Łączenie platformy analizy zagrożeń z usługą Microsoft Sentinel przy użyciu interfejsu API wskaźników przekazywania

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Wiele organizacji korzysta z rozwiązań platformy analizy zagrożeń (TIP), aby agregować źródła wskaźników zagrożeń z różnych źródeł. Z zagregowanego źródła danych dane są wyselekcjonowane w celu zastosowania do rozwiązań zabezpieczeń, takich jak urządzenia sieciowe, rozwiązania EDR/XDR lub SIEM, takie jak Microsoft Sentinel. Interfejs API wskaźników przekazywania analizy zagrożeń umożliwia użycie tych rozwiązań do importowania wskaźników zagrożeń do usługi Microsoft Sentinel. Interfejs API przekazywania pozyska wskaźniki analizy zagrożeń do usługi Microsoft Sentinel bez potrzeby łącznika danych. Łącznik danych odzwierciedla tylko instrukcje dotyczące nawiązywania połączenia z punktem końcowym interfejsu API szczegółowo opisanym w tym artykule i dodatkowym dokumentem referencyjnym interfejsu API przekazywania usługi Microsoft Sentinel.

Ścieżka importu analizy zagrożeń

Aby uzyskać więcej informacji na temat analizy zagrożeń, zobacz Analiza zagrożeń.

Ważne

Interfejs API wskaźników przekazywania analizy zagrożeń w usłudze Microsoft Sentinel jest w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby uzyskać dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Zobacz również: Łączenie usługi Microsoft Sentinel z źródłami danych analizy zagrożeń STIX/TAXII

Wymagania wstępne

  • Aby zainstalować, zaktualizować i usunąć autonomiczną zawartość lub rozwiązania w centrum zawartości, potrzebna jest rola Współautor usługi Microsoft Sentinel na poziomie grupy zasobów. Pamiętaj, że nie musisz instalować łącznika danych, aby używać punktu końcowego interfejsu API.
  • Aby przechowywać wskaźniki zagrożeń, musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.
  • Musisz mieć możliwość zarejestrowania aplikacji Firmy Microsoft Entra.
  • Aplikacja Microsoft Entra musi mieć przypisaną rolę współautora usługi Microsoft Sentinel na poziomie obszaru roboczego.

Instrukcje

Wykonaj następujące kroki, aby zaimportować wskaźniki zagrożeń do usługi Microsoft Sentinel ze zintegrowanego rozwiązania TIP lub niestandardowego rozwiązania do analizy zagrożeń:

  1. Zarejestruj aplikację Microsoft Entra i zarejestruj jej identyfikator aplikacji.
  2. Generowanie i rejestrowanie wpisu tajnego klienta dla aplikacji Microsoft Entra.
  3. Przypisz aplikację Firmy Microsoft Entra rolę współautora usługi Microsoft Sentinel lub jej odpowiednik.
  4. Skonfiguruj rozwiązanie TIP lub aplikację niestandardową.

Rejestrowanie aplikacji Firmy Microsoft Entra

Domyślne uprawnienia roli użytkownika umożliwiają użytkownikom tworzenie rejestracji aplikacji. Jeśli to ustawienie zostało przełączone na Nie, musisz mieć uprawnienia do zarządzania aplikacjami w usłudze Microsoft Entra ID. Każda z następujących ról firmy Microsoft Entra obejmuje wymagane uprawnienia:

  • Administrator aplikacji
  • Deweloper aplikacji
  • Administrator aplikacji w chmurze

Aby uzyskać więcej informacji na temat rejestrowania aplikacji Microsoft Entra, zobacz Rejestrowanie aplikacji.

Po zarejestrowaniu aplikacji zapisz identyfikator aplikacji (klienta) na karcie Przegląd aplikacji.

Generowanie i rejestrowanie wpisu tajnego klienta

Teraz, gdy aplikacja została zarejestrowana, wygeneruj i zarejestruj wpis tajny klienta.

Zrzut ekranu przedstawiający generowanie wpisów tajnych klienta.

Aby uzyskać więcej informacji na temat generowania wpisu tajnego klienta, zobacz Dodawanie wpisu tajnego klienta.

Przypisywanie roli do aplikacji

Wskaźniki przekazywania interfejsu API pozyskuje wskaźniki zagrożeń na poziomie obszaru roboczego i zezwalają na najmniej uprzywilejowaną rolę współautora usługi Microsoft Sentinel.

  1. W witrynie Azure Portal przejdź do obszarów roboczych usługi Log Analytics.

  2. Wybierz pozycję Kontrola dostępu (IAM) .

  3. Wybierz pozycję Dodaj>Dodaj przypisanie roli.

  4. Na karcie Rola wybierz rolę> Współautor usługi Microsoft Sentinel Dalej.

  5. Na karcie Członkowie wybierz pozycję Przypisz dostęp do>użytkownika, grupy lub jednostki usługi.

  6. Wybierz członków. Domyślnie aplikacje Firmy Microsoft Entra nie są wyświetlane w dostępnych opcjach. Aby znaleźć aplikację, wyszukaj ją według nazwy. Zrzut ekranu przedstawiający rolę współautora usługi Microsoft Sentinel przypisaną do aplikacji na poziomie obszaru roboczego.

  7. Wybierz pozycję>Przejrzyj i przypisz.

Aby uzyskać więcej informacji na temat przypisywania ról do aplikacji, zobacz Przypisywanie roli do aplikacji.

Instalowanie łącznika danych interfejsu API przekazywania analizy zagrożeń w usłudze Microsoft Sentinel (opcjonalnie)

Zainstaluj łącznik danych interfejsu API przekazywania wskaźników analizy zagrożeń, aby wyświetlić instrukcje dotyczące połączenia interfejsu API z obszaru roboczego usługi Microsoft Sentinel.

  1. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Zarządzanie zawartością wybierz pozycję Centrum zawartości.
    W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Centrum zawartości zarządzania zawartością>usługi Microsoft Sentinel.>

  2. Znajdź i wybierz rozwiązanie analizy zagrożeń.

  3. Wybierz przycisk Zainstaluj/Aktualizuj.

Aby uzyskać więcej informacji na temat zarządzania składnikami rozwiązania, zobacz Odnajdywanie i wdrażanie gotowej zawartości.

  1. Łącznik danych jest teraz widoczny w obszarze Łączniki danych konfiguracji>. Otwórz stronę łącznika danych, aby uzyskać więcej informacji na temat konfigurowania aplikacji przy użyciu tego interfejsu API.

    Zrzut ekranu przedstawiający stronę łączników danych z wyświetlonym łącznikiem przekazywania danych interfejsu API.

Konfigurowanie rozwiązania TIP lub aplikacji niestandardowej

Następujące informacje o konfiguracji wymagane przez interfejs API wskaźników przekazywania:

  • Identyfikator aplikacji (klient)
  • Klucz tajny klienta
  • Identyfikator obszaru roboczego usługi Microsoft Sentinel

Wprowadź te wartości w konfiguracji zintegrowanego rozwiązania TIP lub niestandardowego, jeśli jest to wymagane.

  1. Prześlij wskaźniki do interfejsu API przekazywania usługi Microsoft Sentinel. Aby dowiedzieć się więcej na temat interfejsu API wskaźników przekazywania, zobacz dokument referencyjny Interfejs API wskaźników przekazywania usługi Microsoft Sentinel.

  2. W ciągu kilku minut wskaźniki zagrożeń powinny zacząć przepływać do obszaru roboczego usługi Microsoft Sentinel. Znajdź nowe wskaźniki w bloku Analiza zagrożeń dostępne w menu nawigacji usługi Microsoft Sentinel.

  3. Stan łącznika danych odzwierciedla stan Połączono, a graf Odebrane dane jest aktualizowany po pomyślnym przesłaniu wskaźników.

    Zrzut ekranu przedstawiający łącznik danych interfejsu API przekazywania wskaźników w stanie połączonym.

Powiązana zawartość

W tym dokumencie przedstawiono sposób łączenia platformy analizy zagrożeń z usługą Microsoft Sentinel. Aby dowiedzieć się więcej na temat używania wskaźników zagrożeń w usłudze Microsoft Sentinel, zobacz następujące artykuły.