Conectar sua plataforma de inteligência contra ameaças ao Microsoft Sentinel com a API de Indicadores de Upload
Muitas organizações usam soluções de plataforma de inteligência contra ameaças (TIP) para agregar feeds de indicadores de ameaças de várias fontes. A partir do feed agregado, os dados são selecionados para serem aplicados a soluções de segurança, como dispositivos de rede, soluções de EDR/XDR ou soluções de gerenciamento de eventos e informações de segurança (SIEM), como o Microsoft Sentinel. Ao usar a API de Indicadores de Upload da Inteligência Contra Ameaças, você pode usar essas soluções para importar indicadores de ameaças para o Microsoft Sentinel.
A API de Indicadores de Upload ingere os indicadores de inteligência contra ameaças no Microsoft Sentinel sem a necessidade do conector de dados. O conector de dados reflete apenas as instruções de conexão ao ponto de extremidade da API descritas neste artigo e no documento de referência da API API de Indicadores de Upload do Microsoft Sentinel.
Para obter mais informações sobre inteligência contra ameaças, consulte Inteligência contra ameaças.
Importante
A API de Indicadores de Upload de Inteligência contra Ameaças do Microsoft Sentinel está em versão prévia. Consulte os Termos de Uso Suplementares para Versões Prévias do Microsoft Azure para obter mais termos legais que se aplicam aos recursos do Azure que estão em versão beta, prévia ou que ainda não foram lançados para disponibilidade geral.
O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.
Para obter informações, confira Conectar o Microsoft Sentinel aos feeds de inteligência contra ameaças STIX/TAXII.
Observação
Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Pré-requisitos
- Para instalar, atualizar e excluir conteúdo ou soluções autônomas no Hub de conteúdo, você precisa da função Colaborador do Microsoft Sentinel no nível do grupo de recursos. Você não precisa instalar o conector de dados para usar o ponto de extremidade da API.
- Você precisa ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel para armazenar seus indicadores de ameaça.
- Você deve ser capaz de registrar um aplicativo do Microsoft Entra.
- Seu aplicativo Microsoft Entra deve receber a função de Colaborador do Microsoft Sentinel no nível do espaço de trabalho.
Instruções
Siga estas etapas para importar os indicadores de ameaças da sua TIP integrada ou solução personalizada de inteligência contra ameaças para o Microsoft Sentinel:
- Registre um aplicativo Microsoft Entra e, em seguida, registre a ID do aplicativo.
- Gere e registre um segredo do cliente para seu aplicativo Microsoft Entra.
- Atribua ao seu aplicativo Microsoft Entra a função de Colaborador do Microsoft Sentinel ou equivalente.
- Configure sua solução TIP ou aplicativo personalizado.
Registrar um aplicativo do Microsoft Entra
As permissões de função de usuário padrão permitem que os usuários criem registros de aplicativo. Se essa configuração foi alterada para Não, você precisa de permissão para gerenciar aplicativos no Microsoft Entra. Qualquer uma das seguintes funções do Microsoft Entra inclui as permissões necessárias:
- Administrador de aplicativos
- Desenvolvedor de aplicativo
- Administrador de aplicativos de nuvem
Para obter mais informações sobre como registrar seu aplicativo Microsoft Entra, consulte Registrar um aplicativo.
Depois de registrar o aplicativo, registre a ID do Aplicativo (cliente) na guia Visão Geral do aplicativo.
Gerar e registrar um segredo de cliente
Agora que o aplicativo está registrado, gere e registre um segredo de cliente.
Para obter mais informações sobre como gerar um segredo do cliente, confira Adicionar um segredo do cliente.
Atribuir uma função ao aplicativo
A API de Indicadores de Upload ingere indicadores de ameaça no nível do espaço de trabalho e permite uma função de privilégio mínimo do Colaborador do Microsoft Sentinel.
A partir do portal do Azure, acesse Espaços de trabalho do Log Analytics.
Selecione IAM (Controle de acesso) .
Selecione Adicionar>Adicionar atribuição de função.
Na guia Função, selecione a função Colaborador do Microsoft Sentinel e, em seguida, selecione Avançar.
Na guia Membros, selecione Atribuir acesso a>Usuário, grupo ou entidade de serviço.
Selecionar membros. Por padrão, os aplicativos do Microsoft Entra não são exibidos nas opções disponíveis. Para encontrar seu aplicativo, procure-o pelo nome.
Selecione Examinar + atribuir.
Para obter mais informações sobre como atribuir funções a aplicativos, confira Atribuir uma função ao aplicativo.
Instalar o conector de dados da API de Indicadores de Upload da Inteligência Contra Ameaças no Microsoft Sentinel (opcional)
Instale o conector de dados da API de indicadores de Upload de Inteligência contra Ameaças para ver as instruções de conexão de API do seu workspace do Microsoft Sentinel.
Para o Microsoft Sentinel no portal do Azure, em Gerenciamento de conteúdo, selecione o Hub de conteúdo.
Para o Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Gerenciamento de conteúdo>Hub de conteúdo.Localize e selecione a solução de Inteligência contra Ameaças.
Selecionar o botão Instalar/Atualizar.
Para obter mais informações sobre como gerenciar os componentes da solução, veja Descobrir e implantar conteúdo pronto para uso.
O conector de dados agora está visível em Configuração>Conectores de dados. Abra a página Conectores de dados para encontrar mais informações sobre como configurar seu aplicativo com essa API.
Configure sua solução de plataforma de inteligência contra ameaças ou aplicativo personalizado
As informações de configuração a seguir são exigidas pela API de Indicadores de Upload:
- ID do aplicativo (cliente)
- Segredo do cliente
- ID do espaço de trabalho do Microsoft Sentinel
Insira esses valores na configuração da TIP integrada ou da solução personalizado quando exigido.
Enviar os indicadores para a API de Indicadores de Upload do Microsoft Sentinel. Para saber mais sobre a API de Indicadores de Upload, consulte API de Indicadores de Upload do Microsoft Sentinel.
Em alguns minutos, os indicadores de ameaça começarão a aparecer no workspace do Microsoft Sentinel. Encontre os novos indicadores no painel Inteligência contra ameaças, que pode ser acessado no menu do Microsoft Sentinel.
O status do conector de dados reflete o status Conectado. O grafo de Dados recebidos é atualizado depois que os indicadores são enviados com sucesso.
Conteúdo relacionado
Neste artigo, você aprendeu como conectar seu TIP ao Microsoft Sentinel. Para saber mais sobre o uso de indicadores de ameaça no Microsoft Sentinel, consulte os artigos a seguir:
- Entenda a inteligência contra ameaças.
- Trabalhar com indicadores de ameaça ao longo de toda a experiência do Microsoft Sentinel.
- Introdução à detecção de ameaças com regras de análise internas ou personalizadas no Microsoft Sentinel.