Подключение платформы аналитики угроз к Microsoft Sentinel с помощью API индикаторов отправки

  • Статья
  • Применяется к:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Многие организации используют решения платформы аналитики угроз (TIP) для агрегирования веб-каналов индикаторов угроз из различных источников. Из агрегированного веб-канала данные курируются для применения к решениям безопасности, таким как сетевые устройства, решения EDR/XDR или SIEMs, такие как Microsoft Sentinel. API индикаторов отправки угроз позволяет использовать эти решения для импорта индикаторов угроз в Microsoft Sentinel. API передачи индикаторов приема индикаторов угроз в Microsoft Sentinel без необходимости соединителя данных. Соединитель данных отражает только инструкции по подключению к конечной точке API, подробно описанной в этой статье, и дополнительный справочный документ API Microsoft Sentinel для отправки индикаторов API.

Путь импорта аналитики угроз

Дополнительные сведения об аналитике угроз см. в статье "Аналитика угроз".

Внимание

API отправки индикаторов отправки аналитики угроз Microsoft Sentinel находится в предварительной версии. Дополнительные юридические условия, применимые к функциям Azure, которые предоставляются в бета-версии, предварительной версии или еще не выпущены в общедоступной версии по другим причинам, см. на странице Дополнительные условия использования Azure для предварительных версий в Microsoft Azure.

Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

См. также: Подключение Microsoft Sentinel к веб-каналам аналитики угроз STIX/TAXII

Необходимые компоненты

  • Чтобы установить, обновить и удалить автономное содержимое или решения в центре содержимого, вам потребуется роль участника Microsoft Sentinel на уровне группы ресурсов. Помните, что соединитель данных не нужно устанавливать для использования конечной точки API.
  • Также вам нужны разрешения на чтение и запись в рабочей области Microsoft Sentinel для хранения индикаторов угроз.
  • Необходимо зарегистрировать приложение Microsoft Entra.
  • Приложение Microsoft Entra должно быть предоставлено роли участника Microsoft Sentinel на уровне рабочей области.

Instructions

Чтобы импортировать индикаторы угроз в Microsoft Sentinel из интегрированного TIP-решения или пользовательского решения для аналитики угроз, выполните следующие действия:

  1. Зарегистрируйте приложение Microsoft Entra и запишите его идентификатор приложения.
  2. Создайте и запишите секрет клиента для приложения Microsoft Entra.
  3. Назначьте приложение Microsoft Entra роль участника Или эквивалентную роль участника Microsoft Sentinel.
  4. Настройте решение TIP или пользовательское приложение.

Регистрация приложения Microsoft Entra

Разрешения роли пользователя по умолчанию позволяют пользователям создавать регистрации приложений. Если этот параметр переключился на No, вам потребуется разрешение на управление приложениями в идентификаторе Microsoft Entra. Любые из следующих ролей Microsoft Entra включают необходимые разрешения:

  • Администратор приложений
  • Разработчик приложений
  • Администратор облачных приложений

Дополнительные сведения о регистрации приложения Microsoft Entra см. в разделе "Регистрация приложения".

После регистрации приложения запишите идентификатор приложения (клиента) на вкладке "Обзор приложения".

Создание и запись секрета клиента

Теперь, когда приложение зарегистрировано, создайте и запишите секрет клиента.

Снимок экрана: создание секрета клиента.

Дополнительные сведения о создании секрета клиента см. в разделе "Добавление секрета клиента".

Назначение роли для приложения

API индикаторов отправки выполняет прием индикаторов угроз на уровне рабочей области и обеспечивает минимальную роль привилегий участника Microsoft Sentinel.

  1. В портал Azure перейдите в рабочие области Log Analytics.

  2. Выберите Управление доступом (IAM).

  3. Выберите Добавить>Добавить назначение ролей.

  4. На вкладке "Роль" выберите роль >участника Microsoft Sentinel Далее.

  5. На вкладке "Участники" выберите "Назначить доступ к пользователю, группе или субъекту-службе>".

  6. Выберите участников. По умолчанию приложения Microsoft Entra не отображаются в доступных параметрах. Чтобы найти приложение, найдите его по имени. Снимок экрана: роль участника Microsoft Sentinel, назначенная приложению на уровне рабочей области.

  7. Выберите "Рецензирование" и ">Назначить".

Дополнительные сведения о назначении ролей приложениям см. в статье "Назначение роли приложению".

Установка соединителя данных API индикаторов аналитики угроз в Microsoft Sentinel (необязательно)

Установите соединитель данных API индикаторов аналитики угроз, чтобы просмотреть инструкции по подключению API из рабочей области Microsoft Sentinel.

  1. Для Microsoft Sentinel в портал Azure в разделе "Управление содержимым" выберите центр контента.
    Для Microsoft Sentinel на портале Defender выберите Центр содержимого управления>содержимым Microsoft Sentinel>.

  2. Найдите и выберите решение аналитики угроз.

  3. Нажмите кнопку "Установить и обновить".

Дополнительные сведения об управлении компонентами решения см. в статье "Обнаружение и развертывание содержимого вне поля".

  1. Соединитель данных теперь отображается в соединителях данных конфигурации>. Откройте страницу соединителя данных, чтобы найти дополнительные сведения о настройке приложения с помощью этого API.

    Снимок экрана: страница соединителей данных с указанным соединителем данных API отправки.

Настройка решения TIP или пользовательского приложения

Следующие сведения о конфигурации, необходимые API индикаторов отправки:

  • Идентификатор приложения (клиент)
  • Секрет клиента
  • Идентификатор рабочей области Microsoft Sentinel

Введите эти значения в раздел конфигурации интегрированной платформы аналитики угроз или пользовательского решения.

  1. Отправьте индикаторы в API отправки Microsoft Sentinel. Дополнительные сведения об API индикаторов отправки см. в справочнике по API индикаторов отправки Microsoft Sentinel.

  2. Через несколько минут индикаторы угроз должны начаться в рабочую область Microsoft Sentinel. Найдите новые индикаторы в колонке "Аналитика угроз", доступной в меню навигации Microsoft Sentinel.

  3. Состояние соединителя данных отражает состояние "Подключено ", а граф получения данных обновляется после успешной отправки индикаторов.

    Снимок экрана: соединитель данных API индикаторов передачи в подключенном состоянии.

Связанный контент

В этом документе описано, как подключить платформу аналитики угроз к Microsoft Sentinel. Дополнительные сведения об использовании индикаторов угроз в Microsoft Sentinel см. в следующих статьях.