共用方式為

使用上傳指標 API 將威脅情報平臺 連線 至 Microsoft Sentinel

  • 發行項
  • 適用於:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

許多組織都使用威脅情報平臺 (TIP) 解決方案來匯總來自各種來源的威脅指標摘要。 從匯總摘要中,數據會經過策劃,以套用至安全性解決方案,例如網路裝置、EDR/XDR 解決方案,或 Microsoft Sentinel 等 SIEM。 威脅情報上傳指標 API 資料連接器可讓您使用這些解決方案,將威脅指標匯入 Microsoft Sentinel。 此數據連接器會使用 Sentinel 上傳指標 API,將威脅情報指標內嵌至 Microsoft Sentinel。 如需詳細資訊,請參閱 威脅情報

威脅情報匯入路徑

重要

Microsoft Sentinel 上傳指標 API 和威脅情報上傳指標 API 數據連接器處於預覽狀態。 請參閱 Microsoft Azure Preview 補充使用規定,了解適用於搶鮮版 (Beta)、預覽版或尚未正式發行 Azure 功能的其他法律條款。

Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。

注意

如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。

請參閱:連線 Microsoft Sentinel 至 STIX/TAXII 威脅情報摘要

必要條件

  • 若要在內容中樞安裝、更新和刪除獨立內容或解決方案,您需要 資源群組層級的 Microsoft Sentinel 參與者 角色。
  • 您必須擁有 Microsoft Sentinel 工作區的讀取和寫入許可權,才能儲存威脅指標。
  • 您必須能夠註冊 Microsoft Entra 應用程式。
  • Microsoft Entra 應用程式必須獲授與工作區層級的 Microsoft Sentinel 參與者角色。

指示

請遵循下列步驟,從整合式 TIP 或自定義威脅情報解決方案將威脅指標匯入 Microsoft Sentinel:

  1. 註冊 Microsoft Entra 應用程式並記錄其應用程式識別碼。
  2. 為您的 Microsoft Entra 應用程式產生並記錄客戶端密碼。
  3. 指派 Microsoft Entra 應用程式 Microsoft Sentinel 參與者角色或對等角色。
  4. 在 Microsoft Sentinel 中啟用威脅情報上傳 API 數據連接器。
  5. 設定您的 TIP 解決方案或自訂應用程式。

註冊 Microsoft Entra 應用程式

默認 使用者角色許可權 可讓使用者建立應用程式註冊。 如果此設定已切換為 [否],您將需要許可權來管理 Microsoft Entra ID 中的應用程式。 下列任何 Microsoft Entra 角色都包含必要的許可權:

  • 應用程式系統管理員
  • 應用程式開發人員
  • 雲端應用程式系統管理員

如需註冊 Microsoft Entra 應用程式的詳細資訊,請參閱 註冊應用程式

註冊應用程式之後,請從應用程式的 [概觀 ] 索引標籤中記錄其應用程式 (用戶端) 識別碼。

產生和記錄客戶端密碼

現在您的應用程式已註冊,請產生並記錄客戶端密碼。

顯示客戶端密碼產生的螢幕快照。

如需產生用戶端密碼的詳細資訊,請參閱 新增客戶端密碼

將角色指派給應用程式

上傳指標 API 會擷取工作區層級的威脅指標,並允許 Microsoft Sentinel 參與者的最低許可權角色。

  1. 從 Azure 入口網站 移至Log Analytics工作區。

  2. 選取 [存取控制 (IAM)]。

  3. 選取 [新增>][新增角色指派]。

  4. 在 [角色] 索引標籤中,選取 [Microsoft Sentinel 參與者] 角色> [下一步]。

  5. 在 [成員] 索引標籤上,選取 [指派使用者、群組或服務主體的>存取權]。

  6. 選取成員。 根據預設,Microsoft Entra 應用程式不會顯示在可用的選項中。 若要尋找您的應用程式,請依名稱搜尋它。 顯示指派給工作區層級應用程式之 Microsoft Sentinel 參與者角色的螢幕快照。

  7. 選取 [>檢閱 + 指派]。

如需將角色指派給應用程式的詳細資訊,請參閱 將角色指派給應用程式

在 Microsoft Sentinel 中啟用威脅情報上傳指標 API 數據連接器

啟用威脅情報上傳指標 API 資料連接器,以允許 Microsoft Sentinel 接收從您的 TIP 或自定義解決方案傳送的威脅指標。 這些指標可供您設定的 Microsoft Sentinel 工作區使用。

  1. 針對 Azure 入口網站 中的 Microsoft Sentinel,在 [內容管理] 底下,選取 [內容中樞]。
    針對 Defender 入口網站中的 Microsoft Sentinel,選取 [Microsoft Sentinel>內容管理>內容中樞]。

  2. 尋找並選取 威脅情報 解決方案。

  3. 選取 [ 安裝/更新] 按鈕。

如需如何管理解決方案元件的詳細資訊,請參閱 探索和部署現用內容

  1. 數據連接器現在會顯示在 [設定>數據] 連線 ors 中。 開啟資料連接器頁面,以尋找使用此 API 設定應用程式的詳細資訊。

    顯示數據連接器頁面的螢幕快照,其中已列出上傳 API 資料連接器。

設定 TIP 解決方案或自訂應用程式

上傳指標 API 所需的下列組態資訊:

  • 應用程式 (用戶端) 識別碼
  • 用戶端密碼
  • Microsoft Sentinel 工作區標識符

在必要的整合 TIP 或自定義解決方案組態中輸入這些值。

  1. 將指標提交至 Microsoft Sentinel 上傳 API。 若要深入了解上傳指標 API,請參閱 Microsoft Sentinel 上傳指標 API 的參考檔

  2. 在幾分鐘內,威脅指標應該會開始流入您的 Microsoft Sentinel 工作區。 在 [ 威脅情報 ] 刀鋒視窗中尋找新的指標,可從 Microsoft Sentinel 導覽功能表存取。

  3. 數據連接器狀態會反映 連線 狀態,旦成功提交指標,就會更新已接收的數據圖表。

    此螢幕快照顯示處於連線狀態的上傳指標 API 資料連接器。

相關內容

在本檔中,您已瞭解如何將威脅情報平台連線至 Microsoft Sentinel。 若要深入瞭解如何在 Microsoft Sentinel 中使用威脅指標,請參閱下列文章。