Anslut din plattform för hotinformation till Microsoft Sentinel med API:et för uppladdningsindikatorer
Många organisationer använder TIP-lösningar (Threat Intelligence Platform) för att aggregera hotindikatorflöden från olika källor. Från det aggregerade flödet kureras data för att gälla för säkerhetslösningar som nätverksenheter, Identifiering och åtgärd på slutpunkt/XDR-lösningar eller SIEM:er som Microsoft Sentinel. Med API-dataanslutningen för hotinformationsuppladdningsindikatorer kan du använda dessa lösningar för att importera hotindikatorer till Microsoft Sentinel. Den här dataanslutningsappen använder API:et för Sentinel-uppladdningsindikatorer för att mata in indikatorer för hotinformation i Microsoft Sentinel. Mer information finns i Hotinformation.
Viktigt!
Api:et för uppladdningsindikatorer för Microsoft Sentinel och API :et för uppladdningsindikatorer för hotinformation finns i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Kommentar
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.
Se även: Anslut Microsoft Sentinel till STIX/TAXII-hotinformationsflöden
Förutsättningar
- För att kunna installera, uppdatera och ta bort fristående innehåll eller lösningar i innehållshubben behöver du rollen Microsoft Sentinel-deltagare på resursgruppsnivå.
- Du måste ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan för att lagra dina hotindikatorer.
- Du måste kunna registrera ett Microsoft Entra-program.
- Microsoft Entra-programmet måste beviljas rollen Microsoft Sentinel-deltagare på arbetsytans nivå.
Instruktioner
Följ de här stegen för att importera hotindikatorer till Microsoft Sentinel från din integrerade TIP- eller anpassad hotinformationslösning:
- Registrera ett Microsoft Entra-program och registrera dess program-ID.
- Generera och registrera en klienthemlighet för ditt Microsoft Entra-program.
- Tilldela ditt Microsoft Entra-program rollen som Microsoft Sentinel-deltagare eller motsvarande.
- Aktivera API-dataanslutningsappen för uppladdning av hotinformation i Microsoft Sentinel.
- Konfigurera din TIP-lösning eller anpassade program.
Registrera ett Microsoft Entra-program
Med standardbehörigheter för användarroller kan användare skapa programregistreringar. Om den här inställningen har växlats till Nej behöver du behörighet att hantera program i Microsoft Entra-ID. Någon av följande Microsoft Entra-roller innehåller de behörigheter som krävs:
- Programadministratör
- Programutvecklare
- Molnprogramadministratör
Mer information om hur du registrerar ditt Microsoft Entra-program finns i Registrera ett program.
När du har registrerat programmet registrerar du dess program-ID (klient)-ID från programmets översiktsflik.
Generera och registrera klienthemlighet
Nu när programmet har registrerats genererar och registrerar du en klienthemlighet.
Mer information om hur du genererar en klienthemlighet finns i Lägga till en klienthemlighet.
Tilldela en roll till programmet
API:et för uppladdningsindikatorer matar in hotindikatorer på arbetsytenivå och tillåter microsoft Sentinel-deltagarens minst privilegierade roll.
Från Azure-portalen går du till Log Analytics-arbetsytor.
Välj Åtkomstkontroll (IAM) .
Välj Lägg till>Lägg till rolltilldelning.
På fliken Roll väljer du rollen Microsoft Sentinel-deltagare>Nästa.
På fliken Medlemmar väljer du Tilldela åtkomst till>Användaren, gruppen eller tjänstens huvudnamn.
Välj medlemmar. Som standard visas inte Microsoft Entra-program i de tillgängliga alternativen. Om du vill hitta ditt program söker du efter det efter namn.
Välj>Granska + tilldela.
Mer information om hur du tilldelar roller till program finns i Tilldela en roll till programmet.
Aktivera api-dataanslutningsappen för hotinformationsuppladdningsindikatorer i Microsoft Sentinel
Aktivera API-dataanslutningsappen för hotinformationsuppladdningsindikatorer så att Microsoft Sentinel kan ta emot hotindikatorer som skickas från din TIP eller anpassade lösning. Dessa indikatorer är tillgängliga för den Microsoft Sentinel-arbetsyta som du konfigurerar.
För Microsoft Sentinel i Azure-portalen går du till Innehållshantering och väljer Innehållshubb.
För Microsoft Sentinel i Defender-portalen väljer du Innehållshubben för Innehållshantering i>Microsoft Sentinel>.Leta upp och välj hotinformationslösningen.
Välj knappen Installera/uppdatera.
Mer information om hur du hanterar lösningskomponenterna finns i Identifiera och distribuera out-of-the-box-innehåll.
Dataanslutningsappen visas nu i Konfigurationsdata>Anslut orer. Öppna dataanslutningssidan för att hitta mer information om hur du konfigurerar ditt program med det här API:et.
Konfigurera din TIP-lösning eller anpassade program
Följande konfigurationsinformation som krävs av API:et för uppladdningsindikatorer:
- App-ID (klient-ID)
- Klienthemlighet
- Microsoft Sentinel-arbetsyte-ID
Ange dessa värden i konfigurationen av den integrerade TIP-lösningen eller den anpassade lösningen där det behövs.
Skicka indikatorerna till Microsoft Sentinel-uppladdnings-API:et. Mer information om API:et för uppladdningsindikatorer finns i referensdokumentet FÖR API:et för Uppladdningsindikatorer för Microsoft Sentinel.
Inom några minuter bör hotindikatorer börja flöda till din Microsoft Sentinel-arbetsyta. Hitta de nya indikatorerna på bladet Hotinformation som är tillgänglig från Microsoft Sentinel-navigeringsmenyn.
Dataanslutningsstatusen återspeglar statusen för Anslut ed och diagrammet Mottagna data uppdateras när indikatorerna har skickats.
Relaterat innehåll
I det här dokumentet har du lärt dig hur du ansluter din plattform för hotinformation till Microsoft Sentinel. Mer information om hur du använder hotindikatorer i Microsoft Sentinel finns i följande artiklar.
- Förstå hotinformation.
- Arbeta med hotindikatorer i hela Microsoft Sentinel-upplevelsen.
- Kom igång med att identifiera hot med inbyggda eller anpassade analysregler i Microsoft Sentinel.