Ansluta din plattform för hotinformation till Microsoft Sentinel
Kommentar
Den här dataanslutningsappen är på en sökväg för utfasning. Mer information kommer att publiceras på den exakta tidslinjen. Använd den nya API-dataanslutningen för hotinformationsuppladdningsindikatorer för nya lösningar framöver. Mer information finns i Ansluta din plattform för hotinformation till Microsoft Sentinel med API för uppladdningsindikatorer.
Många organisationer använder TIP-lösningar (Threat Intelligence Platform) för att aggregera hotindikatorflöden från olika källor. Från det aggregerade flödet kureras data för att gälla för säkerhetslösningar som nätverksenheter, EDR/XDR-lösningar eller SIEM-lösningar (säkerhetsinformation och händelsehantering), till exempel Microsoft Sentinel. Med hjälp av TIP-dataanslutningsappen kan du använda dessa lösningar för att importera hotindikatorer till Microsoft Sentinel.
Eftersom TIP-dataanslutningsappen fungerar med Api:et för Microsoft Graph Security tiIndicators för att utföra den här processen kan du använda anslutningsappen för att skicka indikatorer till Microsoft Sentinel (och till andra Microsoft-säkerhetslösningar som Defender XDR) från andra anpassade TIPS som kan kommunicera med api:et.
Kommentar
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.
Läs mer om hotinformation i Microsoft Sentinel och specifikt om de TIP-produkter som du kan integrera med Microsoft Sentinel.
Viktigt!
Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Förutsättningar
- Om du vill installera, uppdatera och ta bort fristående innehåll eller lösningar i innehållshubben behöver du rollen Microsoft Sentinel-deltagare på resursgruppsnivå.
- Om du vill bevilja behörigheter till din TIP-produkt eller något annat anpassat program som använder direkt integrering med API:et för Microsoft Graph TI-indikatorer måste du ha rollen Säkerhetsadministratör Microsoft Entra eller motsvarande behörigheter.
- Om du vill lagra hotindikatorerna måste du ha läs- och skrivbehörighet till Microsoft Sentinel-arbetsytan.
Instruktioner
Följ dessa steg för att importera hotindikatorer till Microsoft Sentinel från din integrerade TIP- eller anpassad lösning för hotinformation:
- Hämta ett program-ID och en klienthemlighet från Microsoft Entra-ID.
- Ange den här informationen i din TIP-lösning eller ditt anpassade program.
- Aktivera TIP-dataanslutningsappen i Microsoft Sentinel.
Registrera dig för ett program-ID och en klienthemlighet från Microsoft Entra-ID
Oavsett om du arbetar med ett TIPS eller en anpassad lösning kräver tiIndicators-API:et viss grundläggande information så att du kan ansluta ditt flöde till det och skicka hotindikatorer. De tre informationsdelarna du behöver är:
- Program-ID (klient-ID)
- Katalog-ID (klientorganisation)
- Klienthemlighet
Du kan hämta den här informationen från Microsoft Entra-ID via appregistrering, vilket omfattar följande tre steg:
- Registrera en app med Microsoft Entra-ID.
- Ange de behörigheter som krävs av appen för att ansluta till API:et Microsoft Graph tiIndicators och skicka hotindikatorer.
- Få tillstånd från din organisation att bevilja dessa behörigheter till det här programmet.
Registrera ett program med Microsoft Entra-ID
Gå till Microsoft Entra-ID i Azure-portalen.
På menyn väljer du Appregistreringar och sedan Ny registrering.
Välj ett namn för din programregistrering, välj Enskild klientorganisation och välj sedan Registrera.
På skärmen som öppnas kopierar du värdena program-ID (klient- och katalog-ID ) (klientorganisation). Du behöver dessa två informationsdelar senare för att konfigurera din TIP eller anpassade lösning för att skicka hotindikatorer till Microsoft Sentinel. Den tredje informationen du behöver, klienthemligheten, kommer senare.
Ange de behörigheter som krävs av programmet
Gå tillbaka till huvudsidan för Microsoft Entra ID.
På menyn väljer du Appregistreringar och sedan din nyligen registrerade app.
På menyn väljer du API-behörigheter>Lägg till en behörighet.
På sidan Välj ett API väljer du Microsoft Graph API. Välj sedan från en lista över Microsoft Graph-behörigheter.
I kommandotolken Vilken typ av behörigheter kräver ditt program? väljer du Programbehörigheter. Den här behörigheten är den typ som används av program som autentiserar med app-ID och apphemligheter (API-nycklar).
Välj ThreatIndicators.ReadWrite.OwnedBy och välj sedan Lägg till behörigheter för att lägga till den här behörigheten i appens lista över behörigheter.
Få medgivande från din organisation för att bevilja dessa behörigheter
För att bevilja medgivande krävs en privilegierad roll. Mer information finns i Bevilja administratörsmedgivande för hela klientorganisationen till ett program.
När medgivande har beviljats till din app bör du se en grön bockmarkering under Status.
När appen har registrerats och behörigheter har beviljats måste du hämta en klienthemlighet för din app.
Gå tillbaka till huvudsidan för Microsoft Entra ID.
På menyn väljer du Appregistreringar och sedan din nyligen registrerade app.
På menyn väljer du Certifikat och hemligheter. Välj sedan Ny klienthemlighet för att ta emot en hemlighet (API-nyckel) för din app.
Välj Lägg till och kopiera sedan klienthemligheten.
Viktigt!
Du måste kopiera klienthemligheten innan du lämnar den här skärmen. Du kan inte hämta den här hemligheten igen om du lämnar den här sidan. Du behöver det här värdet när du konfigurerar din TIPS- eller anpassade lösning.
Ange den här informationen i din TIP-lösning eller ditt anpassade program
Nu har du all information som du behöver för att konfigurera din TIP eller anpassade lösning för att skicka hotindikatorer till Microsoft Sentinel:
- Program-ID (klient-ID)
- Katalog-ID (klientorganisation)
- Klienthemlighet
Ange dessa värden i konfigurationen av den integrerade TIP-lösningen eller den anpassade lösningen där det behövs.
För målprodukten anger du Azure Sentinel. (Ange Microsoft Sentinel resulterar i ett fel.)
För åtgärden anger du avisering.
När konfigurationen är klar skickas hotindikatorer från din TIP eller anpassade lösning, via Microsoft Graph tiIndicators-API:et som är riktat mot Microsoft Sentinel.
Aktivera TIP-dataanslutningen i Microsoft Sentinel
Det sista steget i integreringsprocessen är att aktivera TIP-dataanslutningen i Microsoft Sentinel. Att aktivera anslutningsappen är det som gör att Microsoft Sentinel kan ta emot hotindikatorerna som skickas från din TIP eller din anpassade lösning. Dessa indikatorer är tillgängliga för alla Microsoft Sentinel-arbetsytor för din organisation. Följ dessa steg för att aktivera TIP-dataanslutningen för varje arbetsyta:
För Microsoft Sentinel i Azure-portalen går du till Innehållshantering och väljer Innehållshubb.
För Microsoft Sentinel i Defender-portalen väljer du Innehållshubben för Innehållshantering i>Microsoft Sentinel>.Leta upp och välj hotinformationslösningen.
Välj knappen Installera/uppdatera.Mer information om hur du hanterar lösningskomponenterna finns i Identifiera och distribuera out-of-the-box-innehåll.
Om du vill konfigurera TIP-dataanslutningen väljer du Anslutningsappar för konfigurationsdata>.
Leta upp och välj dataanslutningsappen Hotinformationsplattformar och välj sedan Sidan Öppna anslutningsapp.
Eftersom du redan har slutfört appregistreringen och konfigurerat tip-lösningen eller den anpassade lösningen för att skicka hotindikatorer är det enda steget kvar att välja Anslut.
Inom några minuter bör hotindikatorer börja flöda in på den här Microsoft Sentinel-arbetsytan. Du hittar de nya indikatorerna i fönstret Hotinformation , som du kan komma åt från Microsoft Sentinel-menyn.
Relaterat innehåll
I den här artikeln har du lärt dig hur du ansluter tipset till Microsoft Sentinel. Mer information om Microsoft Sentinel finns i följande artiklar:
- Lär dig hur du får insyn i dina data och potentiella hot.
- Kom igång med att identifiera hot med Microsoft Sentinel.