tehdit bilgileri platformunuzu Microsoft Sentinel 'e Bağlan

  • Makale
  • Okumak için 4 dakika

Not

Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.

Not

ABD Kamu bulutlarında özellik kullanılabilirliği hakkında bilgi için, ABD Kamu müşterileri için Bulut özelliği kullanılabilirliği'nin Microsoft Sentinel tablolarına bakın.

ayrıca bkz: Microsoft Sentinel to stix/taxıı threat ıntelligence akışları Bağlan

birçok kuruluş tehdit bilgileri platformu (tıp) çözümlerini çeşitli kaynaklardan toplamak, platform içindeki verileri seçmek ve ardından ağ aygıtları, EDR/xdr çözümleri veya Microsoft Sentinel gibi çeşitli güvenlik çözümlerine hangi tehdit göstergelerinin uygulanacağını seçmek için kullanır. Tehdit bilgileri platformları veri Bağlayıcısı , bu çözümleri kullanarak tehdit göstergelerini Microsoft Sentinel 'e aktarmanıza olanak tanır.

ipucu veri bağlayıcısı bunu gerçekleştirmek için Microsoft Graph güvenlik tigöstergeleri apı 'siyle birlikte çalıştığından, bu apı ile iletişim kurabilen diğer özel tehdit bilgileri platformundan Microsoft Sentinel 'e (ve Microsoft 365 Defender gibi diğer Microsoft güvenlik çözümlerine) göstergeler göndermek için bağlayıcısını kullanabilirsiniz.

Tehdit bilgileri içeri aktarma yolu

Microsoft Sentinel 'de tehdit bilgileri hakkında daha fazla bilgi edinin ve özellikle Microsoft Sentinel ile tümleştirilebilen tehdit bilgileri platformu ürünlerini öğrenin.

Önkoşullar

  • tıp ürününüze veya Microsoft Graph güvenlik tiındicators apı 'siyle doğrudan tümleştirme kullanan başka bir özel uygulamaya izin vermek için genel yönetici veya güvenlik yöneticisi Azure AD rollerine sahip olmanız gerekir.

  • Tehdit göstergelerini depolamak için Microsoft Sentinel çalışma alanında okuma ve yazma izinlerinizin olması gerekir.

Yönergeler

Tümleştirme göstergelerini tümleşik tıp veya özel tehdit bilgileri çözümünüzden Microsoft Sentinel 'e aktarmak için şu adımları izleyin:

  1. Azure Active Directory bir uygulama KIMLIĞI ve Istemci gizli anahtarı edinin
  2. Bu bilgileri tıp çözümünüz veya özel uygulamanıza girin
  3. Microsoft Sentinel 'de tehdit bilgileri platformu veri bağlayıcısını etkinleştirme

Azure Active Directory bir uygulama KIMLIĞI ve Istemci parolası için kaydolun

Bir tıp ile veya özel çözümle çalışırken, Tiındicators API 'SI, akışınızı bağlamaya ve BT tehdit göstergelerini göndermenizi sağlayacak bazı temel bilgiler gerektirir. İhtiyacınız olan üç bilgi parçası şunlardır:

  • Uygulama (istemci) kimliği
  • Dizin (kiracı) kimliği
  • Gizli anahtar

aşağıdaki üç adımı içeren uygulama kaydı adlı bir işlem aracılığıyla Azure Active Directory bu bilgileri alabilirsiniz:

  • Azure Active Directory ile uygulama kaydetme
  • Microsoft Graph tiındicators apı 'sine bağlanmak ve tehdit göstergeleri göndermek için uygulamanın gerektirdiği izinleri belirtin
  • Bu izinleri bu uygulamaya vermek için kuruluşunuzdan onay alın.

Bir uygulamayı Azure Active Directory'ye kaydetme

  1. Azure portal, Azure Active Directory hizmetine gidin.

  2. Menüden uygulama kayıtları ' nı seçin ve Yeni kayıt' yi seçin.

  3. Uygulama kaydınız için bir ad seçin, tek kiracılı radyo düğmesini seçin ve Kaydet' i seçin.

    Uygulamayı kaydetme

  4. Ortaya çıkan ekrandan, uygulama (istemci) kimliği ve Dizin (kiracı) kimliği değerlerini kopyalayın. Bunlar, daha sonra tıp veya özel çözümünüzü Microsoft Sentinel 'e tehdit göstergeleri gönderecek şekilde yapılandırmak için gereken ilk iki bilgi parçalarından oluşur. Üçüncü gizli anahtar, daha sonra gelir.

Uygulamanın gerektirdiği izinleri belirtin

  1. Azure Active Directory hizmetinin ana sayfasına geri dönün.

  2. Menüden uygulama kayıtları ' nı seçin ve yeni kaydedilen uygulamanızı seçin.

  3. Menüden API izinleri ' ni seçin ve izin Ekle düğmesini seçin.

  4. bir apı seçin sayfasında, Microsoft Graph apı ' yi seçin ve Microsoft Graph izinleri listesinden öğesini seçin.

  5. "Uygulamanıza ne tür izinler gerekiyor?" isteminde Uygulama izinleri' ni seçin. Bu, uygulama KIMLIĞI ve uygulama gizli dizileri (API anahtarları) ile kimlik doğrulaması yapan uygulamalar tarafından kullanılan izin türüdür.

  6. Threatındicators. ReadWrite. OwnedBy ' ı seçin ve bu izni uygulamanızın izin listesine eklemek Için izin Ekle ' yi seçin.

    İzinleri belirtme

  1. onay almak için uygulamanızın apı izinleri sayfasında kiracınız için yönetici onayı verme ' yi seçmek üzere bir Azure Active Directory genel yöneticisinin olması gerekir. Hesabınızda genel yönetici rolüne sahip değilseniz, bu düğme kullanılamaz ve kuruluşunuzdaki genel bir yöneticiden bu adımı gerçekleştirmesini isteyebilirsiniz ve bu adımı gerçekleştirin.

    Onay ver

  2. Uygulamanıza izin verildiğinde, durum' un altında yeşil bir onay işareti görürsünüz.

Uygulamanız kaydedildikten ve izinler verildiğinden, listenizden son şeyi uygulamanız için bir istemci gizli anahtarı alabilirsiniz.

  1. Azure Active Directory hizmetinin ana sayfasına geri dönün.

  2. Menüden uygulama kayıtları ' nı seçin ve yeni kaydedilen uygulamanızı seçin.

  3. Menüdeki gizli dizileri & seçin ve uygulamanız için gizli dızı (API anahtarı) almak için yeni istemci parolası düğmesini seçin.

    İstemci gizliliğini al

  4. Ekle düğmesini seçin ve istemci parolasını kopyalayın.

    Önemli

    Bu ekrandan çıkmadan önce istemci parolasını kopyalamanız gerekir. Bu sayfadan uzaklaşmanız durumunda bu parolayı tekrar alamazsınız. IPUCUNUZU veya özel çözümünüzü yapılandırırken bu değere ihtiyaç duyarsınız.

Bu bilgileri tıp çözümünüz veya özel uygulamanıza girin

Artık, tıp veya özel çözümünüzü Microsoft Sentinel 'e tehdit göstergeleri gönderecek şekilde yapılandırmak için gereken üç bilgi parçasına sahipsiniz.

  • Uygulama (istemci) kimliği
  • Dizin (kiracı) kimliği
  • Gizli anahtar

  1. Bu değerleri, tümleşik IPUCUNUN veya gerekli olduğu özel çözümünüzün yapılandırmasına girin.

  2. Hedef ürün için Microsoft Sentinel' i belirtin.

  3. Eylem için Uyarı' ı belirtin.

bu yapılandırma tamamlandıktan sonra, Microsoft Sentinel 'e hedeflenmiş Microsoft Graph tiındicators apı 'si aracılığıyla tıp veya özel çözümünüzü kullanarak tehdit göstergeleri gönderilir.

Microsoft Sentinel 'de tehdit bilgileri platformu veri bağlayıcısını etkinleştirme

Tümleştirme sürecinin son adımı, Microsoft Sentinel 'de tehdit bilgileri platformu veri bağlayıcısının etkinleştirilmesidir. Bağlayıcının etkinleştirilmesi, Microsoft Sentinel 'in IPUCUNDAN veya özel çözümünüzden gönderilen tehdit göstergelerini almasına imkan tanır. Bu göstergeler, kuruluşunuz için tüm Microsoft Sentinel çalışma alanlarında kullanılabilir. Her çalışma alanı için tehdit bilgileri platformu veri bağlayıcısını etkinleştirmek için şu adımları izleyin:

  1. Azure portal, Microsoft Sentinel hizmetine gidin.

  2. IPUCUNDAN veya özel çözümünüzden gönderilen tehdit göstergelerini içeri aktarmak istediğiniz çalışma alanını seçin.

  3. Menüden veri bağlayıcıları ' nı seçin, bağlayıcılar galerisinden tehdit zekası platformları ' nı seçin ve bağlayıcı sayfası aç düğmesini seçin.

  4. uygulama kaydını zaten tamamlayıp tıp veya özel çözümünüzü tehdit göstergeleri gönderecek şekilde yapılandırdıysanız, yalnızca sol adım Bağlan düğmesini seçmektir.

Birkaç dakika içinde tehdit göstergelerinin bu Microsoft Sentinel çalışma alanına yönlendirip başlamamalıdır. Yeni göstergeleri, Microsoft Sentinel gezinti menüsünden erişilebilen tehdit zekasındaki dikey penceresinde bulabilirsiniz.

Sonraki adımlar

Bu belgede, Threat Intelligence platformunuzu Microsoft Sentinel 'e bağlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın.