Connecter votre plateforme de renseignement sur les menaces à Microsoft Sentinel
Remarque
Ce connecteur de données est en cours de dépréciation. Des informations supplémentaires seront publiées sur la chronologie précise. Utilisez le nouveau connecteur de données API d’indicateurs de chargement pour les nouvelles solutions de renseignement sur les menaces. Pour plus d’informations, consultez Connecter votre plateforme de renseignement sur les menaces à Microsoft Sentinel avec l’API d’Indicateurs de Chargement.
Beaucoup d’organisations utilisent des solutions de plateforme de renseignement sur les menaces (TIP) pour agréger les flux d’indicateurs de menaces issus de différentes sources. À partir du flux agrégé, les données sont curées pour s’appliquer à des solutions de sécurité, comme les appareils réseau, les solutions EDR/XDR ou les solutions de Gestion des informations et des événements de sécurité (SIEM) comme Microsoft Sentinel, par exemple. En utilisant le connecteur de données TIP, vous pouvez utiliser ces solutions pour importer des indicateurs de menace dans Microsoft Sentinel.
Étant donné que le connecteur de données de la solution de plateforme Threat Intelligence (TIP) fonctionne avec l’API tiIndicators Microsoft Graph Security pour accomplir ce processus, vous pouvez utiliser le connecteur pour envoyer des indicateurs à Microsoft Sentinel (et à d’autres solutions de sécurité Microsoft telles que Defender XDR) à partir de n’importe quelle autre TIP personnalisée qui peut communiquer avec cette API.
Remarque
Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.
En savoir plus sur le renseignement sur les menaces dans Microsoft Sentinel, et plus précisément sur les produits TIP que vous pouvez intégrer à Microsoft Sentinel.
Important
Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Prérequis
- Pour installer, mettre à jour et supprimer du contenu autonome ou des solutions dans le Hub de contenu, vous avez besoin du rôle Contributeur Microsoft Sentinel au niveau du groupe de ressources.
- Pour accorder des autorisations à votre produit TIP ou à toute autre application personnalisée utilisant une intégration directe à l’API Indicateurs TI Microsoft Graph, vous devez disposer du rôle Administrateur de la sécurité Microsoft Entra ou des autorisations équivalentes.
- Pour stocker vos indicateurs de menace, vous devez disposer d’autorisations de lecture et d’écriture dans l’espace de travail Microsoft Sentinel.
Instructions
Pour importer des indicateurs de menace dans Microsoft Sentinel à partir de votre TIP intégrée ou de votre solution personnalisée de renseignement sur les menaces, suivez ces étapes :
- Obtenir un ID d’application et une clé secrète client à partir de Microsoft Entra ID.
- Entrer ces informations dans votre solution TIP ou votre application personnalisée.
- Activez le connecteur de données TIP dans Microsoft Sentinel.
S’inscrire à un ID d’application et à une clé secrète client à partir de Microsoft Entra ID
Que vous travailliez avec une solution TIP ou avec une solution personnalisée, l’API tiIndicators nécessite certaines informations de base pour vous permettre d’y connecter votre flux et de lui envoyer des indicateurs de menace. Les trois informations dont vous avez besoin sont les suivantes :
- ID d’application (client)
- ID de l’annuaire (locataire)
- Clè secrète client
Vous pouvez obtenir ces informations à partir de Microsoft Entra ID par le biais de l’inscription d’application, qui inclut les trois étapes suivantes :
- Inscrivez une application auprès de Microsoft Entra ID.
- Spécifier les autorisations exigées par l’application pour se connecter à l’API tiIndicators Microsoft Graph et envoyer des indicateurs de menace.
- Obtenez le consentement de votre organisation pour accorder ces autorisations à cette application.
Inscrire une application avec Microsoft Entra ID
Dans le portail Azure, accédez à Microsoft Entra ID.
Dans le menu, sélectionnez Inscriptions d’applications, puis sélectionnez Nouvelle inscription.
Choisissez un nom pour l’inscription de votre application, sélectionnez Locataire unique, puis Inscrire.
Dans l’écran qui s’ouvre, copiez les valeurs de l’ID d’application (client) et l’ID de répertoire (locataire). Vous avez besoin de ces deux informations ultérieurement pour configurer votre TIP ou votre solution personnalisée pour envoyer des indicateurs de menace à Microsoft Sentinel. Le troisième élément d’information dont vous avez besoin, la clé secrète client, vient plus tard.
Spécifier les autorisations exigées par l’application
Revenez à la page principale de Microsoft Entra ID.
Dans le menu, sélectionnez Inscriptions d’applications, puis sélectionnez votre application nouvellement inscrite.
Dans le menu, sélectionnez Autorisations d’API>Ajouter une autorisation.
Sur la page Sélectionner une API, sélectionnez l’API Microsoft Graph. Choisissez ensuite dans une liste d’autorisations Microsoft Graph.
À la question Quel type d’autorisations votre application nécessite-t-elle ?, sélectionnez Autorisations d’application. Cette autorisation est le type utilisé par les applications qui s’authentifient avec l’ID de l’application et les secrets d’application (clés API).
Sélectionnez ThreatIndicators.ReadWrite.OwnedBy, puis Ajouter des autorisations pour ajouter cette autorisation à la liste d’autorisations de votre application.
Obtenir le consentement de votre organisation pour accorder ces autorisations
Pour accorder un consentement, un rôle privilégié est nécessaire. Pour plus d’informations, consultez Accorder le consentement administrateur au niveau locataire à une application.
Une fois le consentement accordé à votre application, vous devez voir une coche verte sous Statut.
Une fois que votre application est inscrite et que les autorisations sont accordées, vous devez obtenir une clé secrète client pour votre application.
Revenez à la page principale de Microsoft Entra ID.
Dans le menu, sélectionnez Inscriptions d’applications, puis sélectionnez votre application nouvellement inscrite.
Dans le menu, sélectionnez Certificats et secrets. Sélectionnez ensuite Nouvelle clé secrète client pour recevoir un secret (clé API) pour votre application.
Sélectionnez Ajouter, puis copiez la clé secrète client.
Important
Vous devez copier la clé secrète client avant de quitter cet écran. Vous ne pouvez plus récupérer ce secret si vous quittez cette page. Vous avez besoin de cette valeur quand vous configurerez votre solution TIP ou votre solution personnalisée.
Entrer ces informations dans votre solution de plateforme Threat Intelligence (TIP) ou votre application personnalisée
Vous avez maintenant les trois informations dont vous avez besoin pour configurer votre TIP ou votre solution personnalisée afin d’envoyer des indicateurs de menace à Microsoft Sentinel :
- ID d’application (client)
- ID de l’annuaire (locataire)
- Clé secrète client
Entrez ces valeurs dans la configuration de votre solution de plateforme Threat Intelligence ou votre solution personnalisée, si nécessaire.
Pour le produit cible, spécifiez Azure Sentinel. (La spécification de Microsoft Sentinel entraîne une erreur.)
Pour l’action, spécifiez alerte.
Une fois la configuration terminée, les indicateurs de menace sont envoyés à partir de votre solution TIP ou personnalisée, via l’API tiIndicators Microsoft Graph, ciblée sur Microsoft Sentinel.
Activez le connecteur de données TIP dans Microsoft Sentinel
La dernière étape du processus d’intégration consiste à activer le connecteur de données TIP dans Microsoft Sentinel. L’activation du connecteur est ce qui permet à Microsoft Sentinel de recevoir les indicateurs de menace envoyés par votre TIP ou votre solution personnalisée. Ces indicateurs sont disponibles pour tous les espaces de travail Microsoft Sentinel de votre organisation. Pour activer le connecteur de données TIP pour chaque espace de travail, procédez comme suit :
Dans Microsoft Sentinel, dans le Portail Azure, sous Gestion du contenu, sélectionnez Hub de contenu.
Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion du contenu>Hub de contenu.Recherchez et sélectionnez la solution Threat Intelligence.
Sélectionnez le bouton
Installer/Mettre à jour.Pour plus d’informations sur la gestion des composants de la solution, consultez Découvrir et déployer du contenu prête à l’emploi.
Pour configurer le connecteur de données TIP, sélectionnez Configuration>Connecteurs de données.
Recherchez et sélectionnez le connecteur de données Plateformes de veille des menaces, puis sélectionnez la page Ouvrir le connecteur.
Étant donné que vous avez déjà terminé l’inscription de l’application et configuré votre solution TIP ou personnalisée pour envoyer des indicateurs de menace, la seule étape restante consiste à sélectionner Se connecter.
Après quelques minutes, les indicateurs de menace doivent commencer à circuler dans cet espace de travail Microsoft Sentinel. Vous pouvez trouver les nouveaux indicateurs dans le panneau Veille des menaces, accessible à partir du menu Microsoft Sentinel.
Contenu connexe
Dans cet article, vous avez appris à connecter votre TIP à Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Découvrez comment avoir une visibilité sur vos données et les menaces potentielles.
- Prise en main de la détection des menaces avec Microsoft Sentinel.