Anslut din plattform för hotinformation till Microsoft Sentinel med API:et för uppladdningsindikatorer

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Många organisationer använder TIP-lösningar (Threat Intelligence Platform) för att aggregera hotindikatorflöden från olika källor. Från det aggregerade flödet kureras data för att gälla för säkerhetslösningar som nätverksenheter, Identifiering och åtgärd på slutpunkt/XDR-lösningar eller SIEM:er som Microsoft Sentinel. Med API-dataanslutningen för hotinformationsuppladdningsindikatorer kan du använda dessa lösningar för att importera hotindikatorer till Microsoft Sentinel. Den här dataanslutningsappen använder API:et för Sentinel-uppladdningsindikatorer för att mata in indikatorer för hotinformation i Microsoft Sentinel. Mer information finns i Hotinformation.

Importsökväg för hotinformation

Viktigt!

Api:et för uppladdningsindikatorer för Microsoft Sentinel och API :et för uppladdningsindikatorer för hotinformation finns i FÖRHANDSVERSION. Se kompletterande användningsvillkor för Förhandsversioner av Microsoft Azure för ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Se även: Anslut Microsoft Sentinel till STIX/TAXII-hotinformationsflöden

Förutsättningar

  • För att kunna installera, uppdatera och ta bort fristående innehåll eller lösningar i innehållshubben behöver du rollen Microsoft Sentinel-deltagare på resursgruppsnivå.
  • Du måste ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan för att lagra dina hotindikatorer.
  • Du måste kunna registrera ett Microsoft Entra-program.
  • Microsoft Entra-programmet måste beviljas rollen Microsoft Sentinel-deltagare på arbetsytans nivå.

Instruktioner

Följ de här stegen för att importera hotindikatorer till Microsoft Sentinel från din integrerade TIP- eller anpassad hotinformationslösning:

  1. Registrera ett Microsoft Entra-program och registrera dess program-ID.
  2. Generera och registrera en klienthemlighet för ditt Microsoft Entra-program.
  3. Tilldela ditt Microsoft Entra-program rollen som Microsoft Sentinel-deltagare eller motsvarande.
  4. Aktivera API-dataanslutningsappen för uppladdning av hotinformation i Microsoft Sentinel.
  5. Konfigurera din TIP-lösning eller anpassade program.

Registrera ett Microsoft Entra-program

Med standardbehörigheter för användarroller kan användare skapa programregistreringar. Om den här inställningen har växlats till Nej behöver du behörighet att hantera program i Microsoft Entra-ID. Någon av följande Microsoft Entra-roller innehåller de behörigheter som krävs:

  • Programadministratör
  • Programutvecklare
  • Molnprogramadministratör

Mer information om hur du registrerar ditt Microsoft Entra-program finns i Registrera ett program.

När du har registrerat programmet registrerar du dess program-ID (klient)-ID från programmets översiktsflik.

Generera och registrera klienthemlighet

Nu när programmet har registrerats genererar och registrerar du en klienthemlighet.

Skärmbild som visar klienthemlighetsgenerering.

Mer information om hur du genererar en klienthemlighet finns i Lägga till en klienthemlighet.

Tilldela en roll till programmet

API:et för uppladdningsindikatorer matar in hotindikatorer på arbetsytenivå och tillåter microsoft Sentinel-deltagarens minst privilegierade roll.

  1. Från Azure-portalen går du till Log Analytics-arbetsytor.

  2. Välj Åtkomstkontroll (IAM) .

  3. Välj Lägg till>Lägg till rolltilldelning.

  4. På fliken Roll väljer du rollen Microsoft Sentinel-deltagare>Nästa.

  5. På fliken Medlemmar väljer du Tilldela åtkomst till>Användaren, gruppen eller tjänstens huvudnamn.

  6. Välj medlemmar. Som standard visas inte Microsoft Entra-program i de tillgängliga alternativen. Om du vill hitta ditt program söker du efter det efter namn. Skärmbild som visar den Roll för Microsoft Sentinel-deltagare som tilldelats programmet på arbetsytenivå.

  7. Välj>Granska + tilldela.

Mer information om hur du tilldelar roller till program finns i Tilldela en roll till programmet.

Aktivera api-dataanslutningsappen för hotinformationsuppladdningsindikatorer i Microsoft Sentinel

Aktivera API-dataanslutningsappen för hotinformationsuppladdningsindikatorer så att Microsoft Sentinel kan ta emot hotindikatorer som skickas från din TIP eller anpassade lösning. Dessa indikatorer är tillgängliga för den Microsoft Sentinel-arbetsyta som du konfigurerar.

  1. För Microsoft Sentinel i Azure-portalen går du till Innehållshantering och väljer Innehållshubb.
    För Microsoft Sentinel i Defender-portalen väljer du Innehållshubben för Innehållshantering i>Microsoft Sentinel>.

  2. Leta upp och välj hotinformationslösningen.

  3. Välj knappen Installera/uppdatera.

Mer information om hur du hanterar lösningskomponenterna finns i Identifiera och distribuera out-of-the-box-innehåll.

  1. Dataanslutningsappen visas nu i Konfigurationsdata>Anslut orer. Öppna dataanslutningssidan för att hitta mer information om hur du konfigurerar ditt program med det här API:et.

    Skärmbild som visar sidan för dataanslutningsappar med uppladdnings-API-dataanslutningen i listan.

Konfigurera din TIP-lösning eller anpassade program

Följande konfigurationsinformation som krävs av API:et för uppladdningsindikatorer:

  • App-ID (klient-ID)
  • Klienthemlighet
  • Microsoft Sentinel-arbetsyte-ID

Ange dessa värden i konfigurationen av den integrerade TIP-lösningen eller den anpassade lösningen där det behövs.

  1. Skicka indikatorerna till Microsoft Sentinel-uppladdnings-API:et. Mer information om API:et för uppladdningsindikatorer finns i referensdokumentet FÖR API:et för Uppladdningsindikatorer för Microsoft Sentinel.

  2. Inom några minuter bör hotindikatorer börja flöda till din Microsoft Sentinel-arbetsyta. Hitta de nya indikatorerna på bladet Hotinformation som är tillgänglig från Microsoft Sentinel-navigeringsmenyn.

  3. Dataanslutningsstatusen återspeglar statusen för Anslut ed och diagrammet Mottagna data uppdateras när indikatorerna har skickats.

    Skärmbild som visar api-dataanslutningsappen för uppladdningsindikatorer i anslutet tillstånd.

Relaterat innehåll

I det här dokumentet har du lärt dig hur du ansluter din plattform för hotinformation till Microsoft Sentinel. Mer information om hur du använder hotindikatorer i Microsoft Sentinel finns i följande artiklar.