läs mer om hotinformation i Microsoft Sentinel och specifikt om produkter för plattformen för hotinformation som kan integreras med Microsoft Sentinel.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Förutsättningar

• För att kunna installera, uppdatera och ta bort fristående innehåll eller lösningar i innehållshubben behöver du rollen Microsoft Sentinel-deltagare på resursgruppsnivå.
• Du måste ha microsoft entra-roller som global administratör eller säkerhetsadministratör för att ge behörighet till din TIP-produkt eller till andra anpassade program som använder direkt integrering med Microsoft Graph Security tiIndicators-API:et.
• Du måste ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan för att lagra dina hotindikatorer.

Instruktioner

Följ de här stegen för att importera hotindikatorer till Microsoft Sentinel från din integrerade TIP- eller anpassad hotinformationslösning:

1. Hämta ett program-ID och en klienthemlighet från ditt Microsoft Entra-ID
2. Ange den här informationen i din TIP-lösning eller ditt anpassade program
3. Aktivera dataanslutningsappen Threat Intelligence Platforms i Microsoft Sentinel

Registrera dig för ett program-ID och en klienthemlighet från ditt Microsoft Entra-ID

Oavsett om du arbetar med ett TIPS eller med en anpassad lösning kräver tiIndicators-API:et viss grundläggande information så att du kan ansluta ditt flöde till det och skicka hotindikatorer. De tre informationsdelarna du behöver är:

• Program-ID (klient-ID)
• Katalog-ID (klientorganisation)
• Klienthemlighet

Du kan hämta den här informationen från ditt Microsoft Entra-ID genom en process som kallas appregistrering som innehåller följande tre steg:

• Registrera en app med Microsoft Entra-ID
• Ange de behörigheter som krävs av appen för att ansluta till Microsoft Graph tiIndicators-API:et och skicka hotindikatorer
• Få tillstånd från din organisation att bevilja dessa behörigheter till det här programmet.

Registrera ett program med Microsoft Entra-ID

1. Från Azure-portalen går du till Microsoft Entra ID-tjänsten .

2. Välj Appregistreringar på menyn och välj Ny registrering.

3. Välj ett namn för programregistreringen , välj alternativknappen Enskild klientorganisation och välj Registrera.

   

4. På den resulterande skärmen kopierar du värdena för program-ID och katalog-ID (klientorganisation). Det här är de första två informationsdelarna som du behöver senare för att konfigurera din TIP eller anpassade lösning för att skicka hotindikatorer till Microsoft Sentinel. Den tredje, klienthemligheten, kommer senare.

Ange de behörigheter som krävs av programmet

1. Gå tillbaka till huvudsidan för Microsoft Entra ID-tjänsten .

2. Välj Appregistreringar på menyn och välj din nyligen registrerade app.

3. Välj API-behörigheter på menyn och välj knappen Lägg till en behörighet .

4. På sidan Välj ett API väljer du Microsoft Graph API och väljer sedan från en lista med Microsoft Graph-behörigheter.

5. I kommandotolken "Vilken typ av behörigheter kräver ditt program?" väljer du Programbehörigheter. Det här är den typ av behörigheter som används av program som autentiserar med app-ID och apphemligheter (API-nycklar).

6. Välj ThreatIndicators.ReadWrite.OwnedBy och välj Lägg till behörigheter för att lägga till den här behörigheten i appens lista över behörigheter.

   

Få medgivande från din organisation för att bevilja dessa behörigheter

1. För att få medgivande behöver du en global Microsoft Entra-administratör för att välja knappen Bevilja administratörsmedgivande för din klientorganisation på appens API-behörighetssida. Om du inte har rollen Global administratör för ditt konto är den här knappen inte tillgänglig och du måste be en global administratör från din organisation att utföra det här steget.

   

2. När medgivandet har beviljats till din app bör du se en grön bockmarkering under Status.

Nu när din app har registrerats och behörigheter har beviljats kan du få det sista i listan – en klienthemlighet för din app.

1. Gå tillbaka till huvudsidan för Microsoft Entra ID-tjänsten .

2. Välj Appregistreringar på menyn och välj din nyligen registrerade app.

3. Välj Certifikat och hemligheter på menyn och välj knappen Ny klienthemlighet för att ta emot en hemlighet (API-nyckel) för din app.

   

4. Välj knappen Lägg till och kopiera klienthemligheten.

   Viktigt!

   Du måste kopiera klienthemligheten innan du lämnar den här skärmen. Du kan inte hämta den här hemligheten igen om du navigerar bort från den här sidan. Du behöver det här värdet när du konfigurerar din TIPS- eller anpassade lösning.

Ange den här informationen i din TIP-lösning eller ditt anpassade program

Nu har du all information som du behöver för att konfigurera din TIP eller anpassade lösning för att skicka hotindikatorer till Microsoft Sentinel.

• Program-ID (klient-ID)
• Katalog-ID (klientorganisation)
• Klienthemlighet

1. Ange dessa värden i konfigurationen av den integrerade TIP-lösningen eller den anpassade lösningen där det behövs.

2. För målprodukten anger du Azure Sentinel. (Om du anger "Microsoft Sentinel" uppstår ett fel.)

3. För åtgärden anger du avisering.

När den här konfigurationen är klar skickas hotindikatorer från din TIP eller din anpassade lösning, via Microsoft Graph tiIndicators-API:et som riktar sig till Microsoft Sentinel.

Aktivera dataanslutningsappen Threat Intelligence Platforms i Microsoft Sentinel

Det sista steget i integreringsprocessen är att aktivera dataanslutningsappen Hotinformationsplattformar i Microsoft Sentinel. Att aktivera anslutningsappen är det som gör att Microsoft Sentinel kan ta emot hotindikatorerna som skickas från din TIP eller din anpassade lösning. Dessa indikatorer kommer att vara tillgängliga för alla Microsoft Sentinel-arbetsytor för din organisation. Följ de här stegen för att aktivera dataanslutningen Hotinformationsplattformar för varje arbetsyta:

1. För Microsoft Sentinel i Azure-portalen går du till Innehållshantering och väljer Innehållshubb.
   För Microsoft Sentinel i Defender-portalen väljer du Innehållshubben för Innehållshantering i>Microsoft Sentinel>.

2. Leta upp och välj hotinformationslösningen.

3. Välj knappen Installera/uppdatera.

Mer information om hur du hanterar lösningskomponenterna finns i Identifiera och distribuera out-of-the-box-innehåll.

1. Om du vill konfigurera TIP-dataanslutningen väljer du Anslutningsappar för konfigurationsdata>.

2. Leta upp och välj dataanslutningsknappen >Öppna anslutningsappen för Hotinformationsplattformar.

   

3. Eftersom du redan har slutfört appregistreringen och konfigurerat din TIPS- eller anpassade lösning för att skicka hotindikatorer är det enda steget kvar att välja knappen Anslut.

Inom några minuter bör hotindikatorer börja flöda in på den här Microsoft Sentinel-arbetsytan. Du hittar de nya indikatorerna på bladet Hotinformation som är tillgänglig från Microsoft Sentinel-navigeringsmenyn.

Relaterat innehåll

I det här dokumentet har du lärt dig hur du ansluter din plattform för hotinformation till Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar.

• Lär dig hur du får insyn i dina data och potentiella hot.
• Kom igång med att identifiera hot med Microsoft Sentinel.