Anslut din hotinformationsplattform till Microsoft Sentinel

  • Artikel
  • 5 minuter för att läsa

Anteckning

Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.

Anteckning

Information om funktionstillgänglighet i US Government-moln finns i Microsoft Sentinel-tabeller i Cloud feature availability for US Government customers (Funktionstillgänglighet för amerikanska myndigheter).

Se även: Anslut Microsoft Sentinel till STIX/TAXII-hotinformationsfeeds

Många organisationer använder hotinformationsplattformslösningar (TIP) för att aggregera hotindikator från olika källor, för att sammanställa data inom plattformen och sedan välja vilka hotindikatorer som ska tillämpas på olika säkerhetslösningar, till exempel nätverksenheter, Identifiering och åtgärd på slutpunkt/XDR-lösningar eller SIEM:er som Microsoft Sentinel. Med dataanslutningen Threat Intelligence Platforms kan du använda dessa lösningar för att importera hotindikatorer till Microsoft Sentinel.

Eftersom tip-dataanslutningsappen fungerar med Microsoft Graph Security-API:et tiIndicators för att åstadkomma detta kan du använda anslutningsappen för att skicka indikatorer till Microsoft Sentinel (och till andra Microsoft-säkerhetslösningar som Microsoft 365 Defender) från valfri annan plattform för anpassad hotinformation som kan kommunicera med det API:et.

Importsökväg för hotinformation

Läs mer om Hotinformation i Microsoft Sentinel och mer specifikt om de hotinformationsplattformsprodukter som kan integreras med Microsoft Sentinel.

Förutsättningar

  • Du måste antingen ha Azure AD-rollerna Global administratör eller Säkerhetsadministratör för att kunna bevilja behörigheter till din TIPS-produkt eller till andra anpassade program som använder direkt integrering med Microsoft Graph Security-api:et tiIndicators.

  • Du måste ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan för att lagra dina hotindikatorer.

Instruktioner

Följ de här stegen för att importera hotindikatorer till Microsoft Sentinel från din integrerade tips- eller anpassade hotinformationslösning:

  1. Hämta ett program-ID och en klienthemlighet från din Azure Active Directory
  2. Ange den här informationen i din TIPS-lösning eller i ett anpassat program
  3. Aktivera dataanslutningen För hotinformationsplattformar i Microsoft Sentinel

Registrera dig för ett program-ID och en klienthemlighet från din Azure Active Directory

Oavsett om du arbetar med ett tips eller med en anpassad lösning kräver tiIndicators-API:et viss grundläggande information så att du kan ansluta feeden till den och skicka hotindikatorer. De tre uppgifter du behöver är:

  • Program-ID (klient)
  • Katalog-ID (klient)
  • Klienthemlighet

Du kan hämta den här informationen från Azure Active Directory via en process som kallas Appregistrering som innehåller följande tre steg:

  • Registrera en app på Azure Active Directory
  • Ange de behörigheter som krävs av appen för att ansluta till Microsoft Graph tiIndicators API och skicka hotindikatorer
  • Få tillstånd från din organisation att bevilja dessa behörigheter till det här programmet.

Registrera ett program med Azure Active Directory

  1. Från Azure Portal navigerar du till Azure Active Directory tjänsten.

  2. Välj Appregistreringar på menyn och välj Ny registrering.

  3. Välj ett namn för din programregistrering, välj alternativknappen Enkel klient och välj Registrera.

    Registrera ett program

  4. Kopiera värdena program-ID (klient) och katalog-ID (klient) från skärmen som visas. Det här är de två första informationsdelarna som du behöver senare för att konfigurera ditt tips eller din anpassade lösning för att skicka hotindikatorer till Microsoft Sentinel. Den tredje, klienthemligheten, kommer senare.

Ange de behörigheter som krävs av programmet

  1. Gå tillbaka till huvudsidan i Azure Active Directory tjänsten.

  2. Välj Appregistreringar på menyn och välj din nyligen registrerade app.

  3. Välj API-behörigheter på menyn och välj knappen Lägg till en behörighet.

  4. På sidan Välj ett API väljer du Microsoft Graph API och väljer sedan från en lista över Microsoft Graph behörigheter.

  5. Vid uppmaningen "Vilken typ av behörigheter kräver ditt program?" välj Programbehörigheter. Det här är den typ av behörigheter som används av program som autentiserar med app-ID och apphemligheter (API-nycklar).

  6. Välj ThreatIndicators.ReadWrite.OwnedBy och välj Lägg till behörigheter för att lägga till den här behörigheten i appens lista över behörigheter.

    Ange behörigheter

  1. För att få medgivande behöver du Azure Active Directory global administratör för att välja knappen Bevilja administratörsmedgivande för din klientorganisation på appens API-behörighetssida. Om du inte har rollen Global administratör för ditt konto är den här knappen inte tillgänglig och du måste be en global administratör från din organisation att utföra det här steget.

    Bevilja medgivande

  2. När ditt medgivande har beviljats till din app bör du se en grön bock under Status.

Nu när din app har registrerats och behörigheter har beviljats kan du hämta det sista i listan – en klienthemlighet för din app.

  1. Gå tillbaka till huvudsidan i Azure Active Directory tjänsten.

  2. Välj Appregistreringar på menyn och välj din nyligen registrerade app.

  3. Välj Certifikat & hemligheter på menyn och välj knappen Ny klienthemlighet för att ta emot en hemlighet (API-nyckel) för din app.

    Hämta klienthemlighet

  4. Välj knappen Lägg till och kopiera klienthemligheten.

    Viktigt

    Du måste kopiera klienthemligheten innan du lämnar den här skärmen. Du kan inte hämta den här hemligheten igen om du navigerar bort från den här sidan. Du behöver det här värdet när du konfigurerar tipset eller den anpassade lösningen.

Ange den här informationen i din TIPS-lösning eller i ett anpassat program

Nu har du alla tre informationsdelar som du behöver för att konfigurera ditt TIPS eller din anpassade lösning för att skicka hotindikatorer till Microsoft Sentinel.

  • Program-ID (klient)
  • Katalog-ID (klient)
  • Klienthemlighet

  1. Ange dessa värden i konfigurationen av din integrerade TIPS eller anpassade lösning där det behövs.

  2. För målprodukten anger du Microsoft Sentinel.

  3. För åtgärden anger du aviseringen.

När den här konfigurationen är klar skickas hotindikatorerna från ditt tips eller din anpassade lösning via Microsoft Graph tiIndicators API, som är riktat mot Microsoft Sentinel.

Aktivera dataanslutningen För hotinformationsplattformar i Microsoft Sentinel

Det sista steget i integreringsprocessen är att aktivera dataanslutningen För hotinformationsplattformar i Microsoft Sentinel. Att aktivera anslutningsappen är det som gör att Microsoft Sentinel kan ta emot de hotindikatorer som skickas från ditt tips eller din anpassade lösning. Dessa indikatorer kommer att vara tillgängliga för alla Microsoft Sentinel-arbetsytor för din organisation. Följ de här stegen för att aktivera dataanslutningen För hotinformationsplattformar för varje arbetsyta:

  1. Från Azure Portal navigerar du till Microsoft Sentinel-tjänsten.

  2. Välj den arbetsyta som du vill importera hotindikatorerna som skickas från tipset eller den anpassade lösningen.

  3. Välj Dataanslutningsappar på menyn, välj Hotinformationsplattformar i galleriet med anslutningsappar och välj knappen Öppna anslutningssidan.

  4. Eftersom du redan har slutfört appregistreringen och konfigurerat ditt TIPS eller din anpassade lösning för att skicka hotindikatorer är det enda steget kvar att välja Anslut knappen.

Inom några minuter bör hotindikatorer börja flöda till den här Microsoft Sentinel-arbetsytan. Du hittar de nya indikatorerna på bladet Hotinformation som är tillgängliga från Microsoft Sentinel-navigeringsmenyn.

Nästa steg

I det här dokumentet har du lärt dig hur du ansluter din hotinformationsplattform till Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar.